Le piège classique
Le considérant 93 deplace une partie de la responsabilité vers le deployeur du système d'IA a haut risque, et pas seulement vers le fournisseur. En pratique, beaucoup d'organisations luxembourgeoises pensent qu'acheter un outil d'IA RH, de scoring crédit ou de tri de CV les decharge de toute obligation : c'est faux. L'EU AI Office et la CNPD (pour le volet données personnelles) attendent que le deployeur documente le contexte reel d'usage, informe les personnes concernees et explicite les décisions prises. L'absence de cette information aux personnes physiques est l'angle de contrôle le plus simple a constater.
Ce que ce considérant impose concretement au deployeur
- Identifier les risques propres au contexte d'usage reel (pas seulement ceux prévus par le fournisseur), notamment pour les groupes vulnerables (mineurs, personnes en situation de handicap, demandeurs d'emploi, beneficiaires sociaux).
- Informer chaque personne physique qu'elle est soumise a un système d'IA a haut risque, en precisant la destination du système et le type de décisions qu'il produit ou facilite.
- Informer la personne de son droit a une explication prévu par l'AI Act (article 86).
- Pour les usages repressifs, articuler cette information avec l'article 13 de la directive (UE) 2016/680 (deja transposee au Luxembourg).
- Tracer ces informations de manière opposable : capture d'ecran de la notice, version du modèle, date d'affichage, canal utilise.
Le test 'mieux place pour comprendre' : la clé d'argumentation
Le considérant pose un principe d'asymetrie d'information : le deployeur est repute mieux place que le fournisseur pour anticiper les effets sur les personnes. Cela signifié qu'en cas de contrôle, l'argument 'c'est le fournisseur qui a concu l'algorithme' ne tient pas. Le deployeur doit démontrer qu'il a evalue le contexte spécifique (population concernee, décisions facilitees, voies de recours) et qu'il a informe les personnes en conséquence.
Comment Luxgap automatise ce risque
Notre Luxgap Deployer Disclosure Engine transforme l'obligation d'information du considérant 93 en couche logicielle opposable, declenchee automatiquement chaque fois qu'un système d'IA a haut risque produit ou facilite une décision concernant une personne physique. L'outil s'intercale entre vos applications metier (Workday, SAP SuccessFactors, Sage BOB 50, Salesforce, Odoo, plateformes de scoring crédit) et l'utilisateur final, en injectant une notice contextualisee, horodatee et versionnee, sans modifier votre code metier.
- Detecte automatiquement les flux decisionnels passant par un système d'IA a haut risque grace a un connecteur natif Microsoft Purview, Azure AI Foundry et AWS Bedrock.
- Genere la notice destinee a la personne physique avec la destination du système, le type de décision, le droit a explication article 86, et la traduit en FR / EN / DE / LU.
- Identifié les groupes vulnerables exposes (mineurs, beneficiaires sociaux, demandeurs d'emploi) en croisant les attributs de la population avec la grille EDPB et les lignes directrices de l'EU AI Office.
- Archive chaque affichage de notice avec scellement cryptographique (hash + horodatage qualifié eIDAS) pour produire une preuve opposable en cas de contrôle.
- Produit un registre des décisions assistees par IA, exportable au format attendu par l'EU AI Office et compatible avec le registre des activités de traitement CNPD.
- Alerte en temps reel via Teams ou Slack quand un nouveau cas d'usage non declare apparait dans le SI (shadow AI deployment).
Disponible en complement d'un mandat DPO ou CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre périmètre reel, avec un audit blanc gratuit sous 48h pour cartographier vos systèmes d'IA a haut risque avant tout engagement.
