Le piège classique
L'article 86 crée un droit individuel opposable : toute personne ayant subi une décision automatisée à haut risque (annexe III : RH, crédit, assurance, accès à l'éducation, services publics essentiels) peut exiger du déployeur une explication claire et pertinente du rôle de l'IA et des principaux éléments de la décision. Le piège n'est pas dans la rédaction de la réponse, mais dans l'incapacité technique à reconstituer a posteriori ce que le modèle a réellement utilisé comme features, poids et seuils au moment T de la décision. L'EU AI Office et la CNPD (sur le volet article 22 RGPD qui se cumule) sanctionneront les organisations qui se réfugient derrière le black box du fournisseur. Le déployeur reste seul interlocuteur de la personne concernée, même si le modèle vient d'un tiers.
Pourquoi 'claire et pertinente' est un standard plus dur qu'il n'y paraît
Une explication conforme à l'article 86 doit répondre simultanément à quatre exigences que la plupart des organisations ne savent pas tenir :
- Reproductibilité : retrouver le snapshot exact du modèle (version, poids, jeu d'entraînement) utilisé le jour de la décision contestée, parfois 18 mois plus tard.
- Traçabilité des features : lister les variables d'entrée réellement passées au modèle pour cette personne, leur valeur, et leur contribution relative au score final.
- Intelligibilité : traduire les SHAP values, LIME ou attention weights en phrases compréhensibles par un non-statisticien, sans trahir le mécanisme.
- Articulation avec l'article 22 RGPD : si la décision est entièrement automatisée, le droit à l'intervention humaine et à la contestation s'ajoute au droit à l'explication, et la CNPD contrôle ce cumul.
Le piège opérationnel : sans model registry immuable et sans capture des inférences au fil de l'eau, vous ne pouvez tout simplement pas répondre à une demande d'explication six mois après la décision. Le modèle a été réentraîné, les features ont évolué, le snapshot original a disparu.
Comment Luxgap automatise ce risque
Notre Luxgap Décision Forensics Vault capture chaque inférence d'un système IA à haut risque au moment exact où elle est rendue, et la scelle cryptographiquement avec le snapshot du modèle, les features d'entrée et l'arbre d'explicabilité associé. Quand une personne concernée invoque l'article 86, vous reconstituez la décision en quelques secondes, version du modèle comprise, et générez automatiquement une explication en langage naturel opposable à l'EU AI Office et à la CNPD. L'outil se branche en sidecar sur vos endpoints d'inférence (Azure ML, AWS SageMaker, Vertex AI, modèles on-premise via API) sans modifier votre code métier.
- Intercepte chaque inférence en temps réel et stocke un triplet horodaté {snapshot modèle, features d'entrée, score de sortie} dans un coffre WORM, conservé 10 ans.
- Calcule à la volée les valeurs SHAP ou contre-factuelles pour chaque décision, sans recalculer le modèle au moment de la demande d'explication.
- Génère automatiquement, à partir d'une demande d'une personne concernée, un courrier d'explication article 86 en français, anglais, allemand ou luxembourgeois, avec les trois facteurs principaux ayant influencé la décision.
- Détecte les décisions cumulant article 86 AI Act et article 22 RGPD et alerte le DPO pour traitement coordonné.
- Produit un journal d'auditabilité scellé, opposable lors d'un contrôle de l'autorité de surveillance du marché IA ou de la CNPD, démontrant que chaque décision est explicable individuellement.
- Alerte instantanément (Teams, Slack) lorsqu'un modèle est réentraîné, pour figer le snapshot précédent et garantir la reproductibilité des décisions passées.
Disponible en complément d'un mandat DPO ou CISO Luxgap ou en brique SaaS dédiée selon votre périmètre. Demandez un devis personnalisé et nos équipes préparent une démonstration sur l'un de vos modèles IA réels, avec un audit blanc gratuit sous 48h pour mesurer votre capacité actuelle à répondre à une demande d'explication article 86.
