Le piège classique
L'article 12 parait anodin : il suffit de generer des logs. Le piège reel est ailleurs. Les fournisseurs activent une journalisation technique générique (logs applicatifs, erreurs système) qui ne capture pas les événements exiges : la période exacte de chaque utilisation, la base de référence interrogee, les correspondances et l'identité des personnes ayant verifie les résultats. Lors d'un contrôle, l'EU AI Office ou l'autorité de surveillance du marché reconstruisent l'historique d'un incident : si vos journaux ne permettent ni de tracer une modification substantielle ni d'alimenter la surveillance post-commercialisation de l'article 72, votre traceabilite est reputee inexistante. La CNPD intervient en parallele des que ces journaux contiennent des données personnelles, car la conservation et la finalité des logs deviennent un traitement a part entière.
Le test 'adapte a la destination' : ce que les autorités verifient vraiment
La clé de l'article 12(2) est l'adverbe : la journalisation doit être adaptee a la destination du système. Ni trop pauvre (non-conformite), ni trop intrusive (violation de minimisation RGPD). Voici les points de defaillance les plus frequents :
- Logs purement techniques qui n'identifient pas les situations a risque au sens de l'article 79(1), donc inexploitables en cas d'incident.
- Absence d'horodatage debut/fin pour chaque utilisation (exige a l'annexe III, point 1 a), notamment l'identification biometrique a distance).
- Aucun enregistrement de la base de référence utilisee ni des correspondances ayant déclenche un résultat positif.
- Vérification humaine de l'article 14(5) non tracee : impossible de prouver qui a valide un résultat.
- Durée de conservation des journaux non definie, ou definie sans base légale RGPD coherente.
- Logs stockes sans intégrité garantie : modifiables, donc non opposables en cas de litige.
Comment Luxgap automatise ce risque
Notre Luxgap AI Logging Sentinel rend impossible le scénario du journal incomplet : il verifie en continu que vos systèmes d'IA a haut risque produisent exactement les événements exiges par l'article 12, et scelle ces journaux pour les rendre opposables. L'outil se branche sur vos pipelines (Azure ML, AWS SageMaker, vos API d'inference, Azure Sentinel, Microsoft Defender) et compare le flux de logs reel aux exigences article 12(2) et 12(3) annexe III, sans demander a vos équipes de documenter quoi que ce soit manuellement.
- Detecte automatiquement les événements manquants (horodatage debut/fin, base de référence, correspondances, identité du verificateur article 14(5)) et alerte sur Teams en temps reel.
- Mappe chaque type de log a son exigence légale via une grille article 12 / annexe III, et signale les systèmes a haut risque sous-journalises.
- Calcule un score de traceabilite par système, croise avec la surveillance post-commercialisation de l'article 72.
- Scelle cryptographiquement chaque journal (horodatage et hash) pour garantir l'intégrité et l'opposabilite en cas de contrôle.
- Verifie la coherence RGPD des logs contenant des données personnelles : durée de conservation, finalité, minimisation, en lien avec la CNPD.
- Produit un rapport PDF horodate demontrant la conformité article 12, pret pour l'EU AI Office ou l'autorité de surveillance du marché.
Disponible en complement d'un mandat DPO ou CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur vos systèmes reels, avec un audit blanc gratuit sous 48h pour mesurer votre exposition avant tout engagement.