Le piège classique
L'article 102 modifie le règlement (CE) no 300/2008 sur la surete de l'aviation civile pour imposer que tout équipement de surete aeroportuaire integrant un système d'IA (scanners corporels, détection d'explosifs, reconnaissance comportementale, contrôle d'accès biometrique) respecte les exigences IA a haut risque du chapitre III section 2. Le piège : les exploitants aeroportuaires, les sous-traitants surete (G4S, Securitas, ICTS) et les fournisseurs d'équipements croient relever uniquement du règlement 300/2008 et de leurs certifications ECAC, alors qu'ils deviennent automatiquement deployeurs ou fournisseurs de systèmes IA a haut risque des qu'un module d'IA est intégré. L'EU AI Office et les autorités nationales de surveillance du marché IA peuvent sanctionner jusqu'à 15 M'EUR ou 3% du CA mondial pour non-respect des obligations chapitre III section 2 (gestion des risques, qualité des données, documentation technique, journalisation, transparence, contrôle humain, robustesse).
Les obligations chapitre III section 2 declenchees automatiquement
- Système de gestion des risques documente sur tout le cycle de vie de l'équipement (article 9).
- Gouvernance des données d'entrainement, validation, test : tracabilite, representativite, biais (article 10).
- Documentation technique exhaustive remise sur demande aux autorités (article 11 + annexe IV).
- Journalisation automatique des événements pendant toute la durée d'utilisation opérationnelle (article 12).
- Transparence vis-a-vis du deployeur aeroportuaire : notice d'utilisation détaillée (article 13).
- Contrôle humain effectif : un agent surete doit pouvoir interrompre, ignorer ou contester la décision IA (article 14).
- Niveau approprie d'exactitude, de robustesse et de cybersécurité (article 15).
Le piège opérationnel : les certifications ECAC Common évaluation Process ne couvrent PAS ces obligations. Vous devez les ajouter en surcouche, et le marquage CE de l'équipement doit refleter la double conformité (règlement 300/2008 + AI Act).
Comment Luxgap automatise ce risque
Notre Luxgap Aviation AI Compliance Bridge est l'outil qui reconcilie en temps reel votre conformité ECAC/EU 300/2008 et votre conformité AI Act chapitre III section 2 sur chaque équipement de surete deploye. L'outil se connecte directement aux SCADA aeroportuaires, aux plateformes de gestion des équipements surete (Smiths Détection HI-SCAN, Leidos ProVision, IDEMIA MFlow), aux journaux d'événements Windows/Linux des postes operateurs et aux registres ECAC pour materialiser, pour chaque équipement, son statut de conformité croisee sans demander au responsable surete de remplir un tableur.
- Detecte automatiquement chaque équipement integrant un module d'IA via empreinte logicielle, fiche fabricant et bulletins ECAC, puis le qualifié haut risque au sens de l'annexe III du AI Act.
- Genere la documentation technique annexe IV preremplie à partir des données fabricant, des journaux opérationnels et des configurations locales de l'exploitant.
- Surveille en continu la journalisation article 12 (rétention, intégrité, completude) et alerte sur toute rupture de log superieure a 5 minutes.
- Mesure l'effectivite du contrôle humain article 14 : taux d'override agent, temps moyen de décision, taux de faux positifs traites manuellement.
- Produit un rapport PDF horodate cryptographiquement scelle, opposable a l'EU AI Office et a la Direction de l'Aviation Civile lors d'un audit conjoint surete + IA.
- Predit les ruptures de conformité a 6 mois sur base des mises à jour firmware fournisseur, des CVE publiees et des derives de performance des modèles IA embarques.
Disponible en complement d'un mandat DPO ou CISO Luxgap ou en brique SaaS dediee selon votre périmètre aeroportuaire. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre parc d'équipements reel, avec un audit blanc gratuit sous 48h pour mesurer votre exposition AI Act avant tout engagement.
