Je dois mettre mon organisation luxembourgeoise en conformité au considérant 91 du AI Act (UE 2024/1689). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 91 eclaire l'article 26 du AI Act : il rappelle que le deployeur (l'entreprise qui utilise un système d'IA a haut risque, même achete sur etagere) porté une responsabilité opérationnelle distincte de celle du fournisseur. En pratique, les organisations luxembourgeoises qui deploient un outil de scoring RH, de tri de CV ou d'aide a la décision médicale pensent être simples utilisatrices et negligent les obligations de monitoring, de journalisation et de competence du personnel. L'EU AI Office et la future autorité de surveillance du marché IA au Luxembourg s'appuieront sur ce considérant pour qualifier le manquement de defaut de diligence, et la CNPD pourra mobiliser le même raisonnement sous l'angle de l'article 22 RGPD pour les décisions automatisées.Les quatre obligations opérationnelles que ce considérant impose aux deployeursMesures techniques et organisationnelles garantissant que l'usage reel correspond a la notice d'utilisation du fournisseur (périmètre, données d'entree, cas d'usage exclus).Surveillance du fonctionnement en conditions reelles : derive du modèle, taux de faux positifs, biais qui apparaissent post-deploiement, incidents a remonter au fournisseur et a l'autorité.Tenue de registres (logs) conformes a l'article 12 du AI Act, conservation suffisante pour permettre un audit ex-post.Competence et autorité du personnel : AI literacy au sens de l'article 4, formation documentee, et surtout autorité reelle pour passer outre la recommandation de la machine (le contrôle humain factice est explicitement visé).Le considérant précisé que ces obligations s'ajoutent a celles du RGPD, de NIS 2 ou de DORA selon le secteur. Une banque luxembourgeoise qui deploie un modèle de crédit scoring cumule donc obligations AI Act (deployeur), DORA (résilience opérationnelle du système TIC) et RGPD (article 22, AIPD).Comment Luxgap automatise ce risqueNotre Luxgap AI Deployer Cockpit transforme la responsabilité floue du deployeur en tableau de bord opposable, qui prouve en permanence que votre usage reel reste dans les rails de la notice d'utilisation du fournisseur. L'outil se branche en lecture sur vos systèmes d'IA en production (API OpenAI Enterprise, Azure AI Foundry, AWS Bedrock, Mistral La Plateforme, Hugging Face Inference, modèles internes deployes sur Kubernetes), capte les prompts, les sorties et les metadonnees d'usage, puis confronte ce flux a la fiche technique du modèle et a votre matrice de cas d'usage autorises.Detecte automatiquement les usages hors-perimetre (un modèle autorise pour le tri de CV qui finit par évaluer la performance des salariés) et alerte le DPO et le metier en moins de cinq minutes.Mesure en continu la derive du modèle, le taux de refus humain et la répartition demographique des décisions pour materialiser les biais emergents post-deploiement.Journalise chaque interaction avec horodatage signe cryptographiquement, conformément aux exigences de tenue de registres de l'article 26(6)...

Considérant 91 AI Act — Considérant 91

Cadre européenRGPD NIS 2 DORAAI ActLanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 91

Règlement établissant des règles harmonisées sur l'intelligence artificielle · UE 2024/1689

(91)

Compte tenu de la nature des systèmes d’IA et des risques pour la sécurité et les droits fondamentaux potentiellement associés à leur utilisation, notamment en ce qui concerne la nécessité d’assurer un suivi adéquat de la performance d’un système d’IA dans un contexte réel, il convient de définir des responsabilités spécifiques pour les déployeurs. Les déployeurs devraient en particulier prendre des mesures techniques et organisationnelles appropriées pour pouvoir utiliser les systèmes d’IA à haut risque conformément à la notice d’utilisation, et certaines autres obligations devraient être prévues en ce qui concerne la surveillance du fonctionnement des systèmes d’IA et la tenue de registres, selon le cas. En outre, les déployeurs devraient veiller à ce que les personnes chargées de mettre en œuvre la notice d’utilisation et au contrôle humain des systèmes énoncées dans le présent règlement possèdent les compétences nécessaires, en particulier un niveau adéquat de maîtrise, de formation et d’autorité en matière d’IA pour s’acquitter correctement de ces tâches. Ces obligations devraient être sans préjudice des autres obligations des déployeurs en ce qui concerne les systèmes d’IA à haut risque en vertu du droit de l’Union ou du droit national.

Spécificité Luxembourg

AI Act (UE 2024/1689) article 26 combine avec la loi du 1er aout 2018 relative a la protection des personnes physiques a l'egard du traitement des donnees a caractere personnel

Au Luxembourg, l'autorité de surveillance du marché IA n'est pas encore formellement désignée à date, mais la CNPD reste competente sur le volet protection des données personnelles des systèmes d'IA, et la CSSF peut intervenir des qu'un deployeur est une entité financiere réglementée (cumul AI Act + DORA + circulaire CSSF 22/806 sur l'externalisation TIC). Pour les secteurs santé et public, l'ILR et la HCPN sont vigilants sur la dualité AI Act + NIS 2.

Pratique Luxgap : nous recommandons de nommer formellement un responsable deployeur IA distinct du DPO, avec une lettre de mission ecrite mentionnant explicitement l'autorité d'override des recommandations algorithmiques, document que la CNPD demande systématiquement lors de ses contrôles depuis 2024.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 91 eclaire l'article 26 du AI Act : il rappelle que le deployeur (l'entreprise qui utilise un système d'IA a haut risque, même achete sur etagere) porté une responsabilité opérationnelle distincte de celle du fournisseur. En pratique, les organisations luxembourgeoises qui deploient un outil de scoring RH, de tri de CV ou d'aide a la décision médicale pensent être simples utilisatrices et negligent les obligations de monitoring, de journalisation et de competence du personnel. L'EU AI Office et la future autorité de surveillance du marché IA au Luxembourg s'appuieront sur ce considérant pour qualifier le manquement de defaut de diligence, et la CNPD pourra mobiliser le même raisonnement sous l'angle de l'article 22 RGPD pour les décisions automatisées.

Les quatre obligations opérationnelles que ce considérant impose aux deployeurs

Mesures techniques et organisationnelles garantissant que l'usage reel correspond a la notice d'utilisation du fournisseur (périmètre, données d'entree, cas d'usage exclus).
Surveillance du fonctionnement en conditions reelles : derive du modèle, taux de faux positifs, biais qui apparaissent post-deploiement, incidents a remonter au fournisseur et a l'autorité.
Tenue de registres (logs) conformes a l'article 12 du AI Act, conservation suffisante pour permettre un audit ex-post.
Competence et autorité du personnel : AI literacy au sens de l'article 4, formation documentee, et surtout autorité reelle pour passer outre la recommandation de la machine (le contrôle humain factice est explicitement visé).

Le considérant précisé que ces obligations s'ajoutent a celles du RGPD, de NIS 2 ou de DORA selon le secteur. Une banque luxembourgeoise qui deploie un modèle de crédit scoring cumule donc obligations AI Act (deployeur), DORA (résilience opérationnelle du système TIC) et RGPD (article 22, AIPD).

Comment Luxgap automatise ce risque

Notre Luxgap AI Deployer Cockpit transforme la responsabilité floue du deployeur en tableau de bord opposable, qui prouve en permanence que votre usage reel reste dans les rails de la notice d'utilisation du fournisseur. L'outil se branche en lecture sur vos systèmes d'IA en production (API OpenAI Enterprise, Azure AI Foundry, AWS Bedrock, Mistral La Plateforme, Hugging Face Inference, modèles internes deployes sur Kubernetes), capte les prompts, les sorties et les metadonnees d'usage, puis confronte ce flux a la fiche technique du modèle et a votre matrice de cas d'usage autorises.

Detecte automatiquement les usages hors-perimetre (un modèle autorise pour le tri de CV qui finit par évaluer la performance des salariés) et alerte le DPO et le metier en moins de cinq minutes.
Mesure en continu la derive du modèle, le taux de refus humain et la répartition demographique des décisions pour materialiser les biais emergents post-deploiement.
Journalise chaque interaction avec horodatage signe cryptographiquement, conformément aux exigences de tenue de registres de l'article 26(6) du AI Act.
Vérifié la AI literacy effective de chaque utilisateur via un parcours de formation traçable, et bloque l'accès au système tant que l'attestation n'est pas à jour.
Genere un rapport trimestriel d'usage opposable a l'EU AI Office et a la CNPD, qui démontré le respect simultane de l'article 26 du AI Act et de l'article 22 du RGPD.
Produit la preuve d'autorité humaine reelle en mesurant le taux d'override des recommandations algorithmiques (un taux trop bas signale un contrôle humain factice).

Disponible en complement d'un mandat DPO ou CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur vos systèmes d'IA reellement deployes, avec un audit blanc gratuit sous 48h pour cartographier vos cas d'usage et mesurer l'ecart entre votre pratique actuelle et les exigences du considérant 91.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 91

Ils nous font confiance

Avant de discuter