Article 19 de l'EU AI Act — Conservation de la documentation technique
L'Article 19 du règlement européen sur l'intelligence artificielle impose aux fournisseurs de systèmes d'IA à haut risque de conserver la documentation technique pendant au moins dix ans après la mise sur le marché. CertifiedData archive de manière permanente les certificats de données synthétiques dans un registre public vérifiable.
Que prévoit l'Article 19 sur la documentation ?
L'Article 19 du règlement (UE) 2024/1689 établit des obligations de conservation applicables aux fournisseurs de systèmes d'IA à haut risque. La documentation technique établie conformément à l'Article 11 doit être conservée pendant dix ans à compter de la date de mise sur le marché ou de mise en service du système d'IA. Cette documentation comprend notamment la description du système, les spécifications de conception, les données d'entraînement utilisées, les résultats des tests de validation, et les mesures prises pour satisfaire les exigences essentielles du règlement. Ces documents doivent rester accessibles aux autorités nationales compétentes sur simple demande.
Archivage cryptographique pour la durée réglementaire
CertifiedData résout le problème de la conservation à long terme en archivant chaque certificat dans le registre public de manière permanente. Contrairement à un système de fichiers interne susceptible d'être altéré ou supprimé, le registre CertifiedData est un journal immuable : une fois un certificat émis, son contenu est verrouillé par la signature Ed25519 de l'autorité émettrice "Certified Data LLC". Toute tentative de modification du certificat invalidera la signature, ce qui sera immédiatement détectable lors d'une vérification via l'interface de transparence publique.
Documentation technique des données synthétiques d'entraînement
Les données d'entraînement constituent une composante centrale de la documentation technique exigée par l'Article 11, qui alimente les obligations de conservation de l'Article 19. Pour les systèmes entraînés sur des données synthétiques, chaque certificat CertifiedData documente : l'algorithme de génération (CTGAN), le nombre de lignes et de colonnes, l'empreinte SHA-256 du jeu de données, la date et l'heure de génération au format ISO-8601, et l'identifiant unique du jeu de données. Ces informations structurées constituent la documentation de provenance des données exigée par le règlement et sont accessibles via l'API publique de CertifiedData.
Répondre aux demandes des autorités nationales compétentes
L'Article 19 ne se limite pas à la conservation : la documentation doit être produite sur demande des autorités de surveillance du marché. CertifiedData facilite cette obligation en rendant chaque certificat accessible via une URL pérenne et en exposant une API de vérification publique. Un auditeur ou une autorité réglementaire peut vérifier indépendamment l'authenticité d'un certificat à tout moment, sans dépendre de l'organisation qui l'a émis. Cette capacité de vérification indépendante est un argument de conformité central dans le cadre de l'EU AI Act.