📍82 Boulevard Haussmann, 75008 Paris

Demandez votre démo

Article 19 IA ACT - Journaux générés automatiquement

Table des matières

Explication de l’article

L’article 19 de l’IA Act impose aux fournisseurs de systèmes d’IA à haut risque de conserver les logs (journaux d’événements) générés par ces systèmes, pendant une durée minimale de six mois, ou plus si le droit national l’exige.

Ces logs doivent permettre de reconstituer le fonctionnement réel du système, de comprendre les décisions prises et de détecter d’éventuels dysfonctionnements, incidents ou violations de droits.

L’objectif principal de l’article 19 est de garantir la traçabilité opérationnelle des systèmes d’IA après leur mise en service. Contrairement à la documentation prévue à l’article 18 (plus statique), l’article 19 porte sur des données dynamiques, générées en continu pendant l’utilisation du système.

Cette obligation est essentielle pour

  • le contrôle par les autorités compétentes,
  • la gestion des incidents,
  • la protection des droits des personnes affectées,
  • et la responsabilité juridique des fournisseurs.

Notions clés à comprendre

Logs (journaux d’activité)
Enregistrements automatiques retraçant le fonctionnement du système d’IA : décisions prises, paramètres utilisés, erreurs détectées, interventions humaines, etc.

Traçabilité opérationnelle
Capacité à reconstituer a posteriori le comportement concret du système dans une situation donnée.

Durée de conservation
Les logs doivent être conservés au minimum six mois, sauf obligations plus longues prévues par le droit national ou sectoriel.

Compatibilité RGPD
Les logs peuvent contenir des données personnelles ; leur conservation doit donc respecter les principes de minimisation, de sécurité et de limitation de la durée de conservation.

Intégration sectorielle
Pour certains secteurs (banque, assurance, finance), les logs peuvent être intégrés dans les dispositifs de contrôle prudentiel existants.

Exemple pratique

Une banque utilise un système d’IA pour détecter des transactions suspectes en temps réel.

Application de l’article 19 :

  • Le système enregistre automatiquement chaque décision prise (score de risque, alerte générée, justification algorithmique).
  • Les logs sont conservés pendant au moins six mois.
  • Ces logs sont stockés de manière sécurisée et accessibles uniquement aux personnes habilitées.
  • En cas de contestation d’un client ou de contrôle par l’autorité bancaire, la banque peut reconstituer précisément :

o   les données utilisées,

o   la logique appliquée,

o   la décision produite par l’IA.

Ainsi, l’article 19 garantit à la fois la traçabilité technique et la protection juridique des parties concernées.

Vous ne savez pas quels journaux de votre IA conserver et pour combien de temps ?
L’article 19 impose la conservation des journaux générés par les systèmes d’IA sous contrôle du fournisseur.
Sécuriser mes journaux IA avec un expert

Texte original de l’IA Act

Article 19 – Journaux générés automatiquement

1.   Les fournisseurs de systèmes d’IA à haut risque assurent la tenue des journaux générés automatiquement par leurs systèmes d’IA à haut risque, visés à l’article 12, paragraphe 1, dans la mesure où ces journaux se trouvent sous leur contrôle. Sans préjudice du droit de l’Union ou du droit national applicable, les journaux sont conservés pendant une période adaptée à la destination du système d’IA à haut risque, d’au moins six mois, sauf disposition contraire dans le droit de l’Union ou le droit national applicable, en particulier dans le droit de l’Union sur la protection des données à caractère personnel.

2.   Si les fournisseurs sont des établissements financiers soumis à des exigences relatives à leur gouvernance, à leurs dispositifs ou à leurs processus internes prévues par la législation de l’Union sur les services financiers, ils tiennent à jour les journaux générés automatiquement par leurs systèmes d’IA à haut risque dans le cadre de la documentation conservée en vertu de la législation pertinente sur les services financiers.

Perspectives avec d’autres textes 

Perspective européenne

L’article 19 complète les exigences des articles 12 et 18 en imposant une conservation active des traces de fonctionnement, et pas seulement une documentation statique.

RGPD

Le RGPD encadre strictement la conservation des logs lorsqu’ils contiennent des données personnelles (article 5 et article 32). L’article 19 impose donc une articulation stricte entre traçabilité et protection des données.

Gérer les journaux IA peut sembler complexe. L’équipe de DPO externe de Mon Expert RGPD vous accompagne.

← Article précédent - Article 18 : Conservation des documents
Article suivant – Article 20 : Mesures correctives et devoir d’information →

Menu IA Act

Newsletter S'inscrire

Recevez nos derniers articles et actualités directement dans votre boîte de réception !

Votre e-mail est en sécurité 🔒. En entrant votre e-mail, vous acceptez de recevoir nos newsletter et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.