Exigences de journalisation de l'EU AI Act — Guide complet
L'EU AI Act impose des obligations de journalisation précises aux systèmes d'IA à haut risque déployés dans l'Union européenne. Ce guide détaille ces exigences et explique comment CertifiedData fournit l'infrastructure de certification cryptographique nécessaire pour y répondre.
Fondements réglementaires : Articles 12 et 19
Les exigences de journalisation de l'EU AI Act reposent principalement sur deux articles. L'Article 12 impose la mise en place de capacités de journalisation automatique permettant d'enregistrer les événements pertinents tout au long du fonctionnement du système d'IA à haut risque. L'Article 19 exige que la documentation technique, y compris les journaux et les enregistrements de données d'entraînement, soit conservée pendant au moins dix ans après la mise sur le marché du système. Ces deux obligations s'appliquent conjointement et doivent être satisfaites de manière intégrée dans l'architecture du système.
Contenu requis des journaux d'événements
Le règlement ne spécifie pas un format de journal particulier, mais précise que les journaux doivent permettre la surveillance a posteriori du comportement du système, l'identification d'anomalies et la reconstitution des décisions. En pratique, les journaux conformes doivent contenir : l'identifiant de l'événement, l'horodatage précis, l'identifiant du système d'IA, la nature de l'opération effectuée, les données d'entrée pertinentes, la décision ou la sortie produite, et l'identifiant de la session ou de l'utilisateur. Pour les données d'entraînement synthétiques, CertifiedData complète ces journaux opérationnels avec des certificats de provenance des données.
Intégrité cryptographique des journaux
Une exigence implicite mais fondamentale de la conformité à l'EU AI Act est l'intégrité des journaux : ils doivent être infalsifiables et toute tentative de modification doit être détectable. CertifiedData utilise des signatures Ed25519 pour garantir l'intégrité de chaque artefact de certification. La signature est calculée sur la représentation JSON canonique des métadonnées de l'artefact, incluant l'empreinte SHA-256 du jeu de données. Toute modification — même d'un seul octet — invalide la signature, ce qui sera immédiatement détecté lors d'une vérification via l'API de vérification publique.
Mise en conformité avec CertifiedData
CertifiedData simplifie la mise en conformité avec les exigences de journalisation de l'EU AI Act en fournissant une infrastructure de certification clé en main. L'intégration API permet d'automatiser la certification de chaque jeu de données synthétique utilisé en entraînement. Le registre public archivé de manière permanente répond aux exigences de conservation de l'Article 19. La vérification publique satisfait les exigences de transparence de l'Article 13. Et les journaux cryptographiquement signés répondent aux exigences d'intégrité implicites de l'Article 12. Consultez notre guide de conformité complet pour une analyse approfondie.