Journalisation des logs IA : conformité avec l'Article 12 de l'AI Act

La traçabilité n'est plus une option pour les systèmes d'IA sensibles. L'Article 12 du Règlement (UE) 2024/1689 impose l'enregistrement automatique des événements pour les systèmes d'IA à haut risque. Ce guide explique concrètement ce que votre PME doit journaliser, combien de temps conserver ces données, et comment éviter les sanctions.

L'essentiel en 30 secondes

  • L'Article 12 du Règlement (UE) 2024/1689 impose la journalisation automatique des événements pour les systèmes d'IA à haut risque (Art. 12(1)).
  • Les logs doivent garantir la traçabilité du fonctionnement, l'identification des risques et le suivi des modifications substantielles (Art. 12(2) et (3)).
  • Le manquement expose à une amende de 15 M€ ou 3 % du CA mondial (Art. 99(4)) — pour les PME, le montant le plus faible s'applique (Art. 99(6)).
  • Durée de conservation des logs : au moins 6 mois, sauf droit contraire (Art. 19 pour le fournisseur, Art. 26(6) pour le déployeur).
  • Le service desk de l'AI Act (ai-act-service-desk.ec.europa.eu) fournit un appui pratique gratuit.

1. Contexte réglementaire : l'Article 12 de l'AI Act

L'EU AI Act structure ses obligations selon le niveau de risque. Les systèmes classés « haut risque » supportent les contraintes les plus lourdes. La journalisation en fait partie.

L'Article 12 du Règlement (UE) 2024/1689 exige que ces systèmes permettent techniquement l'enregistrement automatique des événements pendant toute leur durée de vie. C'est une obligation de conception, pas un simple registre manuel.

Deux principes fondent cette exigence :

  • La transparence. Un système à haut risque doit rester auditable par les autorités et par l'organisation elle-même.
  • La traçabilité. L'Art. 12(2) vise l'identification des situations pouvant présenter un risque ou justifier une modification substantielle.

Pour situer cette obligation dans l'ensemble du dispositif, consultez notre guide pilier AI Act pour les PME françaises.

Notion Référence AI Act Ce que cela signifie
Capacité de journalisation Art. 12(1) Le système doit techniquement enregistrer les événements
Objectif de traçabilité Art. 12(2) Identifier risques et modifications substantielles
Contenu minimal des logs Art. 12(3) Périodes, données de référence, personnes impliquées
Conservation Art. 19 / Art. 26(6) Au moins 6 mois, sauf droit contraire

2. Qu'est-ce que la journalisation des logs IA ?

Un « log » IA est un enregistrement horodaté d'un événement produit par le système. Il documente ce qui est entré, ce qui est sorti, et dans quelles conditions.

La journalisation couvre trois familles de données :

  • Les entrées. Données soumises au système, paramètres de configuration, versions du modèle.
  • Les sorties. Décisions, scores, recommandations, classifications automatisées.
  • Le contexte. Horodatage, identifiants d'utilisateur, erreurs système, périodes d'utilisation.

L'objectif est double : garantir la reproductibilité d'une décision et établir la responsabilité en cas de litige. Un recruteur écarté par un algorithme doit pouvoir savoir sur quelles bases.

L'Art. 12(3) précise les éléments minimaux à enregistrer pour les systèmes de l'Annexe III concernés : périodes d'utilisation, données d'entrée ayant conduit à un signalement, et identification des personnes physiques associées à la vérification des résultats.

Pour les définitions techniques employées ici, reportez-vous à notre glossaire AI Act.

3. Obligations spécifiques pour les PME

Une PME peut être concernée à deux titres : comme fournisseur (elle développe le système) ou comme déployeur (elle l'utilise). Les obligations diffèrent.

Le fournisseur conçoit la capacité de journalisation (Art. 12) et conserve les logs sous son contrôle pendant au moins 6 mois (Art. 19). Le déployeur conserve les logs générés qui sont sous son contrôle, également au moins 6 mois, sauf droit contraire (Art. 26(6)).

Cette durée peut être allongée par le droit national ou le droit de l'Union — notamment en matière de protection des données personnelles. La CNIL publie des fiches pratiques IA utiles sur ce point.

Les logs doivent rester accessibles aux autorités de contrôle compétentes sur demande. En France, l'autorité de surveillance du marché sera désignée dans le cadre national d'application.

Rôle de la PME Obligation principale Base légale Conservation
Fournisseur Concevoir + conserver les logs Art. 12 + Art. 19 ≥ 6 mois
Déployeur Conserver les logs sous contrôle Art. 26(6) ≥ 6 mois
Fournisseur & déployeur Tenir les logs à disposition des autorités Art. 19 / Art. 26 Sur demande

Le détail des amendes est traité dans notre article dédié aux sanctions et amendes AI Act pour PME.

Vous ne savez pas si votre système est concerné ?

Notre pack documentaire complet inclut une grille d'auto-classification et des modèles de registre de logs conformes à l'Article 12.

Obtenir le pack conformité

4. Les catégories de systèmes concernés

L'obligation de journalisation vise les systèmes à haut risque. Leur classification découle de l'Article 6 et de l'Annexe III du Règlement (UE) 2024/1689.

L'Annexe III liste les domaines sensibles. Les cas les plus fréquents pour une PME française :

  • Emploi et RH. Tri de CV, notation de candidats, décisions de promotion ou de licenciement.
  • Accès aux services essentiels. Évaluation de solvabilité, scoring d'assurance.
  • Santé. Systèmes d'aide au diagnostic ou de triage.
  • Éducation. Notation automatisée, orientation des apprenants.

Le critère central est l'impact sur les droits fondamentaux. Un système qui décide de l'accès à un emploi, à un crédit ou à un soin pèse sur des droits protégés.

Certains systèmes échappent au haut risque malgré leur inscription dans un domaine listé, si leur fonction reste purement préparatoire (Art. 6(3)). Cette dérogation exige une documentation motivée.

Secteur PME Exemple de système Statut probable
Recrutement Tri automatisé de CV Haut risque
Finance/assurance Scoring de solvabilité Haut risque
Santé Aide au diagnostic Haut risque
Marketing Recommandation produit Non haut risque
Support client Chatbot informatif Non haut risque (obligation de transparence Art. 50)

5. Mise en œuvre pratique pour les PME

Déployer une journalisation conforme suit une démarche structurée. Voici les étapes clés :

  1. Cartographier vos systèmes d'IA. Recensez chaque système, son rôle et son domaine d'usage.
  2. Classer le niveau de risque. Appliquez l'Article 6 et l'Annexe III pour identifier les systèmes à haut risque.
  3. Définir les événements à journaliser. Alignez-vous sur l'Art. 12(3) : entrées, sorties, périodes, opérateurs.
  4. Choisir une solution technique. Retenez un outil garantissant intégrité, horodatage et sécurité des logs.
  5. Fixer la durée de conservation. Au minimum 6 mois, ajustée selon le droit applicable.
  6. Documenter le processus. Rédigez une procédure de journalisation intégrée à votre documentation technique (Art. 11 et Annexe IV).

Le coût de mise en place dépend de l'existant. Une organisation déjà équipée d'une supervision informatique mutualise l'essentiel. Les estimations d'un budget dédié « 5-15 % du budget IT annuel » circulent, mais ne reposent sur aucune source officielle [à vérifier].

6. Exigences spécifiques par catégorie de système

Toutes les catégories ne supportent pas le même niveau de contrainte.

Systèmes à haut risque. Journalisation complète, sécurisée et automatique (Art. 12). Les logs doivent résister à la falsification et rester lisibles pour un audit.

Modèles d'IA à usage général (GPAI). Ils relèvent d'un régime distinct (chapitre V, Art. 51 et suivants). L'obligation de journalisation de l'Art. 12 ne s'applique pas en tant que telle. Elle redevient pertinente si le modèle est intégré dans un système à haut risque.

Systèmes à risque limité. Ils supportent surtout des obligations de transparence (Art. 50), pas de journalisation au sens de l'Art. 12.

Sur le plan technique, aucune norme ne fige un format unique. Les bonnes pratiques recommandent toutefois :

  • Un format structuré et horodaté (JSON, journaux standardisés).
  • Le chiffrement des logs contenant des données personnelles.
  • Un contrôle d'accès restreint et journalisé.
Catégorie Journalisation Art. 12 ? Exigence dominante
Haut risque Oui, complète Traçabilité + sécurité
GPAI seul Non (sauf intégration) Documentation technique (Art. 53)
Risque limité Non Transparence (Art. 50)
Risque minimal Non Aucune obligation spécifique

7. Bonnes pratiques pour la conformité

La conformité se maintient dans la durée. Trois piliers la soutiennent.

Former le personnel. L'Article 4 impose un niveau suffisant de « maîtrise de l'IA » aux personnes concernées. Vos équipes doivent comprendre pourquoi et quoi journaliser.

Auditer régulièrement. Vérifiez que les logs sont bien générés, complets et non altérés. Un audit semestriel constitue un rythme raisonnable [à vérifier] pour une PME.

Documenter le processus. Tenez une procédure écrite de journalisation. Elle prouve votre diligence en cas de contrôle et s'intègre au système de gestion de la qualité (Art. 17).

Ces pratiques s'alignent sur la norme ISO/IEC 42001:2023, référentiel de management des systèmes d'IA. Son adoption facilite la démonstration de conformité, sans s'y substituer.

8. Outils et ressources disponibles

Aucun outil n'est imposé par le Règlement. Le marché propose des solutions matures, souvent déjà présentes dans les systèmes d'information.

Outil / service Type Usage typique
ELK Stack (Elasticsearch, Logstash, Kibana) Open source Collecte et analyse de logs
Splunk Logiciel commercial Supervision et recherche avancée
AWS CloudWatch Service cloud Journalisation d'applications AWS
Azure Monitor Service cloud Supervision d'environnements Azure

Le choix dépend de votre infrastructure et de vos contraintes de souveraineté des données. Un hébergement dans l'Union simplifie l'articulation avec le RGPD.

Côté ressources institutionnelles, le service desk de l'AI Act (ai-act-service-desk.ec.europa.eu) répond gratuitement aux questions de mise en œuvre. La documentation officielle est centralisée sur artificialintelligenceact.eu. Notre page sources officielles recense les références à jour.

FAQ

Quelles sont les conséquences d'une non-conformité avec l'Article 12 ?

Le manquement à une obligation applicable aux systèmes à haut risque, dont l'Art. 12, expose à une amende pouvant atteindre 15 M€ ou 3 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu (Art. 99(4)). Pour les PME et jeunes entreprises, l'Art. 99(6) applique au contraire le montant le plus faible. Les autorités peuvent aussi imposer des mesures correctives ou le retrait du système. Le plafond de 7 % évoqué parfois ne concerne que les pratiques interdites de l'Art. 5, pas l'Art. 12.

Comment identifier si mon système d'IA est de haut risque ?

Appliquez l'Article 6 et l'Annexe III du Règlement (UE) 2024/1689. Si votre système intervient dans le recrutement, la santé, l'accès au crédit ou l'éducation, il est probablement à haut risque. La liste consolidée est disponible sur artificialintelligenceact.eu. Le service desk de l'AI Act (ai-act-service-desk.ec.europa.eu) peut confirmer votre classification.

Quelle est la durée de conservation requise pour les logs IA ?

Au moins 6 mois, sauf disposition contraire du droit de l'Union ou national (Art. 19 pour le fournisseur, Art. 26(6) pour le déployeur). Le droit sur la protection des données personnelles peut allonger ou encadrer cette durée. La mention d'une durée fixe de 5 ans rattachée à l'Art. 12(2) est erronée : cet article traite du contenu de la journalisation, pas de sa conservation.

Existe-t-il des outils spécifiques pour aider les PME à se conformer ?

Oui. Des solutions généralistes de journalisation comme ELK Stack ou Splunk conviennent, tout comme les services cloud AWS CloudWatch et Azure Monitor. Aucun outil n'est légalement imposé. Le service desk de l'AI Act (ai-act-service-desk.ec.europa.eu) publie des guides pratiques gratuits.

Dois-je journaliser les systèmes d'IA d'usage général ?

L'Art. 12 vise les systèmes à haut risque, pas les modèles à usage général en tant que tels. L'obligation redevient applicable dès que le modèle est intégré dans un système classé à haut risque. Une journalisation de base reste conseillée pour tout système, afin de préparer une éventuelle mise en conformité.

Passez à l'action dès aujourd'hui

Notre pack complet regroupe registre de logs, procédure de journalisation Art. 12 et grille d'audit prêts à l'emploi pour votre PME.

Télécharger le pack complet

Sources officielles


Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.

Outil gratuit · 2 minutes · sans inscription

Êtes-vous concerné ? Faites le diagnostic AI Act.

Sachez en 2 minutes si vos systèmes sont à haut risque, vos obligations et les documents à produire.

Démarrer le diagnostic → Ou voir un échantillon de document →