Je dois mettre mon organisation luxembourgeoise en conformité au considérant 138 du AI Act (UE 2024/1689). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 138 n'est pas une obligation directe pour les entreprises, mais il eclaire l'esprit dans lequel les autorités liront les articles 57 a 63 sur les bacs a sable réglementaires. Le piège classique : croire qu'un sandbox réglementaire equivaut a un environnement de test technique interne. Au Luxembourg, ou aucune autorité de surveillance IA n'est encore formellement désignée à date, beaucoup d'editeurs developpent des systèmes d'IA en pensant qu'ils pourront entrer dans un bac a sable après la mise sur le marché, alors que le texte exige l'inverse : avant la mise sur le marché. Les entreprises qui n'auront pas anticipe un dossier de candidature credible se verront refuser l'entree dans le bac a sable, et devront porter seules le risque de conformité a l'AI Act.Ce que le considérant 138 change concretement pour vousLe bac a sable est un privilège regule, pas un droit : il faut un dossier technique demontrant l'innovation et la maîtrise des risques.La participation peut être transfrontalière : une PME luxembourgeoise pourra potentiellement intégrer un bac a sable belge, français ou allemand si la couverture nationale equivalente est assuree.Le format peut être physique, numérique ou hybride : ce qui ouvre la voie a des bacs a sable spécialisés (fintech CSSF, healthtech, mobilite).Les autorités doivent allouer des ressources adequates : attendez-vous a des places limitees et a une selection par appel a candidatures.L'EU AI Office a Bruxelles supervisera la coherence entre bacs a sable nationaux, ce qui veut dire qu'un dossier mal prepare au Luxembourg sera visible au niveau européen.Le test 'innovation responsable' : comment se préparer des aujourd'huiLe considérant 138 exige une intégration de garanties et mesures d'attenuation des risques appropriees. C'est le critère d'admissibilite. Les entreprises qui documentent des aujourd'hui leur gouvernance IA (cartographie des modèles, évaluations d'impact, journaux de tests, traces de versionnement des modèles) auront un dossier credible. Celles qui attendent la publication officielle des modalites luxembourgeoises devront tout reconstruire a posteriori, sans les preuves contemporaines de leurs choix techniques.Comment Luxgap automatise ce risqueNotre Luxgap Sandbox Readiness Engine transforme votre projet IA en dossier de candidature pret a deposer auprès du futur bac a sable réglementaire luxembourgeois ou d'un bac a sable transfrontalier equivalent. L'outil scanne en continu vos pipelines MLOps (MLflow, Vertex AI, Azure ML, Databricks, Hugging Face Hub) et reconstitue automatiquement la cartographie de chaque modèle IA en développement, avec son niveau de risque AI Act, ses jeux de données d'entrainement, ses metriques de performance et ses garde-fous techniques, sans demander a vos data scientists de remplir un seul formulaire.Detecte automatiquement chaque nouveau modèle entraine ou fine-tune dans vos environnements connectes et le classe selon les catégories de risqu...

Considérant 138 AI Act — Considérant 138

Cadre européenRGPD NIS 2 DORAAI ActLanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 138

Règlement établissant des règles harmonisées sur l'intelligence artificielle · UE 2024/1689

(138)

L’IA est une famille de technologies en évolution rapide qui nécessite la mise en place d’un contrôle réglementaire et d’un espace sûr et contrôlé pour l’expérimentation, garantissant également une innovation responsable et l’intégration de garanties et de mesures d’atténuation des risques appropriées. Pour garantir un cadre juridique favorable à l’innovation, à l’épreuve du temps et résilient face aux perturbations, les États membres devraient veiller à ce que leurs autorités nationales compétentes mettent en place au moins un bac à sable réglementaire de l’IA au niveau national pour faciliter le développement et la mise à l’essai de systèmes d’IA innovants sous un contrôle réglementaire strict avant que ces systèmes ne soient mis sur le marché ou mis en service d’une autre manière. Les États membres pourraient également satisfaire à cette obligation en participant à des bacs à sable réglementaires déjà existants ou en établissant conjointement un bac à sable avec les autorités compétentes d’un ou de plusieurs États membres, pour autant que cette participation offre un niveau de couverture nationale équivalent pour les États membres participants. Les bacs à sable réglementaires de l’IA pourraient être mis en place sous forme physique, numérique ou hybride et admettre des produits tant physiques que numériques. Les autorités chargées de les mettre en place devraient également veiller à ce que les bacs à sable réglementaires de l’IA disposent des ressources appropriées pour assurer leur fonctionnement, y compris les ressources financières et humaines.

Spécificité Luxembourg

AI Act (UE 2024/1689) articles 57 a 63 ; autorite LU non encore designee a date

Au Luxembourg, l'autorité nationale de surveillance du marché IA n'est pas encore formellement désignée à date, ce qui signifié qu'aucun bac a sable réglementaire IA national n'est encore opérationnel. En pratique, les entreprises luxembourgeoises peuvent anticiper deux scénarios : un bac a sable national porté conjointement par l'ILR, la CNPD et potentiellement la CSSF pour le volet financier, ou une participation conjointe a un bac a sable transfrontalier (probablement avec la Belgique et la France compte tenu de la coherence réglementaire BENELUX). La CNPD reste competente pour le volet protection des données personnelles au sein de tout bac a sable, et l'EU AI Office a Bruxelles supervisera les modèles d'IA a usage general.

Pratique Luxgap : preparez votre dossier sandbox des maintenant avec une double conformité RGPD-AI Act, car au Luxembourg la CNPD sera incontournable et un dossier qui ignore l'angle protection des données sera rejete avant même l'examen technique IA.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 138 n'est pas une obligation directe pour les entreprises, mais il eclaire l'esprit dans lequel les autorités liront les articles 57 a 63 sur les bacs a sable réglementaires. Le piège classique : croire qu'un sandbox réglementaire equivaut a un environnement de test technique interne. Au Luxembourg, ou aucune autorité de surveillance IA n'est encore formellement désignée à date, beaucoup d'editeurs developpent des systèmes d'IA en pensant qu'ils pourront entrer dans un bac a sable après la mise sur le marché, alors que le texte exige l'inverse : avant la mise sur le marché. Les entreprises qui n'auront pas anticipe un dossier de candidature credible se verront refuser l'entree dans le bac a sable, et devront porter seules le risque de conformité a l'AI Act.

Ce que le considérant 138 change concretement pour vous

Le bac a sable est un privilège regule, pas un droit : il faut un dossier technique demontrant l'innovation et la maîtrise des risques.
La participation peut être transfrontalière : une PME luxembourgeoise pourra potentiellement intégrer un bac a sable belge, français ou allemand si la couverture nationale equivalente est assuree.
Le format peut être physique, numérique ou hybride : ce qui ouvre la voie a des bacs a sable spécialisés (fintech CSSF, healthtech, mobilite).
Les autorités doivent allouer des ressources adequates : attendez-vous a des places limitees et a une selection par appel a candidatures.
L'EU AI Office a Bruxelles supervisera la coherence entre bacs a sable nationaux, ce qui veut dire qu'un dossier mal prepare au Luxembourg sera visible au niveau européen.

Le test 'innovation responsable' : comment se préparer des aujourd'hui

Le considérant 138 exige une intégration de garanties et mesures d'attenuation des risques appropriees. C'est le critère d'admissibilite. Les entreprises qui documentent des aujourd'hui leur gouvernance IA (cartographie des modèles, évaluations d'impact, journaux de tests, traces de versionnement des modèles) auront un dossier credible. Celles qui attendent la publication officielle des modalites luxembourgeoises devront tout reconstruire a posteriori, sans les preuves contemporaines de leurs choix techniques.

Comment Luxgap automatise ce risque

Notre Luxgap Sandbox Readiness Engine transforme votre projet IA en dossier de candidature pret a deposer auprès du futur bac a sable réglementaire luxembourgeois ou d'un bac a sable transfrontalier equivalent. L'outil scanne en continu vos pipelines MLOps (MLflow, Vertex AI, Azure ML, Databricks, Hugging Face Hub) et reconstitue automatiquement la cartographie de chaque modèle IA en développement, avec son niveau de risque AI Act, ses jeux de données d'entrainement, ses metriques de performance et ses garde-fous techniques, sans demander a vos data scientists de remplir un seul formulaire.

Detecte automatiquement chaque nouveau modèle entraine ou fine-tune dans vos environnements connectes et le classe selon les catégories de risque AI Act (inacceptable, eleve, limite, minimal).
Genere le dossier de candidature au bac a sable preformate, incluant la description du système, le plan de test, les mesures de mitigation et la justification de l'innovation responsable conforme au considérant 138.
Calcule un score de maturite sandbox-ready qui materialise vos chances d'admission avant tout depot, base sur la completude documentaire et la robustesse des garde-fous.
Surveille les appels a candidatures publies par l'EU AI Office et les autorités nationales (LU, BE, FR, DE) et alerte des qu'un bac a sable thematique compatible avec votre projet ouvre ses inscriptions.
Produit un rapport PDF horodate, cryptographiquement scelle, opposable lors d'un contrôle, qui démontré que vos choix de conception integraient les garanties exigees des le debut du développement.

Disponible en complement d'un mandat DPO ou CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur vos modèles IA reels, avec un audit blanc gratuit sous 48h pour mesurer votre maturite avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 138

Ils nous font confiance

Avant de discuter