Article 12 AI Act : enregistrement automatique des événements

Q: Quels sont les risques pour une PME qui ne respecte pas l'Article 12 ?

Les PME non conformes encourent des amendes pouvant atteindre 7% de leur chiffre d'affaires annuel, selon l'Article 83 du RGPD. En outre, elles risquent des poursuites pénales et une perte de confiance de leurs clients, ce qui peut nuire à leur réputation et à leur activité.

Q: Comment choisir un outil de journalisation adapté à ma PME ?

Pour choisir un outil de journalisation adapté, évaluez vos besoins spécifiques en termes de volume de données, de complexité du système d'IA et de budget. Optez pour des solutions modulables et sécurisées, et consultez des experts en conformité ou des fournisseurs spécialisés. La CNIL propose des guides pour aider à la sélection.

Q: Dois-je enregistrer les logs pour tous mes systèmes d'IA ?

Non, l'Article 12 s'applique uniquement aux systèmes d'IA de risque élevé. Les systèmes de risque limité et minimal ne sont pas concernés. Identifiez les systèmes de risque élevé dans votre entreprise pour déterminer les obligations applicables.

Q: Quelles sont les meilleures pratiques pour sécuriser les logs ?

Pour sécuriser les logs, utilisez des mécanismes de chiffrement, limitez l'accès aux données sensibles, mettez en place des audits réguliers et des mesures de protection contre la falsification. Assurez-vous que les logs sont stockés dans des environnements sécurisés et que les accès sont strictement contrôlés.

Q: Où puis-je obtenir de l'aide pour la mise en conformité avec l'Article 12 ?

Vous pouvez consulter le service desk de l'AI Act pour des questions techniques, consulter les guides de la CNIL, et solliciter l'aide d'experts en conformité ou de consultants spécialisés. Des outils de conformité sont également disponibles sur le marché pour faciliter la mise en œuvre.

TL;DR

L'essentiel en 30 secondes - L'Article 12 du Règlement (UE) 2024/1689 impose aux fournisseurs de systèmes d'IA à haut risque une journalisation automatique des événements (logs) tout au long du cycle de vie du système. - La durée minimale de conservation des logs est fixée à six mois par l'Art. 19, sauf disposition contraire du droit national ou de l'Union. - Les logs doivent couvrir au minimum : périodes d'utilisation, base de données de référence, données d'entrée ayant déclenché une correspondance, et identification des personnes ayant vérifié les résultats. - La CNIL recommande de protéger les journaux contre la falsification par chiffrement, horodatage signé et contrôle d'accès strict. - Les sanctions pour manquement aux obligations applicables aux systèmes à haut risque peuvent atteindre 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial (Art. 99 §4 AI Act), le montant le plus élevé étant retenu.

L'Article 12 du Règlement (UE) 2024/1689 — couramment appelé EU AI Act — est l'une des exigences techniques les plus structurantes pour les PME qui développent ou intègrent des systèmes d'intelligence artificielle classés à haut risque. Il impose une traçabilité automatique des événements survenus pendant l'exploitation du système. Cette obligation n'est ni théorique ni accessoire : elle conditionne la capacité du fournisseur à démontrer sa conformité en cas de contrôle, à investiguer un incident et à répondre aux demandes des autorités de surveillance du marché.

Cet article détaille le périmètre exact de l'Art. 12, les informations à enregistrer, la durée de conservation, les modalités techniques de mise en œuvre, les obligations connexes et les sanctions encourues. Il est destiné aux dirigeants, DPO, RSSI et IA Lead de PME françaises de 10 à 250 salariés qui doivent traduire le règlement en actions concrètes.

1. Qu'est-ce que l'Article 12 de l'AI Act ?

L'Article 12 du Règlement (UE) 2024/1689 porte le titre « Record-keeping » dans la version anglaise et « Tenue de registres » dans la version française. Il impose que les systèmes d'IA à haut risque soient conçus et développés avec des capacités techniques permettant l'enregistrement automatique d'événements (logs) tout au long de leur cycle de vie.

Principes fondateurs

Trois principes structurent cette exigence :

Automaticité : la journalisation doit être intégrée au système et ne dépend pas d'une action manuelle de l'opérateur ou de l'utilisateur final.
Conformité aux normes : les capacités de journalisation doivent respecter les normes ou spécifications communes reconnues dans leur domaine.
Traçabilité fonctionnelle : les logs doivent permettre d'identifier les situations susceptibles d'entraîner un risque au sens de l'Art. 79 §1 ou une modification substantielle du système.

Objectifs poursuivis par le législateur

Le considérant 71 du règlement explicite l'objectif : garantir un niveau de traçabilité du fonctionnement du système d'IA adapté à la finalité visée. Concrètement, l'Art. 12 vise à :

Faciliter le monitoring post-commercialisation (Art. 72) en fournissant la matière première à l'analyse des dérives.
Permettre aux autorités de surveillance du marché (en France, principalement la DGCCRF, l'ANSSI, la CNIL et l'ARCOM selon les secteurs) d'investiguer un incident.
Documenter le respect des obligations de gestion des risques (Art. 9) et de supervision humaine (Art. 14).

Pour une vue d'ensemble du règlement applicable aux PME, consultez le pillar AI Act pour les PME françaises.

2. Quels systèmes d'IA sont concernés ?

L'Art. 12 s'applique exclusivement aux systèmes d'IA à haut risque, tels que définis à l'Art. 6 et listés à l'Annexe III du Règlement (UE) 2024/1689.

Catégories couvertes

Catégorie Annexe III	Exemples concrets	Secteur typique
1. Biométrie	Identification biométrique à distance, catégorisation biométrique	Sécurité, contrôle d'accès
2. Infrastructures critiques	Gestion du trafic routier, eau, gaz, électricité	Énergie, transports
3. Éducation et formation	Admission, évaluation des apprenants, détection de fraude aux examens	EdTech
4. Emploi et RH	Tri de CV, évaluation de candidats, attribution de tâches	Recrutement, intérim
5. Accès aux services essentiels	Scoring crédit, éligibilité aux aides publiques, tarification assurance	Banque, assurance, secteur public
6. Application de la loi	Évaluation du risque de récidive, polygraphes	Forces de l'ordre
7. Migration et contrôle aux frontières	Évaluation des demandes de visa, vérification de documents	Administration
8. Justice et processus démocratiques	Aide à la décision judiciaire, recherche jurisprudentielle	Tribunaux

Les systèmes relevant de l'Art. 6 §1 (composants de sécurité de produits déjà soumis à une législation d'harmonisation européenne — listée à l'Annexe I) sont également concernés. Cela inclut par exemple les dispositifs médicaux IA (Règlement (UE) 2017/745), les machines connectées et les véhicules.

Systèmes exclus

Sont hors champ de l'Art. 12 :

Les systèmes à risque limité (Art. 50) — chatbots, deepfakes : obligations de transparence uniquement.
Les systèmes à risque minimal — la grande majorité des usages IA en PME (filtres anti-spam, recommandations marketing standards).
Les systèmes à risque inacceptable (Art. 5) — qui sont purement et simplement interdits, et pour lesquels la question de la journalisation ne se pose donc pas.

Pour qualifier précisément vos systèmes, référez-vous au glossaire des concepts de l'AI Act.

Cartographier vos systèmes d'IA à haut risque

Notre pack documentaire inclut une matrice de qualification des systèmes selon l'Annexe III, un registre des logs conforme à l'Art. 12 et un modèle de procédure de conservation. Validé par notre comité juridique.

Demander un devis pack conformité

3. Quelles informations doivent être enregistrées ?

L'Art. 12 §2 et §3 précise le contenu minimal des logs, en distinguant les systèmes à haut risque en général et les systèmes biométriques à distance en particulier.

Exigences générales (Art. 12 §2)

Les capacités de journalisation doivent permettre l'enregistrement d'événements pertinents pour :

Identifier les situations pouvant conduire à un risque au sens de l'Art. 79 §1 (systèmes présentant un risque pour la santé, la sécurité ou les droits fondamentaux).
Identifier les modifications substantielles du système.
Faciliter le monitoring post-commercialisation prévu à l'Art. 72.
Surveiller le fonctionnement des systèmes à haut risque dans la durée.

Exigences renforcées pour la biométrie à distance (Art. 12 §3)

Pour les systèmes d'identification biométrique à distance visés à l'Annexe III §1.a, les logs doivent au minimum inclure :

Élément à enregistrer	Finalité
Période d'utilisation de chaque exploitation (date et heure de début et de fin)	Traçabilité temporelle
Base de données de référence utilisée	Vérifier la légitimité de la source
Données d'entrée ayant produit une correspondance	Reconstruire le contexte d'une décision
Identification des personnes ayant vérifié les résultats	Imputabilité de la supervision humaine (Art. 14)

Bonnes pratiques pour les autres systèmes à haut risque

Le texte laisse aux fournisseurs une marge d'appréciation pour les autres catégories. Une journalisation conforme aux standards du marché inclura typiquement :

Entrées : horodatage, identifiant utilisateur, données soumises au modèle (ou leur empreinte si données sensibles).
Sorties : résultat produit, score de confiance, explication éventuelle.
Conditions opérationnelles : version du modèle, version des données d'entraînement, paramètres d'inférence.
Performances : latence, taux d'erreur, signaux de dérive (drift detection).
Événements de supervision humaine : validation ou rejet par un opérateur, motif.

La norme ISO/IEC 42001:2023 (Système de management de l'IA) et la norme ISO/IEC 27001:2022 (sécurité de l'information) fournissent un cadre cohérent pour structurer ces journaux.

4. Durée de conservation des logs

L'Article 12 ne fixe pas lui-même de durée. Celle-ci est définie à l'Article 19 du Règlement (UE) 2024/1689.

Règle générale

L'Art. 19 §1 dispose que les fournisseurs de systèmes d'IA à haut risque conservent les logs générés automatiquement par leurs systèmes pour une période appropriée à la finalité visée du système d'IA à haut risque, d'au moins six mois, sauf dispositions contraires du droit de l'Union ou du droit national applicable, notamment en matière de protection des données à caractère personnel.

Tableau récapitulatif

Acteur	Obligation	Durée minimale
Fournisseur du système à haut risque	Conservation des logs générés automatiquement (Art. 19 §1)	6 mois
Déployeur établissement financier soumis au droit UE	Conservation au titre de la documentation interne	Selon la législation sectorielle (souvent 5 à 10 ans)
Déployeur autre (Art. 26 §6)	Conservation des logs sous son contrôle	6 mois minimum, sauf droit UE/national plus protecteur

Articulation avec le RGPD

Si les logs contiennent des données à caractère personnel — ce qui est presque toujours le cas pour les systèmes biométriques, RH, scoring crédit — le principe de limitation de la conservation (Art. 5 §1 e RGPD) s'applique. La durée doit être strictement nécessaire aux finalités poursuivies.

En pratique, il convient de définir une politique de conservation différenciée :

Logs techniques anonymisés : conservation longue (12 à 36 mois) pour le monitoring.
Logs contenant des données identifiantes : 6 mois par défaut, prolongation justifiée au cas par cas.
Logs liés à un incident : conservation jusqu'à clôture de l'investigation et expiration des délais de prescription.

La CNIL a publié plusieurs fiches pratiques sur l'articulation RGPD/AI Act que nous recensons dans notre page sources officielles.

5. Comment mettre en œuvre la journalisation ?

La mise en œuvre concrète mobilise des compétences techniques, juridiques et organisationnelles. Voici un séquencement opérationnel pour une PME.

Étape 1 : Cartographier les systèmes concernés

Lister tous les systèmes d'IA développés ou déployés.
Classer chacun selon l'Art. 6 et l'Annexe III.
Pour chaque système à haut risque, désigner un responsable conformité IA (souvent le DPO ou un IA Lead).

Étape 2 : Définir le périmètre des événements à journaliser

Type d'événement	Niveau de détail	Sensibilité
Entrée du modèle	Empreinte ou donnée brute	Variable selon RGPD
Sortie du modèle	Résultat + score	Faible
Configuration et version	Identifiant version	Faible
Erreur d'inférence	Stack trace + contexte	Moyenne
Action de supervision humaine	Identité opérateur + décision	Élevée (données RH)

Étape 3 : Choisir une architecture de journalisation

Trois options principales s'offrent aux PME :

Stack open source : Elasticsearch + Logstash + Kibana (ELK), ou Loki + Grafana. Coût maîtrisé mais expertise technique requise.
Solution SaaS : Datadog, Splunk Cloud, Sumo Logic. Démarrage rapide, coût récurrent.
Service managé cloud : AWS CloudWatch + S3, Azure Monitor, Google Cloud Logging. Cohérent si l'IA est déjà hébergée sur le même cloud.

Étape 4 : Sécuriser les journaux

La sécurisation est un point d'attention de la CNIL. Les mesures recommandées :

Chiffrement au repos (AES-256) et en transit (TLS 1.3).
Contrôle d'accès basé sur les rôles (RBAC), avec journalisation des accès aux logs eux-mêmes.
Horodatage signé ou ancrage cryptographique (par exemple WORM storage) pour garantir l'intégrité.
Séparation des environnements : les logs de production ne doivent pas être accessibles depuis les environnements de développement.

Étape 5 : Documenter et former

La documentation technique (Annexe IV du règlement) doit décrire le dispositif de journalisation. Les équipes opérationnelles doivent être formées à la consultation et à la non-altération des logs.

6. Obligations supplémentaires pour les fournisseurs

L'Art. 12 ne se lit pas isolément. Il s'articule avec plusieurs autres obligations du règlement.

Mise à disposition aux autorités (Art. 21)

L'Art. 21 §1 impose aux fournisseurs, sur demande motivée d'une autorité compétente, de fournir toutes les informations et la documentation nécessaires pour démontrer la conformité du système à haut risque, dans une langue officielle de l'État membre concerné. Les logs en font partie.

Conservation par le déployeur (Art. 26 §6)

Les déployeurs (entreprises utilisatrices du système) doivent eux aussi conserver les logs générés par le système pour une période appropriée à la finalité, au minimum six mois, sauf disposition contraire.

Documentation technique (Art. 11 + Annexe IV)

La documentation technique du système à haut risque doit décrire les capacités de journalisation prévues par l'Art. 12. C'est un livrable contrôlable par les autorités notifiées dans le cadre de l'évaluation de conformité (Art. 43).

Coopération en cas d'incident grave (Art. 73)

En cas d'incident grave, le fournisseur doit notifier les autorités de surveillance dans un délai de 15 jours au plus tard (3 jours pour les incidents impliquant infrastructure critique, 10 jours en cas de décès). Les logs sont l'élément central de l'investigation à conduire.

Obligation connexe	Article	Délai / fréquence
Documentation technique	Art. 11 + Annexe IV	Avant mise sur le marché
Conservation des logs	Art. 19	6 mois minimum
Mise à disposition aux autorités	Art. 21	Sur demande motivée
Conservation par le déployeur	Art. 26 §6	6 mois minimum
Notification d'incident grave	Art. 73	3, 10 ou 15 jours selon la gravité
Monitoring post-commercialisation	Art. 72	Continu

Sécuriser votre dispositif de journalisation

Notre pack inclut un modèle de procédure interne de journalisation conforme aux Art. 12, 19 et 26 §6, un registre des accès aux logs et une checklist de sécurisation alignée ISO/IEC 27001:2022.

Obtenir le pack journalisation IA

7. Sanctions pour non-conformité

Les sanctions applicables aux manquements aux obligations sur les systèmes à haut risque sont définies à l'Article 99 du Règlement (UE) 2024/1689, et non à l'Article 83 du RGPD comme on le lit parfois par confusion.

Plafonds d'amende administrative

Type de manquement	Article	Plafond
Pratiques interdites	Art. 5	35 M€ ou 7 % du CA mondial
Manquement aux obligations autres (dont Art. 12, 19, 26)	Art. 99 §4	15 M€ ou 3 % du CA mondial
Information inexacte aux autorités	Art. 99 §5	7,5 M€ ou 1 % du CA mondial

Le montant retenu est le plus élevé des deux. Pour les PME (au sens de la recommandation 2003/361/CE), l'Art. 99 §6 prévoit que le montant le moins élevé est retenu, ce qui constitue une atténuation notable.

Critères d'appréciation

L'Art. 99 §7 liste les critères pris en compte par l'autorité :

Nature, gravité et durée de l'infraction.
Caractère intentionnel ou négligent.
Mesures prises pour atténuer le dommage.
Coopération avec l'autorité.
Degré de responsabilité (fournisseur, déployeur, importateur).
Antécédents.

Conséquences indirectes

Au-delà de l'amende, les conséquences peuvent inclure :

Retrait du marché du système non conforme.
Interdiction de mise à disposition dans l'Union.
Atteinte réputationnelle auprès des clients B2B, qui exigent désormais des attestations de conformité dans leurs appels d'offres.
Recours civils des personnes affectées par une décision automatisée mal documentée.

Pour le détail du régime de sanctions, consultez notre article dédié sanctions AI Act et amendes pour les PME.

8. Ressources pour les PME

Plusieurs ressources gratuites permettent aux PME de progresser sans recourir immédiatement à un cabinet spécialisé.

Ressources institutionnelles

AI Office (Commission européenne) : guide d'interprétation du règlement, FAQ, modèles à venir.
AI Act Service Desk : guichet officiel pour les questions techniques sur l'application du règlement.
CNIL : 13 fiches pratiques sur l'IA et le RGPD, dont plusieurs traitent indirectement de la journalisation et de la traçabilité.
Cigref : guide AI Act publié en janvier 2025, orienté grands comptes mais utile en référentiel.
Numeum : guide AI Act publié en mars 2025, orienté éditeurs et intégrateurs.

Normes techniques mobilisables

Norme	Apport pour l'Art. 12
ISO/IEC 42001:2023	Système de management de l'IA — chapitre 8 sur le contrôle opérationnel
ISO/IEC 23894:2023	Gestion du risque IA — traçabilité des risques
ISO/IEC 27001:2022	Sécurité de l'information — annexe A sur la journalisation
ISO/IEC 27037:2012	Identification, collecte et préservation des preuves numériques

Autorités sectorielles françaises

Selon le secteur d'activité, d'autres autorités peuvent être compétentes : ACPR (banque, assurance), ANSM (santé), HAS (dispositifs médicaux logiciels), ARCEP (télécoms), ARCOM (audiovisuel et plateformes), DGCCRF (consommation). Une cartographie complète figure dans nos sources officielles.

FAQ

Q : Quels sont les risques pour une PME qui ne respecte pas l'Article 12 ?

Les manquements aux obligations applicables aux systèmes à haut risque sont sanctionnés par l'Article 99 §4 du Règlement (UE) 2024/1689, et non par l'Art. 83 du RGPD. Les amendes peuvent atteindre 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Pour les PME, l'Art. 99 §6 prévoit que le montant le moins élevé s'applique, ce qui constitue une atténuation. S'y ajoutent le retrait possible du marché, des recours civils des personnes affectées et un impact réputationnel auprès des clients B2B.

Q : Comment choisir un outil de journalisation adapté à ma PME ?

Évaluez d'abord vos besoins en volume (nombre d'événements par jour), en latence (temps réel ou différé), en rétention (6 mois ou plus selon le RGPD) et en budget. Trois familles de solutions coexistent : stack open source (ELK, Loki) maîtrisée mais exigeante en compétences ; SaaS spécialisé (Datadog, Splunk) rapide à déployer mais à coût récurrent ; service managé cloud (AWS, Azure, GCP) cohérent si l'IA est déjà hébergée chez le même fournisseur. Privilégiez les solutions offrant chiffrement, contrôle d'accès RBAC et horodatage signé.

Q : Dois-je enregistrer les logs pour tous mes systèmes d'IA ?

Non. L'Art. 12 s'applique exclusivement aux systèmes d'IA à haut risque définis à l'Art. 6 et listés à l'Annexe III du règlement. Les systèmes à risque limité (chatbots, deepfakes) ne sont soumis qu'à des obligations de transparence (Art. 50). Les systèmes à risque minimal — la grande majorité des usages IA en PME — ne sont pas concernés. La première étape consiste donc à qualifier chaque système avant de déployer un dispositif de journalisation.

Q : Quelles sont les meilleures pratiques pour sécuriser les logs ?

La sécurisation s'articule autour de cinq mesures : chiffrement au repos (AES-256) et en transit (TLS 1.3) ; contrôle d'accès basé sur les rôles avec journalisation des consultations ; horodatage signé ou stockage WORM pour garantir l'intégrité ; séparation stricte entre environnements de production et de développement ; audits réguliers (au minimum annuels). Ces mesures sont alignées sur la norme ISO/IEC 27001:2022 annexe A et sur les recommandations de la CNIL en matière de journalisation.

Q : Où puis-je obtenir de l'aide pour la mise en conformité avec l'Article 12 ?

L'AI Act Service Desk de la Commission européenne répond aux questions techniques d'interprétation. La CNIL publie 13 fiches pratiques sur l'IA. Les guides Cigref (janvier 2025) et Numeum (mars 2025) offrent une lecture professionnelle du règlement. Pour un accompagnement opérationnel, des cabinets spécialisés en compliance IA proposent des audits. Les éditeurs de packs documentaires comme regulia fournissent des modèles de procédures et de registres directement adaptables aux PME.

Sources officielles

Règlement (UE) 2024/1689 — version consolidée EUR-Lex
Texte intégral commenté de l'AI Act
AI Act Service Desk — Commission européenne
CNIL — page dédiée à l'AI Act
ISO/IEC 42001:2023 — Information technology — Artificial intelligence — Management system
ISO/IEC 23894:2023 — Artificial intelligence — Guidance on risk management
ISO/IEC 27001:2022 — Information security management systems

Disclaimer

Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.

Article 12 AI Act : enregistrement automatique des événements pour les systèmes d'IA à haut risque