L'article 19 du Règlement (UE) 2024/1689 établit les obligations relatives à la conservation des journaux (logs) générés automatiquement par les systèmes d'IA à haut risque. Cette exigence de journalisation vise à garantir la traçabilité des opérations du système et à permettre une analyse a posteriori de son fonctionnement.
La journalisation automatique constitue un mécanisme essentiel de surveillance et d'auditabilité des systèmes d'IA. Elle permet de retracer les décisions prises par le système, d'identifier d'éventuelles anomalies et de démontrer la conformité aux exigences réglementaires en cas de contrôle ou de litige.
Cette disposition s'articule avec l'article 12 qui définit les exigences techniques de journalisation que doit respecter le système d'IA lui-même, tandis que l'article 19 porte sur l'obligation de conservation de ces journaux par les différents acteurs de la chaîne de valeur.
Texte officiel de l'article 19 de l'AI Act
L'article 19 de l'AI Act dispose :
1. Les fournisseurs de systèmes d'IA à haut risque conservent les journaux visés à l'article 12, paragraphe 1, qui sont générés automatiquement par leurs systèmes d'IA à haut risque, dans la mesure où ces journaux sont sous leur contrôle. Sans préjudice du droit de l'Union ou du droit national applicable, les journaux sont conservés pendant une période adaptée à la finalité du système d'IA à haut risque, qui est d'au moins six mois, sauf disposition contraire dans le droit de l'Union ou le droit national applicable, en particulier le droit de l'Union relatif à la protection des données à caractère personnel.
2. Les fournisseurs qui sont des établissements financiers soumis à des exigences en matière de gouvernance interne, de dispositifs ou de processus au titre du droit de l'Union relatif aux services financiers conservent les journaux dans le cadre de la documentation conservée au titre du droit de l'Union pertinent relatif aux services financiers.
Analyse juridique de l'article 19
Objet de la conservation : les journaux de l'article 12
L'article 19 vise les journaux définis à l'article 12, paragraphe 1, du règlement. Ces journaux doivent permettre la traçabilité automatique du fonctionnement du système d'IA tout au long de son cycle de vie. Ils incluent notamment l'enregistrement des périodes d'utilisation, des données d'entrée, des résultats produits par le système, et d'autres informations pertinentes pour la surveillance post-commercialisation.
Condition de contrôle
L'obligation de conservation ne s'applique que « dans la mesure où ces journaux sont sous [le] contrôle » du fournisseur. Cette précision reconnaît que, dans de nombreux cas de déploiement, les journaux sont générés et stockés sur l'infrastructure du déployeur plutôt que sur celle du fournisseur. Dans ce cas, l'obligation de conservation incombe au déployeur conformément à l'article 26.
Cette répartition des responsabilités en fonction du contrôle effectif des données constitue une approche pragmatique qui évite d'imposer aux fournisseurs des obligations qu'ils ne seraient pas en mesure de remplir faute d'accès aux journaux.
Durée de conservation
La durée minimale de conservation est fixée à six mois, sauf disposition contraire du droit de l'Union ou national. Cette durée doit être « adaptée à la finalité du système d'IA », ce qui peut justifier des durées plus longues pour certains systèmes, notamment ceux dont les décisions ont des effets durables sur les personnes concernées.
Le règlement précise explicitement que cette disposition s'applique « sans préjudice » du droit applicable, notamment du droit relatif à la protection des données personnelles. Les principes de limitation de la conservation et de minimisation du RGPD restent donc pleinement applicables aux journaux contenant des données personnelles.
Régime spécifique pour les établissements financiers
Le paragraphe 2 prévoit un régime particulier pour les établissements financiers déjà soumis à des exigences de conservation documentaire en vertu du droit des services financiers. Pour ces acteurs, les journaux AI Act peuvent être intégrés à la documentation existante, évitant ainsi une duplication des systèmes de conservation.
Exemples concrets d'application
📋 Exemple concret d'application de l'article 19 de l'AI Act
Cas 1 - Système de scoring crédit en mode SaaS : Un fournisseur de système d'évaluation de crédit propose sa solution en mode SaaS. Les journaux sont générés sur son infrastructure cloud et restent sous son contrôle. Il doit conserver ces logs pendant au moins 6 mois, mais compte tenu de la finalité (décisions de crédit pouvant être contestées), il opte pour une conservation de 3 ans alignée sur les délais de prescription civile.
Cas 2 - Système d'IA installé chez le client : Un éditeur fournit un système de tri de CV installé sur les serveurs de l'entreprise cliente (déployeur). Les journaux sont générés et stockés sur l'infrastructure du client. L'obligation de conservation de l'article 19 incombe au déployeur (article 26), pas au fournisseur. Ce dernier doit toutefois s'assurer que le système génère bien les journaux requis par l'article 12.
Cas 3 - Coordination avec le RGPD : Un système d'IA de reconnaissance biométrique génère des journaux contenant des données biométriques. La conservation de 6 mois minimum doit être articulée avec le principe de minimisation du RGPD. Le fournisseur met en place une pseudonymisation des journaux et une procédure d'effacement automatique au-delà de la durée strictement nécessaire.
Cas 4 - Établissement financier : Une banque utilisant un système d'IA pour la détection de fraude intègre les journaux du système dans son dispositif de conservation documentaire existant conforme aux exigences MiFID II et de la directive anti-blanchiment. La durée de conservation de 5 ans prévue par ces textes s'applique également aux journaux IA.
Articulation avec les autres dispositions de l'AI Act
L'article 19 complète l'article 12 qui définit les exigences techniques de journalisation que doit intégrer le système d'IA lui-même. Tandis que l'article 12 porte sur la conception du système (capacité à générer des journaux), l'article 19 porte sur les obligations organisationnelles (conservation de ces journaux).
Cette disposition s'inscrit dans le triptyque documentaire du règlement avec l'article 18 (documentation technique) et le système de gestion de la qualité de l'article 17 qui doit intégrer les procédures de conservation. Ensemble, ces obligations garantissent une traçabilité complète des systèmes d'IA à haut risque.
L'article 19 doit également être lu en articulation avec l'article 26 qui impose aux déployeurs des obligations similaires de conservation des journaux lorsque ces derniers sont sous leur contrôle. Cette répartition fournisseur/déployeur en fonction du contrôle effectif des données assure une couverture complète sans duplication.
Implications pratiques pour les organisations
Les fournisseurs doivent mettre en place une infrastructure de stockage capable de gérer des volumes potentiellement importants de journaux sur la durée de conservation requise. Cette infrastructure doit garantir l'intégrité des journaux (protection contre la modification) et leur disponibilité (accès en cas de contrôle ou de litige).
La détermination de la durée de conservation appropriée nécessite une analyse au cas par cas tenant compte de la finalité du système, des réglementations sectorielles applicables, et des délais de prescription pertinents. Une politique de conservation documentée doit être établie et intégrée au système de gestion de la qualité.
Pour les systèmes déployés chez les clients, les fournisseurs doivent clairement définir dans leurs contrats les responsabilités respectives en matière de conservation des journaux. Le fournisseur peut également proposer des services de collecte et conservation centralisée des journaux pour faciliter la conformité des déployeurs.
L'articulation avec le RGPD impose une vigilance particulière lorsque les journaux contiennent des données personnelles. Les techniques de pseudonymisation, d'agrégation ou de suppression sélective peuvent permettre de concilier les exigences de traçabilité AI Act avec les principes de protection des données.
L'article 19 de l'AI Act établit un cadre clair pour la conservation des journaux générés automatiquement par les systèmes d'IA à haut risque. En imposant une durée minimale de six mois tout en permettant des durées plus longues adaptées à la finalité du système, le règlement assure un équilibre entre traçabilité et proportionnalité.
La condition de contrôle effectif des journaux permet une répartition pragmatique des responsabilités entre fournisseurs et déployeurs, chaque acteur assumant les obligations correspondant aux données qu'il contrôle effectivement.
Pour les organisations, la mise en conformité avec l'article 19 implique des investissements en infrastructure de stockage, une politique de conservation documentée, et une attention particulière à l'articulation avec le droit de la protection des données personnelles.