Le piège classique
L'article 12 impose que les systèmes d'IA a haut risque enregistrent automatiquement les événements pendant toute leur durée de vie. Le piège : la plupart des fournisseurs livrent des logs applicatifs basiques (erreurs, exceptions) qui ne permettent absolument pas la tracabilite exigee par l'AI Act. Résultat, lors d'un contrôle de l'EU AI Office ou d'une investigation post-incident article 79, l'organisation ne peut pas reconstituer ce que le système a decide, quand, sur quelles données d'entree, ni qui a vérifié le résultat. La CNPD croisera de son cote ces journaux avec l'article 30 RGPD si le système traite des données personnelles, et l'absence de journalisation devient une faute double : AI Act + RGPD.
Ce que vos journaux doivent contenir (au-dela du minimum légal)
- Horodatage de chaque inference : date et heure de debut et de fin de chaque utilisation, conformément au paragraphe 3(a) pour les systèmes biometriques de l'annexe III.
- Données d'entree et base de référence : quelle requête, contre quelle base, avec quel score de correspondance.
- Identification de l'operateur humain : qui a valide ou rejete le résultat (lien article 14(5) sur la supervision humaine).
- événements de derive : changements de distribution statistique, baisses de précision, alertes de biais, conformément au paragraphe 2(a).
- Modifications substantielles : reentrainement, changement de version du modèle, nouveau jeu de données.
- Intégrité : journaux signes, horodates, immuables (sinon ils ne valent rien devant un contrôleur).
- Durée de conservation : alignee sur la durée de vie du système et sur les obligations sectorielles (CSSF 6 ans, dossier médical 30 ans, etc.).
Le piège spécifique aux systèmes biometriques (annexe III, point 1(a))
Le paragraphe 3 impose quatre champs minimaux pour ces systèmes. La réalité : les solutions du marché (contrôle d'accès, identification a distance, vérification d'identité) loggent souvent les correspondances positives mais oublient les non-matches, les utilisations sans résultat, et surtout l'identité de l'agent humain qui a valide. Sans ces quatre champs, le système est non conforme par construction, peu importe la qualité du modèle.
Comment Luxgap automatise ce risque
Notre Luxgap AI Audit Trail transforme l'obligation de journalisation article 12 en preuve cryptographiquement opposable, sans modifier votre stack IA existante. L'outil s'intercale en proxy transparent devant vos endpoints d'inference (Azure OpenAI, AWS Bedrock, Vertex AI, Hugging Face Inference, modèles on-premise via Triton ou vLLM) et capture chaque appel avec son contexte complet, puis scelle les journaux dans un registre append-only horodate par une autorité de temps qualifiée eIDAS.
- Capture automatiquement chaque inference avec entree, sortie, score de confiance, version du modèle, identifiant utilisateur et identifiant operateur humain ayant valide, sans aucune ligne de code a ajouter dans vos applications metier.
- Scelle les journaux dans un registre WORM (write-once-read-many) avec horodatage qualifié eIDAS, garantissant l'immuabilite exigee implicitement par l'article 12 et opposable devant l'EU AI Office.
- Detecte en temps reel les situations de derive (drift statistique, chute de précision, anomalies de distribution) qui pourraient déclencher l'obligation de notification article 79(1) et alerte le responsable AI sur Teams ou Slack.
- Genere automatiquement les extraits de journaux exigibles lors d'un contrôle, filtres par période, par utilisateur ou par type d'événement, en PDF horodate opposable.
- Croise les journaux avec votre registre RGPD article 30 pour les systèmes traitant des données personnelles, evitant la double faute AI Act plus CNPD.
- Conserve les journaux selon la durée de vie declaree du système, avec purge automatique RGPD une fois la durée atteinte.
Disponible en complement d'un mandat DPO ou CISO Luxgap ou en brique SaaS dediee selon votre périmètre IA. Demandez un devis personnalise et nos équipes preparent une demonstration sur l'un de vos systèmes d'IA reels, avec un audit blanc gratuit sous 48h pour mesurer votre exposition article 12 avant tout engagement.
