Le piège classique
Le considérant 117 eclaire un point souvent mal compris : les codes de bonne pratique, normes harmonisees et 'autres moyens adequats' ne sont pas equivalents devant le régulateur. Beaucoup de fournisseurs de modèles d'IA a usage general croient qu'une simple charte interne suffira a démontrer leur conformité aux obligations du Chapitre V. En réalité, seul le respect d'un code approuve par la Commission via acte d'exécution, ou d'une norme harmonisee jugée adequate par l'EU AI Office (Bruxelles), déclenche la présomption de conformité. Tout autre moyen impose au fournisseur de produire lui-meme la charge de la preuve, point par point, devant l'AI Office.
La hierarchie des preuves de conformité a maîtriser
- Norme harmonisee publiee + jugée adequate par l'AI Office : présomption de conformité automatique, niveau de preuve le plus fort.
- Code de bonne pratique approuve par acte d'exécution Commission : validité generale dans l'Union, opposable a l'AI Office.
- Code de bonne pratique signe mais non approuve : indice fort mais pas de présomption automatique.
- 'Autres moyens adequats' (politique interne, audit externe, méthodologie propre) : recevables mais charge de la preuve intégralement sur le fournisseur, avec exigence de demonstration article par article.
- Risque pratique : choisir la voie 'autres moyens' sans documentation opposable exposé a une requalification en non-conformite lors d'un contrôle de l'AI Office, avec amendes jusqu'à 15 M'EUR ou 3% du CA mondial (article 101).
Le piège spécifique pour les fournisseurs établis au Luxembourg
Les startups IA luxembourgeoises et les filiales de groupes US qui developpent ou fine-tunent des modèles GPAI depuis le pays sous-estiment souvent qu'elles relevent directement de l'AI Office, sans intermédiaire national. La CNPD reste competente sur le volet données personnelles d'entrainement, mais c'est bien Bruxelles qui evaluera l'adéquation de votre méthodologie de conformité. Construire une preuve de conformité alternative credible exige une tracabilite cryptographique du training, une cartographie des risques systemiques et une documentation versionnee opposable.
Comment Luxgap automatise ce risque
Notre Luxgap GPAI Compliance Compass elimine l'incertitude sur la voie de conformité a emprunter en cartographiant en temps reel l'état des codes de pratique, des normes harmonisees CEN-CENELEC JTC 21 et des positions publiees de l'EU AI Office, puis en projetant automatiquement votre modèle d'IA sur la voie de preuve la plus solide disponible. L'outil ingere votre model card, vos logs d'entrainement (Weights & Biases, MLflow, Hugging Face Hub) et vos politiques internes pour produire une matrice d'adéquation article par article du Chapitre V.
- Surveille en continu le Journal officiel de l'UE et les publications de l'AI Office pour détecter chaque nouvelle approbation de code ou norme harmonisee impactant votre modèle.
- Mappe automatiquement vos pratiques actuelles (documentation technique, copyright policy, training data summary) sur les exigences des articles 53 et 55, et identifié les ecarts.
- Genere un dossier de conformité versionne et horodate qui materialise la voie choisie (code approuve, norme harmonisee ou moyens alternatifs) avec la justification opposable.
- Alerte des qu'un changement de statut (code approuve par acte d'exécution, norme publiee) modifie votre exposition réglementaire et recommande la bascule vers la voie de présomption.
- Produit un rapport PDF cryptographiquement scelle, opposable a l'AI Office en cas de demande d'information article 91, demontrant la diligence du fournisseur.
Disponible en complement d'un mandat DPO ou CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre modèle reel, avec un audit blanc gratuit sous 48h pour mesurer votre exposition avant tout engagement.
