Je dois mettre mon organisation luxembourgeoise en conformité à l'article 21 du AI Act (UE 2024/1689). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueL'article 21 parait anodin : il suffirait de répondre a une demande motivee de l'autorité competente. En réalité, c'est le test ultime de votre dossier de conformité IA. Quand l'EU AI Office ou l'autorité nationale de surveillance du marché frappe a la porté, vous avez quelques jours pour produire la documentation technique complète de l'article 11, les journaux automatiques de l'article 12, et le tout dans une langue officielle imposee par l'état membre. Les fournisseurs qui decouvrent a ce moment-la que leurs logs ont ete purges après 30 jours, que la doc technique est eparpillee entre Notion, Confluence et Google Drive, ou que rien n'est traduit, basculent immediatement en non-conformite presumee.Les pièges opérationnels sur le terrainLangue imposee : au Luxembourg, l'autorité peut exiger français, allemand ou anglais. Avoir uniquement de la doc en anglais américain venant du fournisseur amont (OpenAI, Anthropic, Mistral) ne suffit pas si l'autorité demande le français.Délai implicite : la demande motivee fixe un délai. Les autorités tolerent rarement plus de 15 a 30 jours. Sans dossier pre-constitue, c'est intenable.Logs sous votre contrôle : si vous hebergez le modèle chez un cloud provider US et que les logs sont purges automatiquement a J+7, vous êtes en defaut de l'article 12 ET de l'article 21.Chaîne de responsabilité : si vous êtes deployeur d'un modèle tiers reetiquete (article 25), vous heritez des obligations fournisseur. La demande de cooperation tombe sur vous.Confidentialité article 78 : vous devez transmettre vos secrets d'affaires, code source, poids de modèle, sans garantie absolue de non-divulgation. Marquer correctement les elements confidentiels conditionne leur protection.Articulation CNPD : si le système traite des données personnelles, la CNPD peut déclencher une enquête parallele coordonnee. Deux demandes, deux délais, deux dossiers.Comment Luxgap automatise ce risqueNotre Luxgap AI Audit Vault transforme la peur de l'inspection en bouton rouge : une seule action genere, en moins de 4 heures, le dossier complet article 21 prêt a remettre a l'EU AI Office ou a l'autorité nationale, dans la langue officielle demandee. L'outil capture en continu vos artefacts de conformité depuis MLflow, Weights & Biases, GitHub, Azure ML, AWS SageMaker, Vertex AI et Databricks, les horodate par ancrage cryptographique, et les conserve dans un coffre WORM hébergé en Union européenne (LuxConnect ou eBRC) avec rétention parametrable jusqu'à 10 ans.Collecte automatiquement la documentation technique article 11 depuis vos repositories Git, vos cartes de modèle Hugging Face et vos pipelines MLOps, sans intervention manuelle des data scientists.Archive en continu les journaux automatiques article 12 generes par vos systèmes IA, avec scellement cryptographique horodate qui prouve l'absence d'alteration retroactive.Traduit a la demande l'intégralité du dossier vers la langue officielle imposee (FR, DE, EN, NL, IT) via un moteur...

Cadre européenRGPD NIS 2 DORAAI ActLanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Article 21

Coopération avec les autorités compétentes

Règlement établissant des règles harmonisées sur l'intelligence artificielle · UE 2024/1689

Coopération avec les autorités compétentes

1. À la demande motivée d’une autorité compétente, les fournisseurs de systèmes d’IA à haut risque fournissent à ladite autorité toutes les informations et tous les documents nécessaires pour démontrer la conformité du système d’IA à haut risque avec les exigences énoncées à la section 2, dans une langue aisément compréhensible par l’autorité dans l’une des langues officielles des institutions de l’Union, telle qu’indiquée par l’État membre concerné.

2. À la demande motivée d’une autorité compétente, les fournisseurs accordent également à l’autorité compétente à l’origine de la demande, le cas échéant, l’accès aux journaux générés automatiquement par le système d’IA à haut risque visés à l’article 12, paragraphe 1, dans la mesure où ces journaux sont sous leur contrôle.

3. Les informations obtenues par une autorité compétente en application du présent article sont traitées conformément aux obligations de confidentialité énoncées à l’article 78.

Spécificité Luxembourg

regime linguistique luxembourgeois (loi du 24 fevrier 1984) applique aux echanges avec les autorites de surveillance

Au Luxembourg, l'autorité nationale de surveillance du marche IA n'est pas encore formellement désignée a date. En attendant, l'EU AI Office (Bruxelles) reste competent pour les modèles d'IA a usage general, et la CNPD conserve sa competence pleine sur le volet données personnelles. La langue exigible pour le dossier article 21 sera français, allemand ou anglais, conformément au regime linguistique luxembourgeois. Anticipez les trois langues plutot que de parier sur l'anglais seul.

Pratique Luxgap : preparez des maintenant votre dossier article 11 et vos logs article 12 en français ET en anglais, archives chez un hebergeur luxembourgeois (LuxConnect, eBRC, POST) pour eviter tout argument de juridiction extra-UE en cas de contrôle coordonne CNPD plus autorité IA.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

L'article 21 parait anodin : il suffirait de répondre a une demande motivee de l'autorité competente. En réalité, c'est le test ultime de votre dossier de conformité IA. Quand l'EU AI Office ou l'autorité nationale de surveillance du marché frappe a la porté, vous avez quelques jours pour produire la documentation technique complète de l'article 11, les journaux automatiques de l'article 12, et le tout dans une langue officielle imposee par l'état membre. Les fournisseurs qui decouvrent a ce moment-la que leurs logs ont ete purges après 30 jours, que la doc technique est eparpillee entre Notion, Confluence et Google Drive, ou que rien n'est traduit, basculent immediatement en non-conformite presumee.

Les pièges opérationnels sur le terrain

Langue imposee : au Luxembourg, l'autorité peut exiger français, allemand ou anglais. Avoir uniquement de la doc en anglais américain venant du fournisseur amont (OpenAI, Anthropic, Mistral) ne suffit pas si l'autorité demande le français.
Délai implicite : la demande motivee fixe un délai. Les autorités tolerent rarement plus de 15 a 30 jours. Sans dossier pre-constitue, c'est intenable.
Logs sous votre contrôle : si vous hebergez le modèle chez un cloud provider US et que les logs sont purges automatiquement a J+7, vous êtes en defaut de l'article 12 ET de l'article 21.
Chaîne de responsabilité : si vous êtes deployeur d'un modèle tiers reetiquete (article 25), vous heritez des obligations fournisseur. La demande de cooperation tombe sur vous.
Confidentialité article 78 : vous devez transmettre vos secrets d'affaires, code source, poids de modèle, sans garantie absolue de non-divulgation. Marquer correctement les elements confidentiels conditionne leur protection.
Articulation CNPD : si le système traite des données personnelles, la CNPD peut déclencher une enquête parallele coordonnee. Deux demandes, deux délais, deux dossiers.

Comment Luxgap automatise ce risque

Notre Luxgap AI Audit Vault transforme la peur de l'inspection en bouton rouge : une seule action genere, en moins de 4 heures, le dossier complet article 21 prêt a remettre a l'EU AI Office ou a l'autorité nationale, dans la langue officielle demandee. L'outil capture en continu vos artefacts de conformité depuis MLflow, Weights & Biases, GitHub, Azure ML, AWS SageMaker, Vertex AI et Databricks, les horodate par ancrage cryptographique, et les conserve dans un coffre WORM hébergé en Union européenne (LuxConnect ou eBRC) avec rétention parametrable jusqu'à 10 ans.

Collecte automatiquement la documentation technique article 11 depuis vos repositories Git, vos cartes de modèle Hugging Face et vos pipelines MLOps, sans intervention manuelle des data scientists.
Archive en continu les journaux automatiques article 12 generes par vos systèmes IA, avec scellement cryptographique horodate qui prouve l'absence d'alteration retroactive.
Traduit a la demande l'intégralité du dossier vers la langue officielle imposee (FR, DE, EN, NL, IT) via un moteur de traduction spécialisé IA Act, avec preservation de la terminologie réglementaire.
Classifie chaque artefact selon son niveau de confidentialité article 78 et genere automatiquement les annexes de marquage opposables au régulateur.
Simule a la demande une inspection blanche en injectant une demande motivee fictive et mesure votre temps de réponse reel, vos lacunes documentaires et votre score de defendabilite.
Produit un PDF maitre signe electroniquement (eIDAS qualifié) regroupant doc technique, logs extraits, déclaration UE de conformité et historique de versions, pret a remettre.

Disponible en complement d'un mandat DPO ou CISO Luxgap ou en brique SaaS dediee selon votre périmètre IA. Demandez un devis personnalise et nos équipes preparent une demonstration sur l'un de vos systèmes IA reels, avec une inspection blanche gratuite sous 48h pour mesurer votre temps de réponse face a une demande motivee avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Coopération avec les autorités compétentes

Ils nous font confiance

Avant de discuter