L'article 12 du Règlement (UE) 2024/1689 impose aux fournisseurs de systèmes d'IA à haut risque d'assurer que ces systèmes soient conçus et développés de manière à permettre l'enregistrement automatique d'événements (logs) pendant leur durée de vie. Cette obligation de traçabilité constitue un élément essentiel de la gouvernance des systèmes d'IA à haut risque, permettant d'identifier les situations à risque, de faciliter la surveillance après commercialisation et de garantir la possibilité d'investigations en cas d'incident ou de non-conformité.

La tenue de registres prévue par l'article 12 répond à plusieurs objectifs complémentaires. Premièrement, elle permet au fournisseur de surveiller le fonctionnement effectif de son système une fois déployé, en identifiant d'éventuels dysfonctionnements, dérives ou anomalies. Deuxièmement, elle fournit aux autorités compétentes les moyens de contrôler la conformité du système et d'enquêter sur d'éventuelles violations du règlement. Troisièmement, elle peut servir de base probatoire en cas de contentieux, permettant d'établir les circonstances exactes dans lesquelles une décision ou un résultat problématique a été produit.

L'article 12 s'inscrit dans une logique d'accountability (responsabilisation) caractéristique du droit européen de la régulation numérique : les opérateurs ne doivent pas seulement respecter les règles, mais aussi être en mesure de démontrer ce respect par des éléments de preuve objectifs. Les registres automatisés constituent l'un des principaux instruments de cette démonstration, permettant une traçabilité fine et continue de l'activité du système d'IA.

Texte officiel de l'article 12 de l'AI Act

L'article 12 de l'AI Act dispose :

« 1. Les systèmes d'IA à haut risque sont conçus et développés avec des capacités de consignation automatique d'événements (logs) pendant leur durée de vie.

2. Afin de garantir un niveau de traçabilité du fonctionnement d'un système d'IA à haut risque qui soit approprié à la finalité prévue du système, les capacités de consignation automatique permettent l'enregistrement d'événements pertinents pendant toute la durée de vie du système d'IA à haut risque, et notamment :

a) la période d'utilisation de chaque système d'IA à haut risque ;

b) la base de données de référence utilisée par le système ;

c) les données d'entrée ayant conduit à une correspondance (match) ;

d) l'identification des personnes physiques impliquées dans la vérification des résultats, tel que visé à l'article 14, paragraphe 5.

3. Sans préjudice du règlement (UE) 2016/679, du règlement (UE) 2018/1725 et de la directive (UE) 2016/680, les logs sont conservés pendant au moins six mois, sauf disposition contraire du droit de l'Union ou du droit national applicable. »

Cet article établit donc une obligation technique de conception des systèmes permettant la consignation automatique et la conservation de traces d'activité, avec des exigences particulières pour certains types de systèmes.

Analyse juridique de l'article 12

Obligation de conception avec capacités de consignation automatique

L'article 12, paragraphe 1, impose que les systèmes d'IA à haut risque soient « conçus et développés » avec des capacités de consignation automatique. Cette formulation souligne qu'il s'agit d'une exigence de conception (design requirement), qui doit être prise en compte dès les premières phases de développement du système. L'ajout ultérieur de capacités de logging à un système déjà développé serait généralement plus coûteux et moins efficace qu'une intégration native de ces fonctionnalités.

L'automaticité de la consignation constitue une caractéristique essentielle : les événements doivent être enregistrés automatiquement, sans nécessiter d'intervention manuelle de l'opérateur du système. Cette exigence garantit l'exhaustivité et la fiabilité des registres, évitant les oublis ou les manipulations potentielles. Elle impose également que le système soit conçu de manière à identifier et capturer automatiquement les événements pertinents.

La mention « pendant leur durée de vie » signifie que les capacités de consignation doivent être opérationnelles tout au long de l'existence du système, de sa mise en service initiale jusqu'à son retrait définitif. Cette continuité est essentielle pour permettre une surveillance effective et pour disposer d'un historique complet en cas d'investigation.

Niveau de traçabilité approprié et événements pertinents

L'article 12, paragraphe 2, introduit un principe de proportionnalité : le niveau de traçabilité doit être « approprié à la finalité prévue du système ». Cette formulation reconnaît que tous les systèmes d'IA à haut risque n'ont pas les mêmes besoins en matière de traçabilité, et que les événements à enregistrer peuvent varier selon le type de système, son domaine d'application et les risques qu'il présente.

Le paragraphe 2 énumère quatre catégories d'événements qui doivent « notamment » être enregistrés. L'utilisation du terme « notamment » indique que cette liste n'est pas exhaustive : d'autres événements peuvent devoir être consignés en fonction de la nature spécifique du système et de sa finalité. Le fournisseur doit déterminer, dans le cadre de son système de gestion des risques (article 9), quels événements supplémentaires doivent être enregistrés pour garantir une traçabilité appropriée.

Le point a) exige l'enregistrement de la période d'utilisation de chaque système. Cette exigence permet de tracer l'activité temporelle du système : quand il a été activé, pendant combien de temps il a fonctionné, quand il a été désactivé. Pour les systèmes traitant de multiples requêtes ou transactions, cela implique probablement l'enregistrement de l'horodatage de chaque requête ou session d'utilisation.

Le point b) impose l'enregistrement de la base de données de référence utilisée par le système. Cette exigence est particulièrement pertinente pour les systèmes d'identification biométrique, qui comparent des données biométriques à une base de référence, mais elle s'applique aussi plus généralement à tout système utilisant des bases de données de référence pour produire ses résultats. L'enregistrement doit permettre d'identifier quelle version ou quel sous-ensemble de la base de référence a été utilisé, facilitant ainsi la reproductibilité et la vérification des résultats.

Le point c) vise l'enregistrement des données d'entrée ayant conduit à une correspondance (match). Cette exigence s'applique notamment aux systèmes biométriques qui identifient une correspondance entre des données biométriques fournies en entrée et des données présentes dans une base de référence, mais peut également concerner d'autres types de systèmes produisant des correspondances ou des classifications. L'enregistrement de ces données d'entrée permet de reconstituer les circonstances exactes ayant conduit à un résultat donné.

Le point d) impose l'identification des personnes physiques impliquées dans la vérification des résultats, conformément à l'article 14, paragraphe 5. Cette exigence crée un lien direct avec l'obligation de surveillance humaine et garantit la traçabilité de cette surveillance : il doit être possible de déterminer qui a vérifié ou validé les résultats produits par le système d'IA. Cette traçabilité est essentielle pour l'accountability et peut permettre d'identifier des problèmes de formation ou de compétence des opérateurs humains.

Durée de conservation des logs

L'article 12, paragraphe 3, fixe une durée minimale de conservation des logs de six mois. Cette durée constitue un plancher, que des dispositions du droit de l'Union ou du droit national peuvent étendre. Par exemple, dans certains secteurs régulés (santé, finance, sécurité), des obligations de conservation plus longues peuvent s'appliquer en vertu de législations sectorielles spécifiques.

Le paragraphe 3 précise que cette obligation de conservation s'applique « sans préjudice » du RGPD, du règlement (UE) 2018/1725 (protection des données dans les institutions européennes) et de la directive (UE) 2016/680 (protection des données dans le domaine pénal). Cette réserve signifie que lorsque les logs contiennent des données à caractère personnel, les principes et obligations de ces textes s'appliquent cumulativement avec l'AI Act.

En particulier, le principe de limitation de la conservation du RGPD (article 5, paragraphe 1, point e) s'applique : les données ne doivent pas être conservées plus longtemps que nécessaire au regard des finalités pour lesquelles elles sont traitées. Si la finalité de traçabilité et de surveillance ne nécessite plus la conservation de logs anciens au-delà de six mois, ils doivent être supprimés, sauf si une autre finalité légitime justifie leur conservation (par exemple, l'obligation légale de conservation à des fins d'investigation en cas de contentieux en cours).

Articulation avec la protection des données personnelles

Les logs enregistrés en application de l'article 12 contiennent fréquemment des données à caractère personnel : identifiants des utilisateurs, données d'entrée contenant des informations personnelles (notamment dans le cas des systèmes biométriques), identification des personnes ayant vérifié les résultats. Le traitement de ces données doit respecter l'ensemble des principes et obligations du RGPD.

La base légale du traitement des logs sera généralement l'obligation légale (article 6, paragraphe 1, point c, du RGPD), l'AI Act constituant l'obligation légale en question. Pour certains traitements complémentaires (par exemple, l'utilisation des logs à des fins d'amélioration du système), d'autres bases légales peuvent devoir être mobilisées (intérêt légitime, consentement selon les cas).

Les droits des personnes concernées (accès, rectification, effacement, limitation, opposition) s'appliquent aux données contenues dans les logs, sous réserve des limitations prévues à l'article 23 du RGPD. L'exercice de certains de ces droits peut toutefois être restreint lorsqu'il risquerait de compromettre la finalité de traçabilité et de surveillance. Par exemple, un droit à l'effacement ne pourrait généralement pas être exercé pendant la période de conservation minimale de six mois imposée par l'AI Act, sauf circonstances exceptionnelles.

Les mesures de sécurité prévues à l'article 32 du RGPD s'appliquent pleinement aux logs, qui peuvent contenir des données sensibles. Ces mesures doivent inclure notamment la protection contre les accès non autorisés, la garantie de l'intégrité des logs (prévention des modifications ou suppressions non autorisées) et des mécanismes de sauvegarde garantissant la disponibilité des logs.

Exigences techniques de mise en œuvre

Bien que l'article 12 ne prescrive pas de modalités techniques précises de mise en œuvre, certaines exigences techniques peuvent être inférées de ses objectifs et de son articulation avec les autres dispositions du règlement.

Les logs doivent être horodatés avec précision, permettant de reconstituer la chronologie exacte des événements. L'utilisation de timestamps synchronisés (par exemple, via NTP - Network Time Protocol) est généralement nécessaire pour garantir la fiabilité de cette chronologie, particulièrement pour les systèmes distribués.

L'intégrité des logs doit être garantie par des mécanismes techniques appropriés, empêchant leur modification ou leur suppression non autorisée. Des techniques telles que les signatures cryptographiques, les journaux en mode append-only, ou l'utilisation de systèmes de gestion de logs centralisés et sécurisés peuvent être mises en œuvre.

La disponibilité des logs doit être assurée pendant toute la durée de conservation requise, ce qui implique des mécanismes de sauvegarde et de réplication appropriés. Les logs doivent pouvoir être produits rapidement en cas de demande d'une autorité compétente ou dans le cadre d'une investigation interne.

La structure et le format des logs doivent permettre leur exploitation effective. Des logs trop verbeux ou mal structurés peuvent être difficiles à analyser ; à l'inverse, des logs trop sommaires peuvent ne pas fournir les informations nécessaires pour reconstituer les événements. L'utilisation de formats structurés et standardisés facilite l'analyse et l'interopérabilité.

Exemples concrets d'application

📋 Exemple concret d'application de l'article 12 de l'AI Act

Cas d'un système d'identification biométrique utilisé pour le contrôle d'accès :
Une entreprise déploie un système d'IA de reconnaissance faciale pour contrôler l'accès à des zones sécurisées de ses installations. Ce système relève de l'annexe III (identification et catégorisation biométrique) et constitue un système d'IA à haut risque soumis à l'article 12.

Conception avec capacités de consignation automatique (article 12, paragraphe 1) :
Le système est conçu dès l'origine avec un module de logging intégré qui enregistre automatiquement tous les événements pertinents sans intervention manuelle. Ce module est activé dès la mise en service du système et fonctionne en continu pendant toute la durée de vie du système.

Événements enregistrés conformément à l'article 12, paragraphe 2 :

a) Période d'utilisation (point a) :
Le système enregistre :
- Horodatage de chaque tentative d'identification (date, heure, minute, seconde) ;
- Durée de chaque session d'utilisation ;
- Périodes d'activation et de désactivation du système ;
- Temps de fonctionnement cumulé.

Exemple de log :
2026-02-01 08:23:15 - Tentative d'identification initiée - Point d'accès: Entrée Bâtiment A
2026-02-01 08:23:17 - Identification réussie - Durée traitement: 2.1s

b) Base de données de référence (point b) :
Le système enregistre :
- Version de la base de données de référence utilisée (la base contient les templates biométriques des employés autorisés) ;
- Date de la dernière mise à jour de cette base ;
- Nombre d'individus présents dans la base au moment de la tentative d'identification ;
- Identifiant du sous-ensemble de la base utilisé (si pertinent, par exemple pour les autorisations différenciées selon les zones).

Exemple de log :
2026-02-01 08:23:15 - Base de référence: DB_Employees_v2.3 - Dernière MAJ: 2026-01-28 - Entrées actives: 1547

c) Données d'entrée ayant conduit à une correspondance (point c) :
Le système enregistre :
- Image faciale capturée (ou caractéristiques biométriques extraites, selon l'approche de protection de la vie privée retenue) ;
- Score de confiance de la correspondance ;
- Template de référence ayant matché (identifiant, sans nécessairement stocker le template complet) ;
- Conditions de capture (qualité de l'image, niveau d'éclairage, angle de prise de vue).

Exemple de log :
2026-02-01 08:23:17 - Correspondance détectée - ID employé: EMP-7842 - Score confiance: 98.7% - Qualité image: Excellente

Note importante sur la protection de la vie privée : L'enregistrement des données biométriques d'entrée soulève des questions importantes de protection de la vie privée. Pour limiter les risques, l'entreprise peut :
- Enregistrer uniquement les caractéristiques biométriques extraites (templates) plutôt que les images complètes ;
- Appliquer des techniques de pseudonymisation ;
- Limiter la durée de conservation des données biométriques dans les logs au strict minimum nécessaire ;
- Mettre en place des mesures de sécurité renforcées (chiffrement, contrôles d'accès stricts).

d) Identification des personnes impliquées dans la vérification (point d) :
Conformément à l'article 14, le système ne fonctionne pas de manière entièrement automatisée : un agent de sécurité doit vérifier visuellement l'identité de la personne lorsque le score de confiance est inférieur à un seuil (par exemple 95%) ou de manière aléatoire pour contrôle qualité.

Le système enregistre :
- Identifiant de l'agent de sécurité ayant effectué la vérification ;
- Horodatage de la vérification ;
- Résultat de la vérification humaine (confirmation ou infirmation de la décision du système) ;
- Raison de la vérification (score faible, contrôle aléatoire, demande de l'utilisateur).

Exemple de log :
2026-02-01 09:45:22 - Vérification humaine requise - Score: 92.3% (< seuil 95%)
2026-02-01 09:45:58 - Vérification effectuée par Agent ID: SEC-042 - Résultat: Confirmation - Accès autorisé

Événements additionnels enregistrés (au-delà de la liste minimale) :
Pour assurer une traçabilité complète et appropriée à la finalité du système, l'entreprise enregistre également :
- Rejets d'accès (tentatives non reconnues) ;
- Anomalies techniques détectées (défaillances de la caméra, problèmes de connexion) ;
- Tentatives d'accès répétées échouées (potentiellement suspectes) ;
- Modifications de configuration du système ;
- Mises à jour logicielles appliquées.

Conservation des logs (article 12, paragraphe 3) :
L'entreprise conserve les logs pendant 12 mois, durée supérieure au minimum de 6 mois imposé par l'AI Act, justifiée par :
- Les politiques internes de sécurité de l'entreprise ;
- La nécessité de disposer d'un historique suffisant pour détecter des patterns suspects sur le long terme ;
- Les obligations légales sectorielles applicables en matière de sécurité des installations.

Après 12 mois, les logs sont automatiquement supprimés, sauf en cas d'investigation en cours ou de contentieux, auquel cas ils sont conservés le temps nécessaire à la résolution de la situation.

Conformité RGPD :
- Base légale : obligation légale (AI Act) et intérêt légitime (sécurité des installations) ;
- Information des personnes concernées : panneau d'information à l'entrée et mention dans le règlement intérieur ;
- Mesures de sécurité : chiffrement des logs, contrôle d'accès strict (seuls 3 responsables habilités), journaux d'audit des consultations de logs, sauvegarde quotidienne ;
- Exercice des droits : procédure d'accès aux logs permettant aux employés de consulter leurs propres données d'accès (avec restrictions pour préserver la sécurité).

Utilisation des logs pour la surveillance et l'amélioration :
L'entreprise utilise les logs pour :
- Détecter d'éventuels dysfonctionnements du système (taux de rejet anormal, dégradation des performances) ;
- Alimenter le système de surveillance après commercialisation (article 72) ;
- Identifier les besoins de réentraînement du système (par exemple, si les scores de confiance diminuent) ;
- Analyser les cas de désaccord entre le système et les vérificateurs humains pour améliorer le système.

Articulation avec les autres dispositions de l'AI Act

L'article 12 s'articule étroitement avec l'article 9 sur le système de gestion des risques : les logs constituent l'un des principaux outils permettant d'identifier les risques émergents et de vérifier l'efficacité des mesures de gestion des risques mises en place. L'analyse des logs peut révéler des patterns problématiques (biais, dysfonctionnements, utilisations inappropriées) qui doivent alimenter le processus itératif de gestion des risques.

L'article 12 est directement lié à l'article 14 sur la surveillance humaine, puisque le paragraphe 2, point d, impose spécifiquement l'enregistrement de l'identification des personnes ayant vérifié les résultats du système. Cette exigence garantit la traçabilité de la surveillance humaine et permet de vérifier son effectivité.

L'article 12 constitue également un instrument essentiel de mise en œuvre de l'article 72 sur la surveillance après commercialisation. Les logs fournissent les données nécessaires pour analyser le fonctionnement du système en conditions réelles, identifier les incidents et dysfonctionnements, et adapter le système en conséquence. Sans capacités de logging appropriées, la surveillance après commercialisation serait considérablement entravée.

L'article 12 s'inscrit dans le prolongement de l'article 11 sur la documentation technique, qui doit décrire les capacités de logging du système, les événements enregistrés, les modalités de conservation et les mesures de sécurité des logs. Les logs eux-mêmes constituent par ailleurs une forme de documentation dynamique du fonctionnement effectif du système.

Enfin, l'article 12 doit être lu conjointement avec l'article 16 sur les obligations des fournisseurs, qui prévoit que les fournisseurs doivent tenir les logs à la disposition des autorités compétentes. Les logs constituent ainsi l'un des principaux instruments de contrôle de la conformité par les autorités.

Implications pratiques pour les organisations

Pour les fournisseurs de systèmes d'IA à haut risque, l'article 12 impose d'intégrer dès la conception des capacités de logging robustes et adaptées à la finalité du système. Cette intégration dès la conception (security by design, transposé ici en logging by design) est généralement plus efficace et moins coûteuse qu'un ajout ultérieur de fonctionnalités de logging.

Le dimensionnement du système de logging nécessite de trouver un équilibre entre plusieurs contraintes. D'une part, les logs doivent être suffisamment détaillés pour permettre une traçabilité effective et répondre aux objectifs de l'article 12. D'autre part, des logs trop volumineux peuvent poser des problèmes de performance, de stockage et d'exploitabilité. Une analyse des risques spécifiques au système permet de déterminer le niveau de détail approprié.

Les organisations doivent mettre en place une infrastructure technique appropriée pour la gestion des logs : systèmes de stockage suffisants, mécanismes de sauvegarde, outils d'analyse et de recherche dans les logs, procédures de conservation et de purge automatiques. Pour les systèmes traitant de gros volumes, l'utilisation de plateformes de gestion de logs spécialisées (SIEM - Security Information and Event Management, ou solutions équivalentes) peut être nécessaire.

La protection des logs contenant des données personnelles requiert une attention particulière. Les organisations doivent appliquer les principes de protection des données dès la conception (privacy by design) au système de logging lui-même : minimisation des données enregistrées, pseudonymisation ou anonymisation lorsque possible, chiffrement, contrôles d'accès stricts, journalisation des consultations de logs.

Les organisations doivent également mettre en place des procédures permettant l'exploitation effective des logs pour la surveillance du système, la détection d'incidents et la réponse aux demandes des autorités. Des tableaux de bord et des alertes automatiques peuvent faciliter le suivi continu du fonctionnement du système et la détection rapide d'anomalies.

Pour les déployeurs de systèmes d'IA à haut risque, l'article 12 implique de s'assurer que les systèmes acquis disposent bien des capacités de logging requises et de mettre en œuvre ces capacités de manière effective. Les contrats d'acquisition ou de licence de systèmes d'IA à haut risque devraient inclure des clauses spécifiques relatives aux capacités de logging et aux modalités d'accès aux logs.

L'article 12 de l'AI Act établit l'obligation pour les systèmes d'IA à haut risque de disposer de capacités de consignation automatique d'événements, garantissant la traçabilité de leur fonctionnement tout au long de leur cycle de vie. Cette exigence constitue un élément essentiel de la gouvernance et de la surveillance des systèmes d'IA à haut risque, permettant d'identifier les situations à risque, de faciliter les investigations et de démontrer la conformité.

En imposant l'enregistrement d'événements spécifiques (période d'utilisation, base de référence, données d'entrée, personnes impliquées dans la vérification) tout en laissant aux fournisseurs la flexibilité d'adapter le niveau de traçabilité à la finalité du système, l'article 12 trouve un équilibre entre prescriptivité et proportionnalité. La durée minimale de conservation de six mois garantit la disponibilité des logs pour les besoins de surveillance tout en s'articulant avec les exigences de protection des données.

Pour les organisations, l'article 12 impose d'intégrer le logging dès la conception des systèmes d'IA à haut risque et de mettre en place une infrastructure technique et organisationnelle appropriée pour la gestion, la sécurisation et l'exploitation des logs. Ces investissements sont essentiels non seulement pour la conformité réglementaire, mais aussi pour la maîtrise des risques et l'amélioration continue des systèmes d'IA déployés.