Dossier de preuves

Un dossier de preuves est une collection structurée et vérifiable de documentation, de journaux d'exécution, d'enregistrements d'approbation et d'artefacts d'intégrité qui, ensemble, démontrent la conformité d'un système d'IA aux exigences réglementaires. Contrairement à une documentation statique décrivant des processus « sur le papier », un dossier de preuves contient la preuve que ces processus ont réellement été exécutés : pistes d'audit montrant que des approbations humaines ont eu lieu, journaux démontrant l'application de politiques, et sommes de contrôle permettant de vérifier que les enregistrements n'ont pas été altérés.

Le EU AI Act n'exige pas seulement la mise en place de mesures de conformité, mais la capacité à en démontrer l'exécution aux autorités de surveillance du marché et aux auditeurs. L'article 18 impose aux fournisseurs de tenir la documentation et les journaux à disposition des autorités compétentes pendant dix ans. L'article 26 impose aux déployeurs de conserver les journaux générés automatiquement. Dans tout le règlement, l'accent est mis sur une conformité prouvable et documentée, plutôt que sur de simples déclarations. Lorsque des auditeurs se présentent (auditeurs internes de préparation, auditeurs externes de certification, ou autorités en enquête), ils demandent des preuves : pouvez-vous prouver que votre système de gestion des risques fonctionne ? Montrez-moi la piste d'audit. Pouvez-vous démontrer la supervision humaine ? Montrez-moi les enregistrements d'approbation. Pouvez-vous vérifier que ces pièces n'ont pas été modifiées ? Montrez-moi les preuves d'intégrité.

Un dossier de preuves complet inclut généralement : la documentation technique de l'annexe IV (documentation requise pour les systèmes à haut risque), des pistes d'audit (enregistrements chronologiques des opérations, décisions et interactions), des enregistrements d'approbation (preuves des actions de supervision humaine : approbations, rejets, escalades et dérogations), des rapports de surveillance (métriques de performance, résultats de détection de dérive, incidents) et des artefacts d'intégrité (manifestes listant les fichiers inclus avec des sommes de contrôle cryptographiques permettant une vérification).

La différence clé entre documentation de conformité et dossier de preuves est la vérifiabilité. Un dossier de preuves intègre des mécanismes de vérification d'intégrité : manifestes avec hachages cryptographiques, horodatages issus de sources de confiance, preuves de stockage en ajout uniquement, permettant à un auditeur de confirmer indépendamment que les preuves n'ont pas été modifiées après coup.