Je dois mettre mon organisation luxembourgeoise en conformité à l'article 8 du AI Act (UE 2024/1689). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueL'article 8 pose un principe trompeusement simple : votre système d'IA a haut risque doit respecter toutes les exigences de la section 2 (articles 9 a 15), en tenant compte de l'état de l'art généralement reconnu. Le piège, c'est que cet état de l'art evolue tous les 6 mois (nouvelles normes ISO/IEC 42001, 23894, 5338, harmonised standards en cours de rédaction par CEN-CENELEC JTC 21) et que l'EU AI Office considerera comme non conforme un système qui s'appuie sur des techniques de 2022 en 2026. Pour les produits regules (dispositifs médicaux, machines, jouets, ascenseurs...), le piège double : il faut articuler la conformité AI Act avec celle de la legislation d'harmonisation listee en annexe I section A, sans dupliquer mais sans rien oublier non plus.Les 5 pièges opérationnels de l'article 8état de l'art mouvant : ce qui est conforme aujourd'hui (ex. simple cross-validation pour évaluer la robustesse) ne le sera plus dans 18 mois quand les harmonised standards EN seront publies au JOUE.Destination floue : si votre intended purpose n'est pas redige avec une précision chirurgicale, toute derive d'usage devient une non-conformite article 8.Double regime produit + IA : un dispositif médical IA doit respecter MDR 2017/745 ET AI Act, avec un seul dossier technique fusionne mais traçable des deux cotes.Articulation avec l'article 9 : le système de gestion des risques n'est pas un document, c'est un processus continu qui doit nourrir en permanence la demonstration de conformité article 8.Charge de la preuve : c'est au fournisseur de démontrer la conformité, pas a l'autorité de surveillance de prouver l'inverse.Comment Luxgap automatise ce risqueNotre Luxgap AI Conformity Radar transforme l'obligation floue de l'article 8 en preuve opposable continue. L'outil connecte vos pipelines MLOps (MLflow, Weights and Biases, Azure ML, Vertex AI, SageMaker), vos depots de code (GitHub, GitLab, Azure DevOps) et vos systèmes de gestion documentaire (SharePoint, Confluence, Odoo Documents) pour cartographier en temps reel chaque système d'IA a haut risque deploye et le confronter automatiquement a l'état de l'art en vigueur, mis à jour mensuellement par notre veille sur les normes CEN-CENELEC JTC 21, ISO/IEC SC 42 et les lignes directrices de l'EU AI Office.Detecte automatiquement chaque nouveau modèle entraine ou redeploye dans vos pipelines MLOps et le classifie selon l'annexe III de l'AI Act (haut risque ou non) en moins de 30 secondes.Confronte chaque système aux exigences des articles 9 a 15 et identifié les ecarts par rapport a l'état de l'art généralement reconnu, avec citation précisé de la norme ou ligne directrice applicable.Articule automatiquement la documentation AI Act avec votre dossier technique existant (MDR, MDD, MR machines, RED, jouets) en evitant la duplication tout en garantissant la cohrence réciproque.Genere une cartographie visuelle intended purpose versus usages reels observes dans les logs de production, et alerte sur ...

Cadre européenRGPD NIS 2 DORAAI ActLanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Article 8

Respect des exigences

Règlement établissant des règles harmonisées sur l'intelligence artificielle · UE 2024/1689

Respect des exigences

1. Les systèmes d’IA à haut risque respectent les exigences énoncées dans la présente section, en tenant compte de leur destination ainsi que de l’état de la technique généralement reconnu en matière d’IA et de technologies liées à l’IA. Pour garantir le respect de ces exigences, il est tenu compte du système de gestion des risques prévu à l’article 9.

2. Lorsqu’un produit contient un système d’IA auquel s’appliquent les exigences du présent règlement ainsi que les exigences de la législation d’harmonisation de l’Union dont la liste figure à la section A de l’annexe I, les fournisseurs sont chargés de veiller à ce que leur produit soit pleinement conforme à toutes les exigences en vertu de la législation d’harmonisation de l’Union applicable. Pour garantir que les systèmes d’IA à haut risque visés au paragraphe 1 sont conformes aux exigences énoncées dans la présente section, et afin d’assurer la cohérence, d’éviter les doubles emplois et de réduire au minimum les charges supplémentaires, les fournisseurs ont le choix d’intégrer, le cas échéant, les processus d’essai et de déclaration nécessaires, les informations et la documentation qu’ils fournissent concernant leur produit dans la documentation et les procédures qui existent déjà et qui sont requises en vertu de la législation d’harmonisation de l’Union dont la liste figure à la section A de l’annexe I.

Spécificité Luxembourg

CSSF circular 22/806 on outsourcing arrangements, combined with the future Luxembourg AI Act implementing law

Au Luxembourg, l'autorité de surveillance du marche IA n'est pas encore formellement désignée a date de publication. En attendant cette désignation, la CNPD reste competente pour le volet protection des données personnelles traitées par les systèmes d'IA a haut risque, et l'ILNAS joue un role pivot sur la normalisation technique (ISO/IEC 42001, harmonised standards CEN-CENELEC JTC 21). Pour les systèmes d'IA intégrés a des produits regules par la CSSF (scoring credit, lutte anti-blanchiment, robo-advisory), la circulaire CSSF 22/806 sur l'outsourcing IT et les attentes prudentielles relatives aux modèles s'articulent avec l'article 8 et imposent une coherence documentaire renforcee.

Pratique Luxgap : nous recommandons aux fournisseurs et deployeurs établis au Luxembourg de constituer des maintenant un dossier technique article 11 unifié qui anticipe la désignation de l'autorité nationale et qui articule explicitement les exigences AI Act, CSSF (si applicable) et CNPD, pour eviter d'avoir a reconstruire la traçabilite en urgence.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

L'article 8 pose un principe trompeusement simple : votre système d'IA a haut risque doit respecter toutes les exigences de la section 2 (articles 9 a 15), en tenant compte de l'état de l'art généralement reconnu. Le piège, c'est que cet état de l'art evolue tous les 6 mois (nouvelles normes ISO/IEC 42001, 23894, 5338, harmonised standards en cours de rédaction par CEN-CENELEC JTC 21) et que l'EU AI Office considerera comme non conforme un système qui s'appuie sur des techniques de 2022 en 2026. Pour les produits regules (dispositifs médicaux, machines, jouets, ascenseurs...), le piège double : il faut articuler la conformité AI Act avec celle de la legislation d'harmonisation listee en annexe I section A, sans dupliquer mais sans rien oublier non plus.

Les 5 pièges opérationnels de l'article 8

état de l'art mouvant : ce qui est conforme aujourd'hui (ex. simple cross-validation pour évaluer la robustesse) ne le sera plus dans 18 mois quand les harmonised standards EN seront publies au JOUE.
Destination floue : si votre intended purpose n'est pas redige avec une précision chirurgicale, toute derive d'usage devient une non-conformite article 8.
Double regime produit + IA : un dispositif médical IA doit respecter MDR 2017/745 ET AI Act, avec un seul dossier technique fusionne mais traçable des deux cotes.
Articulation avec l'article 9 : le système de gestion des risques n'est pas un document, c'est un processus continu qui doit nourrir en permanence la demonstration de conformité article 8.
Charge de la preuve : c'est au fournisseur de démontrer la conformité, pas a l'autorité de surveillance de prouver l'inverse.

Comment Luxgap automatise ce risque

Notre Luxgap AI Conformity Radar transforme l'obligation floue de l'article 8 en preuve opposable continue. L'outil connecte vos pipelines MLOps (MLflow, Weights and Biases, Azure ML, Vertex AI, SageMaker), vos depots de code (GitHub, GitLab, Azure DevOps) et vos systèmes de gestion documentaire (SharePoint, Confluence, Odoo Documents) pour cartographier en temps reel chaque système d'IA a haut risque deploye et le confronter automatiquement a l'état de l'art en vigueur, mis à jour mensuellement par notre veille sur les normes CEN-CENELEC JTC 21, ISO/IEC SC 42 et les lignes directrices de l'EU AI Office.

Detecte automatiquement chaque nouveau modèle entraine ou redeploye dans vos pipelines MLOps et le classifie selon l'annexe III de l'AI Act (haut risque ou non) en moins de 30 secondes.
Confronte chaque système aux exigences des articles 9 a 15 et identifié les ecarts par rapport a l'état de l'art généralement reconnu, avec citation précisé de la norme ou ligne directrice applicable.
Articule automatiquement la documentation AI Act avec votre dossier technique existant (MDR, MDD, MR machines, RED, jouets) en evitant la duplication tout en garantissant la cohrence réciproque.
Genere une cartographie visuelle intended purpose versus usages reels observes dans les logs de production, et alerte sur toute derive significative.
Produit un rapport PDF horodate cryptographiquement scelle, opposable a l'EU AI Office et a l'autorité de surveillance du marché, qui démontré la conformité continue article 8 a une date donnée.
Predit, sur la base du calendrier de publication des harmonised standards, les exigences qui durciront dans les 6 a 12 mois et anticipe les chantiers de mise en conformité.

Disponible en complement d'un mandat DPO ou CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur vos systèmes d'IA reels, avec un audit blanc gratuit sous 48h pour mesurer votre exposition article 8 avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Respect des exigences

Ils nous font confiance

Avant de discuter