Logs IA Act : Traçabilité Systèmes
📊 Chiffre Alarmant
83% des systèmes IA en entreprise n’ont pas de journalisation conforme aux exigences de l’IA Act. Sans logs, impossible de prouver la conformité en cas de contrôle.
La journalisation (ou logging) est l’une des exigences techniques fondamentales de l’IA Act. Pour les systèmes haut risque, chaque décision, chaque entrée, chaque intervention doit être tracée.
Pourquoi ? Parce que sans logs, impossible de comprendre ce que fait votre IA. Impossible d’auditer. Impossible de prouver que vous respectez les règles.
Ce guide vous explique ce qu’il faut logger, comment le stocker, et combien de temps le conserver pour être conforme.
Par Loïc Gros-Flandre
Directeur de Modernee – Agence IA. Expert en architecture technique et conformité IA.
📚 Ce que vous allez découvrir
- → Les 8 types d’événements à logger obligatoirement
- → La durée de conservation selon le niveau de risque
- → Les formats et structures recommandés
- → Les outils d’analyse et monitoring
- → Les erreurs techniques à éviter
Infographie : Les 8 types de logs obligatoires selon l’Article 12 de l’IA Act
📜 Que Dit l’IA Act sur la Journalisation ?
Photo par Campaign Creators sur Unsplash
L’Article 12 de l’IA Act impose aux systèmes IA haut risque de disposer de capacités de journalisation automatique.
L’objectif ? Permettre la traçabilité de toutes les opérations du système pendant son cycle de vie.
📜 Article 12 – Tenue de Registres (Logging)
« Les systèmes d’IA à haut risque permettent techniquement l’enregistrement automatique des événements (« logs ») tout au long de la durée de vie du système. »
🎯 Objectifs de la Journalisation
Les logs IA servent plusieurs objectifs réglementaires :
- 🔍 Traçabilité : Reconstituer le fonctionnement du système
- 📊 Surveillance : Détecter les anomalies et dérives
- ⚖️ Audit : Permettre les contrôles des autorités
- 🛡️ Responsabilité : Prouver la conformité en cas de litige
👥 Qui Est Concerné ?
L’obligation de logging concerne principalement les systèmes haut risque, mais aussi :
| Niveau de Risque | Obligation Logging |
|---|---|
| Haut Risque | Obligatoire – Article 12 complet |
| Risque Limité | Recommandé – Bonnes pratiques |
| Risque Minimal | Optionnel – Code de conduite volontaire |
| GPAI | Obligatoire – Logging spécifique modèles |
« Les logs sont la mémoire de votre IA. Sans eux, vous êtes aveugle sur ce que fait réellement votre système. »
— Architecte Solutions IA, Cabinet Big Four
📋 Les 8 Types d’Événements à Logger
Photo par Scott Graham sur Unsplash
L’IA Act exige de logger tout événement permettant de reconstituer le fonctionnement du système. Voici les 8 catégories essentielles.
1️⃣ Entrées du Système (Inputs)
- 📥 Données reçues par le système
- 📥 Source et format des données
- 📥 Horodatage de réception
- 📥 Identifiant de la requête
⚠️ Attention RGPD
Ne loggez pas les données personnelles brutes. Utilisez la pseudonymisation ou des identifiants techniques.
2️⃣ Sorties du Système (Outputs)
- 📤 Résultats générés (prédictions, scores, décisions)
- 📤 Niveau de confiance du modèle
- 📤 Temps de traitement
- 📤 Destination de la sortie
3️⃣ Décisions et Raisonnements
- ⚡ Règles ou modèles appliqués
- ⚡ Facteurs déterminants (feature importance)
- ⚡ Seuils de décision franchis
- ⚡ Alternatives considérées
4️⃣ Métriques de Performance
- 📊 Précision, rappel, F1-score en temps réel
- 📊 Taux d’erreur par catégorie
- 📊 Latence et débit
- 📊 Utilisation ressources (CPU, mémoire)
5️⃣ Erreurs et Anomalies
- ⚠️ Erreurs techniques (exceptions, crashes)
- ⚠️ Entrées invalides ou hors distribution
- ⚠️ Résultats aberrants détectés
- ⚠️ Timeouts et défaillances
6️⃣ Interventions Humaines
- 👤 Override de décisions IA par un opérateur
- 👤 Validations manuelles
- 👤 Corrections apportées
- 👤 Identité de l’intervenant (rôle, non nominatif)
7️⃣ Modifications de Configuration
- 🔧 Changements de paramètres
- 🔧 Mises à jour de modèle
- 🔧 Ajustements de seuils
- 🔧 Activation/désactivation de fonctionnalités
8️⃣ Accès et Authentification
- 🔐 Connexions au système
- 🔐 Tentatives d’accès (réussies/échouées)
- 🔐 Changements de privilèges
- 🔐 Accès aux données sensibles
🎯 Quiz : Maîtrisez-vous le Logging IA ?
⏱️ Durée de Conservation des Logs
L’IA Act ne fixe pas une durée unique mais exige une conservation « adaptée à l’usage prévu » du système.
📅 Recommandations par Type de Système
| Type de Système | Durée Recommandée | Justification |
|---|---|---|
| Haut risque RH | 5 ans minimum | Délai de contestation décisions emploi |
| Haut risque Crédit | 10 ans | Alignement obligations bancaires |
| Haut risque Santé | 20 ans | Durée conservation dossier médical |
| Risque limité | 6 mois – 2 ans | Suffisant pour audit et analyse |
| GPAI | 10 ans | Durée dossier technique |
💡 Règle Pratique
Alignez la durée de conservation des logs sur celle de votre dossier technique (10 ans après mise sur le marché). Cela simplifie la gestion et garantit la cohérence.
💾 Exigences de Stockage
- 🔐 Immuabilité : Logs non modifiables après écriture
- 🛡️ Intégrité : Hash ou signature cryptographique
- 📍 Localisation : Dans l’UE ou pays adéquat
- 🔒 Sécurité : Chiffrement au repos et en transit
- 📋 Accessibilité : Disponible sous 24h pour autorités
🛠️ Implémentation Technique en 6 Étapes
Photo par Carlos Muza sur Unsplash
Voici la méthode recommandée pour mettre en place un système de logging conforme à l’IA Act.
Inventorier les Systèmes IA
Listez tous vos systèmes IA nécessitant des logs. Identifiez leur niveau de risque et les événements critiques à tracer.
Définir le Schéma de Logging
Créez un format standardisé : champs obligatoires, types de données, niveaux de sévérité. Documentez dans votre dossier technique.
Configurer l’Infrastructure
Déployez un système centralisé (ELK Stack, Splunk, Datadog). Configurez la collecte, le stockage immuable, et la rétention.
Implémenter le Logging Applicatif
Modifiez vos applications IA pour émettre les logs aux bons moments. Utilisez des librairies standards (logging Python, Log4j…).
Créer les Dashboards et Alertes
Configurez des tableaux de bord de monitoring et des alertes automatiques sur les anomalies (erreurs, dérives, performances).
Planifier les Audits
Définissez une procédure de revue périodique des logs (mensuelle ou trimestrielle) et documentez les analyses.
🔧 Outils Recommandés
| Outil | Usage | Prix Indicatif |
|---|---|---|
| ELK Stack | Collecte, stockage, analyse open source | Gratuit (infra à votre charge) |
| Splunk | SIEM enterprise, analytics avancées | À partir de 2 000€/mois |
| Datadog | Monitoring cloud, APM, logs | À partir de 500€/mois |
| Azure Monitor | Logs natifs Azure/Cloud Microsoft | Pay-as-you-go |
| AWS CloudWatch | Logs natifs AWS | Pay-as-you-go |
💾 Calculateur Volume de Logs
❌ Les 5 Erreurs Fatales du Logging IA
Ces erreurs techniques peuvent invalider votre conformité ou vous exposer à des risques.
❌ Erreur 1 : Logs Modifiables
Des logs que l’on peut modifier ou supprimer n’ont aucune valeur probatoire. Utilisez un stockage WORM (Write Once Read Many) ou une blockchain de logs.
❌ Erreur 2 : Pas d’Horodatage Précis
Un timestamp imprécis ou absent rend impossible la reconstitution chronologique. Utilisez NTP pour synchroniser les horloges et loggez en UTC.
❌ Erreur 3 : Logger les Données Personnelles Brutes
Stocker des données personnelles dans les logs viole le RGPD (minimisation). Utilisez des identifiants techniques ou la pseudonymisation.
❌ Erreur 4 : Logs Non Structurés
Des logs en texte libre sont difficiles à analyser. Utilisez des formats structurés (JSON, XML) avec des champs normalisés.
❌ Erreur 5 : Pas de Monitoring
Des logs sans analyse sont inutiles. Configurez des alertes automatiques sur les anomalies et revoyez régulièrement les métriques.
« Les logs sont inutiles si personne ne les regarde. L’analyse proactive est aussi importante que la collecte. »
— RSSI, Groupe industriel français
❓ Questions Fréquentes – Logs IA Act
Entrées, sorties, décisions, performances, erreurs, interventions humaines, modifications de configuration, et accès. Tout événement permettant de reconstituer le fonctionnement du système.
L’IA Act impose une durée « adaptée à l’usage prévu ». En pratique : 6 mois minimum, idéalement 10 ans (aligné sur le dossier technique). Pour la santé : jusqu’à 20 ans.
Oui, obligatoirement. Chaque entrée doit avoir un timestamp précis (millisecondes recommandées) permettant de reconstituer la chronologie exacte des événements.
Les autorités de surveillance sur demande officielle, le fournisseur, le déployeur, et les personnes habilitées pour l’audit interne. L’accès doit être tracé.
Oui. Les logs doivent être protégés contre toute modification ou suppression non autorisée. Utilisez un stockage WORM ou des signatures cryptographiques.
Pas de format imposé par le règlement. Recommandation : formats standards lisibles par machine (JSON, XML) permettant l’analyse automatisée et l’interopérabilité.
Les logs doivent permettre la traçabilité sans contenir les données brutes. Utilisez la pseudonymisation ou des identifiants techniques pour concilier IA Act et RGPD.
Utilisez des outils SIEM (Splunk, ELK Stack, Datadog), des dashboards temps réel, et des alertes automatiques sur les anomalies. Planifiez des revues périodiques.
Oui. Que le système soit on-premise ou cloud, les obligations s’appliquent. Vérifiez les capacités de logging de votre fournisseur cloud et exportez régulièrement.
Jusqu’à 15M€ ou 3% du CA mondial. L’absence de logs aggrave aussi les sanctions pour d’autres infractions car elle empêche l’audit et la reconstitution.
🎯 Conclusion : Les Logs, Preuve de Conformité
La journalisation n’est pas qu’une obligation technique. C’est votre meilleure preuve en cas de contrôle ou de litige.
Des logs bien structurés, immuables et analysés régulièrement démontrent votre maîtrise du système IA et votre engagement conformité.
✅ Ce Qu’il Faut Retenir
- 8 types : Entrées, sorties, décisions, performances, erreurs, interventions, configurations, accès
- Conservation : 6 mois minimum, 10 ans recommandé (aligné dossier technique)
- Format : Structuré (JSON/XML), horodaté, immuable
- Outils : ELK Stack, Splunk, Datadog, CloudWatch
- Analyse : Dashboards temps réel + alertes + revues périodiques
Maîtrisez la Traçabilité IA Act
Apprenez à implémenter un logging conforme
Obtenir ma certification → 500€