Plateforme de journalisation des décisions IA pour la conformité EU AI Act
Les systèmes d'IA à haut risque sont tenus de journaliser automatiquement leurs décisions et opérations. CertifiedData fournit l'infrastructure de certification permettant de produire des journaux de décisions cryptographiquement signés, vérifiables par des tiers et archivés de manière permanente.
Pourquoi la journalisation des décisions IA est-elle obligatoire ?
L'EU AI Act (Règlement 2024/1689) impose aux fournisseurs et déployeurs de systèmes d'IA à haut risque de mettre en place des mécanismes de journalisation automatique conformément à l'Article 12. Ces exigences visent à permettre la surveillance a posteriori du comportement du système, la détection d'anomalies et la responsabilisation des opérateurs. Dans des domaines comme le crédit, le recrutement, les soins de santé ou la gestion des frontières, chaque décision prise par un système d'IA doit être documentée de manière à permettre sa reconstitution et son interprétation par des auditeurs humains.
CertifiedData comme autorité de certification des artefacts IA
CertifiedData joue le rôle d'autorité de certification pour les artefacts d'IA, de manière analogue à ce que font les autorités de certification TLS pour les sites web. Chaque artefact soumis à la plateforme — jeu de données synthétique, résultat de modèle, sortie algorithmique — reçoit un certificat contenant une empreinte SHA-256, un horodatage, les métadonnées de l'artefact et une signature numérique Ed25519. Ce certificat constitue une preuve cryptographique que l'artefact existait à un instant précis, dans un état précis, et qu'il a été produit selon un processus documenté.
Architecture d'une plateforme de journalisation conforme
Une plateforme de journalisation des décisions IA conforme au règlement doit satisfaire quatre critères : intégrité (les journaux ne peuvent être modifiés après leur création), authenticité (l'émetteur des journaux est identifiable et vérifiable), disponibilité (les journaux restent accessibles pendant la durée de conservation réglementaire), et complétude (tous les événements pertinents sont capturés). CertifiedData répond à ces quatre critères via son système de signatures Ed25519, son registre public, ses URL pérennes et son pipeline de certification couvrant l'ensemble du cycle de vie de l'artefact.
Intégration dans votre pipeline IA existant
CertifiedData s'intègre dans les pipelines IA existants via une API REST. Après génération d'un jeu de données synthétique ou d'un artefact de modèle, un appel à l'API de certification crée un enregistrement immuable dans le registre public. Le certificat émis peut être consulté via le registre de transparence ou vérifié programmatiquement via le point d'accès de vérification public, sans nécessiter d'authentification. Cette capacité de vérification par des tiers est une exigence clé pour la conformité à l'EU AI Act.