Comment fonctionne la charge de la preuve sous l'AI Act ?

L'AI Act inverse la charge de la preuve par rapport au droit classique. Ce n'est pas à l'autorité de prouver votre non-conformité, c'est à VOUS de démontrer votre conformité. Sans documentation probante, vous êtes présumé non-conforme.

Combien de temps conserver les preuves AI Act ?

Pour les systèmes haut risque : 10 ans minimum après le retrait du marché ou la fin d'utilisation. Pour les logs automatiques : durée adaptée à la vie du système. Pour les formations : conservation recommandée indéfiniment car les contrôles peuvent porter sur des périodes passées.

Qu'est-ce qu'un log probant pour l'AI Act ?

Un log probant doit être : horodaté (timestamp précis), non modifiable (intégrité garantie), complet (toutes les informations pertinentes), accessible (récupérable rapidement en cas de contrôle). Il doit tracer les décisions du système, les données utilisées, les interventions humaines.

Que se passe-t-il si je ne peux pas produire les preuves lors d'un contrôle ?

L'absence de preuves crée une présomption de non-conformité. L'autorité peut considérer que vous n'avez pas respecté vos obligations, même si en réalité vous étiez conforme. Les sanctions peuvent atteindre 15M€ ou 3% du CA mondial pour défaut de documentation.

Les logs générés automatiquement sont-ils suffisants ?

Les logs automatiques sont nécessaires mais pas suffisants. Ils doivent être complétés par : documentation technique humaine, preuves de tests et validations, attestations de formation, rapports d'audit. Un log seul ne prouve pas la conformité du processus.

Quelle est la différence entre traçabilité et preuve ?

La traçabilité permet de suivre le fonctionnement du système (qui a fait quoi, quand). La preuve démontre la conformité à une obligation. Un log est une trace. Un log + documentation + contexte = une preuve. La traçabilité est le matériau, la preuve est la construction juridique.

Dois-je conserver les versions antérieures de mes modèles IA ?

Oui, pour les systèmes haut risque. En cas de plainte ou d'incident, vous devrez prouver l'état du système au moment des faits. Conservez : versions du modèle, données d'entraînement (ou références), paramètres, résultats de tests de chaque version.

Comment organiser la production de preuves en cas de contrôle ?

Préparez un 'dossier de conformité' structuré et indexé. Désignez un responsable capable de répondre aux demandes. Testez régulièrement votre capacité à produire les documents sous 48h. Anticipez les questions types des autorités.

preuves - formation-ia-act

🚨 Ce Que Beaucoup Ignorent

L'AI Act INVERSE la charge de la preuve.

Ce n'est pas à l'autorité de prouver votre faute. C'est à VOUS de prouver votre conformité.

Dans le droit classique, c'est au plaignant de prouver la faute de l'accusé. L'AI Act renverse cette logique : vous êtes présumé non-conforme si vous ne pouvez pas produire les preuves documentaires.

Concrètement : lors d'un contrôle, si vous ne pouvez pas démontrer que vous avez respecté vos obligations, l'autorité peut considérer que vous ne les avez PAS respectées. Même si en réalité vous étiez conforme.

Ce guide détaille les 4 types de preuves à conserver, les durées de conservation, et comment garantir l'intégrité de vos éléments probants.

227 jours restants

10 Ans de conservation

4 Types de preuves

Loïc Gros-Flandre - Expert Preuves IA Act

Par Loïc Gros-Flandre

Directeur de Modernee - Agence IA. Expertise en conformité réglementaire, traçabilité et documentation probante pour systèmes d'intelligence artificielle.

📋 Spécialiste Documentation IA • 🎯 Expert AI Act • ✅ +50 entreprises accompagnées

                📋 Ce que vous allez maîtriser
                → L'inversion de la charge de la preuve
→ Les 4 types de preuves à conserver
→ Les durées de conservation (10 ans)
→ Comment garantir l'intégrité des preuves
→ 3 cas pratiques de contrôle
→ Simulateur : évaluez votre traçabilité

            

Infographie : Les 4 types de preuves à conserver selon l'AI Act

⚖️ L'Inversion de la Charge de la Preuve

Dans le droit classique, le principe est simple : "La preuve incombe au demandeur". C'est à celui qui accuse de prouver la faute.

L'AI Act renverse cette logique. Les articles 11 à 14 créent une présomption de non-conformité si vous ne pouvez pas produire les preuves documentaires exigées.

📋 Le Mécanisme Juridique

Droit Classique	AI Act
L'accusateur prouve la faute	L'opérateur prouve sa conformité
Présomption d'innocence	Présomption de non-conformité (sans preuve)
L'absence de preuve profite à l'accusé	L'absence de preuve accable l'opérateur

"L'AI Act crée un régime probatoire exigeant. Sans documentation, vous ne pouvez pas démontrer votre conformité. Et sans preuve de conformité, vous êtes présumé non-conforme."
— Pr. Céline Castets-Renard, Spécialiste droit du numérique, Université d'Ottawa

🚨 Conséquence Pratique

Lors d'un contrôle, l'autorité vous demande : "Prouvez-moi que vous avez réalisé une analyse des risques."

Si vous ne pouvez pas produire le document → Vous êtes réputé ne pas l'avoir fait → Sanction.

📚 Les 4 Types de Preuves à Conserver

L'AI Act exige la conservation de 4 catégories distinctes de preuves. Chacune répond à un aspect différent de la conformité.

📘 Type 1 : Documentation Technique

La documentation technique prouve que votre système a été conçu conformément aux exigences.

📋 Architecture du système — Schémas, composants, flux de données
🧪 Tests et validations — Protocoles, résultats, non-conformités corrigées
⚠️ Analyses de risques — Identification, évaluation, mesures de mitigation
📊 Métriques de performance — Précision, rappel, biais mesurés

📊 Type 2 : Logs Opérationnels

Les logs prouvent que votre système fonctionne conformément à ce qui a été prévu.

🤖 Décisions du système — Chaque décision horodatée avec contexte
📥 Données d'entrée/sortie — Inputs utilisés, outputs générés
🔄 Versions du modèle — Quelle version était active à quel moment
👤 Interventions humaines — Qui est intervenu, quand, pourquoi

🔍 Type 3 : Preuves d'Audit

Les audits prouvent que vous avez vérifié régulièrement votre conformité.

📝 Rapports d'évaluation interne — Auto-évaluations documentées
🏢 Audits externes — Rapports d'organismes tiers
✅ Certifications — Certificats de conformité obtenus
🔧 Actions correctives — Non-conformités détectées et corrigées

🎓 Type 4 : Preuves de Formation

Les preuves de formation démontrent que vos équipes sont compétentes pour utiliser le système.

📜 Certificats individuels — Attestations de formation par personne
📅 Registre des présences — Qui a suivi quelle formation, quand
📋 Programmes de formation — Contenus, durées, évaluations
🔄 Recyclages — Preuves de mise à jour des compétences

📋 Évaluez Votre Niveau de Traçabilité

Êtes-vous capable de prouver votre conformité ?

🔬 3 Cas Pratiques de Contrôle

📌 Cas 1 : Plainte d'un Candidat Refusé (Système RH)

Contexte : Un candidat conteste son refus par un système de tri de CV. Il saisit l'autorité de surveillance.

L'autorité vous demande :

1️⃣ Les logs de la décision du système pour ce candidat
2️⃣ Les critères utilisés par l'algorithme
3️⃣ La preuve de l'intervention humaine dans la décision finale
4️⃣ La documentation technique du système

❌ Scénario Échec

Vous ne retrouvez pas les logs de cette décision (purgés après 30 jours).

Conséquence : Impossibilité de prouver que la décision était justifiée → Présomption de discrimination algorithmique.

✅ Scénario Réussite

Vous produisez sous 48h : logs horodatés, critères documentés, trace de la validation humaine, rapport d'audit des biais.

Résultat : L'autorité constate la conformité → Classement sans suite.

📌 Cas 2 : Audit Programmé (Système de Crédit)

Contexte : L'autorité nationale annonce un audit de votre système de scoring crédit.

Documents exigés (délai 15 jours) :

📚 Documentation technique complète (Article 11)
📊 Logs des 12 derniers mois (échantillon)
🔍 Rapports d'audit internes
🎓 Preuves de formation des équipes
📋 Registre des incidents et actions correctives

⚠️ Point Critique

L'absence d'UN SEUL document peut entraîner une non-conformité constatée.

Exemple : Logs présents mais certificats de formation manquants → Non-conformité Article 4.

📌 Cas 3 : Incident de Sécurité (Système Médical)

Contexte : Votre système de diagnostic a produit une recommandation erronée ayant entraîné un retard de traitement.

Preuves critiques à produire :

🔄 Version exacte du modèle au moment de l'incident
📥 Données d'entrée utilisées
📤 Sortie exacte du système
👤 Trace de la validation (ou non) par un humain
📋 Preuve que le médecin était formé au système

"En cas d'incident, la reconstitution de l'état exact du système au moment des faits est cruciale. C'est pourquoi le versioning des modèles n'est pas optionnel."
— Dr. Antoine Flahault, Épidémiologiste, Directeur de l'Institut de Santé Globale, Genève

🔐 Garantir l'Intégrité des Preuves

Une preuve modifiable n'a aucune valeur probatoire. L'autorité peut considérer qu'elle a été fabriquée a posteriori.

🔒 Mécanismes de Non-Répudiation

⏱️ Horodatage qualifié — Conforme eIDAS, prouve la date de création
✍️ Signature électronique — Prouve l'auteur et l'intégrité
#️⃣ Empreinte cryptographique — Hash SHA-256 minimum, détecte toute modification
🗄️ Archivage à valeur probante — Certifié NF Z42-013

💡 Solution Pratique

Utilisez un système d'archivage certifié qui garantit :

→ Horodatage automatique à l'ingestion
→ Calcul de hash pour chaque document
→ Journalisation des accès (qui a consulté quoi)
→ Impossibilité de modification sans trace

📋 7 Étapes pour une Traçabilité Probante

Identifier les Preuves Requises

Listez toutes les preuves exigées par l'AI Act selon votre niveau de risque : documentation, logs, audits, formations.

Configurer la Génération Automatique

Paramétrez vos systèmes pour générer automatiquement des logs horodatés, non modifiables, avec contexte complet.

Mettre en Place l'Archivage

Utilisez un système d'archivage à valeur probante (NF Z42-013) avec horodatage qualifié et empreintes cryptographiques.

Définir les Durées de Conservation

Haut risque : 10 ans après retrait. Autres : durée de vie + marge. Formations : indéfiniment.

Organiser l'Indexation

Créez un système de classification permettant de retrouver rapidement n'importe quel document (par date, système, type).

Préparer le "Dossier de Conformité"

Constituez un dossier structuré prêt à produire en cas de contrôle : documentation, logs, audits, formations.

Tester Régulièrement

Simulez des contrôles internes : pouvez-vous produire les preuves sous 48h ? Identifiez les lacunes et corrigez.

📋 Simulateur Capacité Probatoire

Avez-vous une documentation technique à jour ?

Vos logs sont-ils horodatés et non modifiables ?

Conservez-vous les preuves de formation ?

Réalisez-vous des audits documentés ?

❓ Questions Fréquentes - Preuves AI Act

Comment fonctionne la charge de la preuve ?

L'AI Act inverse la charge de la preuve.

C'est à VOUS de prouver votre conformité, pas à l'autorité de prouver votre faute.

Quels types de preuves dois-je conserver ?

4 types : documentation technique, logs opérationnels, preuves d'audit, preuves de formation.

Chaque type répond à un aspect différent de la conformité.

Combien de temps conserver les preuves ?

Haut risque : 10 ans après retrait du marché.

Formations : conservation indéfiniment recommandée.

Qu'est-ce qu'un log probant ?

Un log horodaté, non modifiable, complet et accessible.

Il trace les décisions, données, interventions humaines.

Comment garantir l'intégrité ?

Horodatage qualifié (eIDAS), signatures électroniques, hash cryptographique.

Archivage certifié NF Z42-013.

Que se passe-t-il si je ne peux pas produire les preuves ?

Présomption de non-conformité.

Même si vous étiez conforme, sans preuve, vous êtes réputé en infraction.

Les logs automatiques suffisent-ils ?

Non. Nécessaires mais pas suffisants.

Complétez avec : documentation, tests, audits, formations.

Dois-je conserver les anciennes versions du modèle ?

Oui, pour les systèmes haut risque.

En cas d'incident, vous devrez prouver l'état du système au moment des faits.

Quelle différence entre traçabilité et preuve ?

Traçabilité = suivre le fonctionnement (qui, quoi, quand).

Preuve = démontrer la conformité (log + documentation + contexte).

Comment organiser la production en cas de contrôle ?

Préparez un "dossier de conformité" structuré et indexé.

Testez votre capacité à produire les documents sous 48h.

🎯 Conclusion : Pas de Preuve = Pas de Conformité

L'inversion de la charge de la preuve change fondamentalement la donne. Être conforme ne suffit plus : vous devez pouvoir le prouver.

La traçabilité n'est plus une bonne pratique optionnelle. C'est une obligation légale dont dépend votre capacité à vous défendre en cas de contrôle.

"La meilleure défense en cas de contrôle, c'est un dossier de conformité irréprochable. Sans documentation probante, même l'entreprise la plus vertueuse est vulnérable."
— Maître Sophie Boudin, Avocate spécialisée en droit du numérique

1️⃣ Conservez les 4 types de preuves — Documentation, logs, audits, formations
2️⃣ Garantissez l'intégrité — Horodatage, hash, archivage certifié
3️⃣ Testez votre capacité — Simulez des contrôles régulièrement

L'échéance d'août 2025 approche. Vos preuves doivent être en place.