Announcement4-week governed pilot: move one real workflow into controlled production
KLA Digital Logo
KLA Digital
Article 12 de la loi européenne sur l'IA

L'écart de preuve EU AI Act : ce que les vérificateurs exigeront réellement

Article 12 nécessite "l'enregistrement automatique des événements" mais ne fournit presque aucune spécificité. Cette lacune se comblera rapidement lorsque l'application commencera. Le précédent de MiFID II, de SOX, de GDPR et de MDR montre que les exigences fondées sur des principes évoluent constamment en attentes de vérification très précises d'ici 2 à 4 ans.

Les organisations qui se préparent à présent devraient mettre en place des systèmes d'enregistrement non conformes aux règles cryptographiques. Pas parce que Article 12 l'a mandaté, mais parce que c'est précisément ce que les auditeurs exigeront.

Voir preuve infalsifiable en actionObtenir le modèle QMS
L'écart de preuve

Les organismes notifiés signalent déjà des attentes plus strictes

L'écosystème d'évaluation de la conformité se mobilise avant la date limite de désignation des organismes notifiés d'août 2025. TUV SUD a commencé à offrir des certificats volontaires de conformité AI Act en novembre 2025. Team-NB a mis en garde contre une pénurie potentielle d'organismes désignés avec une expertise AI. Ceux qui obtiennent une désignation appliqueront des normes rigoureuses.

L'Espagne AESIA regulatory sandbox a produit 16 guides d'exécution technique couvrant des méthodes de documentation spécifiques. Les participants reçoivent des « rapports de sortie » selon lesquels les évaluateurs de conformité doivent « tenir compte positivement », établissant un précédent précoce pour ce à quoi ressemble une documentation acceptable.

En vertu de Annex VII, les organismes notifiés disposeront de pouvoirs d'accès étendus : accès complet aux ensembles de données de formation via API, droits de test direct et, dans des cas exceptionnels, accès aux modèles formés eux-mêmes. Vos journaux d'accès aux ensembles de données deviendront des cibles d'audit.

Précedent réglementaire

Le modèle est clair : un texte vague devient une pratique stricte

Chaque régulation majeure suit la même trajectoire. Les exigences fondées sur les principes deviennent des attentes de vérification très précises d'ici 2 à 4 ans.

L’article 12 du EU AI Act suivra le même schéma

Ce que cela est devenu

  • Divergence UTC 100 microsecondes (HFT)
  • 1 milliseconde (trading algorithmique)
  • Stockage WORM 5–7 ans
  • Reconstruction des transactions en 72 h

Leçon clé

La précision temporelle est devenue 1 000 000x plus stricte

L’« enregistrement automatique des événements » de l’article 12 deviendra un logging infalsifiable, ancré cryptographiquement, dans les 2–4 ans suivant le début de l’application.

Enseignements tirés

Comment d'autres règlements ont évolué de vague à prescriptive

MiFID II

Exigences initiales

"Source de temps exacte" pour les enregistrements de négociation

Ce qu'il est devenu

100 microsecondes de divergence UTC (HFT), stockage WORM, rétention 5-7 ans, reconstruction 72 heures

Annexe

Les exigences de précision sont devenues plus strictes que le texte original.

SOX

Exigences initiales

"Contrôle interne adapté" (aucune définition)

Ce qu'il est devenu

Cadre du COSO: 17 principes, 87 points d'intérêt, 40 % des taux de déficience en matière d'audit

Cadre du COSOPCAOB

Le texte fondé sur des principes est devenu très normatif grâce à la pratique de la vérification

GDPR

Exigences initiales

"Mesures techniques appropriées"

Ce qu'il est devenu

2FA maintenant attendu (Haga Hospital amende), procédures d'accès documentées nécessaires

Décision de l'hôpital Haga

Le principe de responsabilité fait de la documentation elle-même une exigence conformité

MDR

Exigences initiales

Prescriptions relatives à la documentation technique

Ce qu'il est devenu

CEI 62304 pistes d'audit, contrôle complet des versions, traçabilité des exigences aux essais

IEC 62304Orientation Team-NB

Les modèles d'instruments médicaux sont importés directement dans les attentes de la Loi sur l'IA

Attentes en matière de vérification

Ce que les vérificateurs se préparent à évaluer

Sur la base de prEN ISO/IEC 24970, prEN 18286 et de nouveaux grands 4 domaines de pratique, voici ce que l'évaluation de la conformité couvrira probablement.

  • Événements opérationnels (entrées, sorties, décisions)
  • Événements de surveillance automatisés (dérive, anomalies)
  • Interventions de surveillance humaine (approbations, interventions)
Mise en œuvre

Signaux techniques convergents dans les directives d'audit

Bien que ces modèles techniques ne soient pas explicitement mandatés, les vérificateurs poseront la question pratique suivante : comment prouver que ces registres n'ont pas été modifiés?

Chaînes cryptographiques

Chaque entrée de journal comprend un hachage de l'entrée précédente, créant des séquences falsifiées évidentes

Chaînes de hachage SHA-256 avec rouleaux d'arbres Merkle

Stockage WORM

Stockage Write-Once-Read-Many (WORM)

immudb, Amazon S3 Object Lock, Azure Immutable Blobs

Ancrages de l'horodatage

Des horodatages tiers indépendants prouvent qu'il existait des enregistrements à un moment précis

OpenTimestamps, RFC 3161 TSA, ancrage à chaîne de blocs

Architecture append-only

Les corrections deviennent des nouvelles versions liées plutôt que des écrasements

Approvisionnement en événements, registres immuables, bases de données de vérification-trail-native

Infographie

Chaîne de données probantes : des opérations aux preuves prêtes à être vérifiées

Le but n'est pas seulement l'enregistrement. Ça prouve que les journaux sont dignes de confiance.

Les auditeurs veulent prouver que votre QMS tourne (enregistrements) et que ces enregistrements sont fiables (preuves d’intégrité).

Pièges fréquents

Où les équipes se trompent

  • Attendre l'harmonisation des normes avant de mettre en œuvre les contrôles d'intégrité
  • Traitement de la rétention de 6 mois comme suffisant lorsque les règles sectorielles exigent plus de temps
  • L'journalisation existe mais l'intégrité n'est pas vérifiable (pas de hachage, pas de chaîne)
  • Les journaux d'accès aux données sont manquants ou facilement modifiés
  • Aucune preuve indépendante de l'existence de registres lorsqu'ils sont revendiqués
Solution proposée

Construisez des preuves infalsifiables dans vos opérations d'IA

KLA Digital fournit pistes d'audit en ancrage cryptographique à partir du premier jour.

  • immudb-supported relewger: en append-only stockage des preuves avec vérification cryptographique intégrée
  • OpenTimestamps ancrage: ancrage par lots à Bitcoin horaire, fournissant des documents de preuve indépendants existaient quand réclamé
  • S3 Object Lock: conformité-mode stockage WORM pour la rétention de la charge utile brute
  • Evidence Room exportations: paquets signés avec hashs par artefact et instructions de vérification

N'attendez pas des normes harmonisées. Bâtir les vérificateurs de l'architecture des preuves exigera.

Voir l'architecture des preuves

Vérifier l'intégrité de la preuve avec le CLI :

kla
# Verify evidence bundle integrity
kla evidence verify --bundle ./evidence-export.zip

# Export with full hash chain
kla export evidence \
  --tenant $KLA_TENANT_ID \
  --days 30 \
  --include-timestamps \
  --format pdf
Architecture de sécuritéDocs du développeur
Questions fréquentes

FAQ

Article 12 exige-t-il explicitement une intégrité cryptographique?

Non, mais le modèle de MiFID II, SOX, GDPR et MDR est sans ambiguïté : le texte fondé sur des principes devient une pratique prescriptive dans les 2-4 ans. Les auditeurs et les organismes notifiés interpréteront l'"enregistrement automatique" comme signifiant l'enregistrement non conforme.

Quelles sont les périodes de conservation applicables aux registres d'IA?

Article 12 spécifie un minimum de 6 mois pour les registres automatisés, mais les exigences sectorielles l'emportent souvent. Les institutions financières devraient s'attendre à 5-7 ans. La documentation technique doit être conservée pendant 10 ans après la mise sur le marché du système.

Quand des normes harmonisées seront-elles publiées?

prEN ISO/IEC 24970 (norme d'inscription) figure dans le projet de bulletin de vote international standard. prEN 18286 (norme QMS) est entré en enquête publique en octobre 2025. Les normes finales s'attendaient au Q4 2026, mais les attentes des vérificateurs se forment maintenant.

Quel accès les organismes notifiés auront-ils?

En vertu de Annex VII, les organismes notifiés peuvent exiger un accès complet à la formation, à la validation et à l'essai des ensembles de données. Ils peuvent effectuer des tests directs s'ils ne sont pas satisfaits des preuves fournies par le fournisseur. Les journaux d'accès aux données deviendront eux-mêmes des cibles de vérification.

Comment devons-nous gérer l'auditabilité du modèle ML?

Les seuils pour l'enregistrement approfondi demeurent incertains, mais les vérificateurs s'attendent probablement à ce que les résultats soient suivis en version modèle, à ce que l'hyperparamètre change, à ce que la formation soit faite en métadonnées et à ce que les décisions soient traçables.

En savoir plus

Ressources connexes

Continuez votre voyage EU AI Act conformité.

Modèle Article 17 QMS

Modèle de système de gestion de la qualité pour l'IA à haut risque avec cartographie prEN 18286.

Ouvrir

Centre EU AI Act

Remplir le guide des exigences EU AI Act et des échéanciers conformité.

Ouvrir

Aperçu de la sécurité

Architecture technique pour l'intégrité des preuves et la protection des données.

Ouvrir

Démo d'exportation des preuves

Voyez comment des faisceaux de preuves infalsifiables sont générés.

Ouvrir

N'attendez pas les normes pour rattraper

L'écart entre le texte de Article 12 et les attentes pratiques en matière d'audit se comblera rapidement. Les organisations qui prévoient des exigences plus strictes auront des avantages concurrentiels importants lorsque les évaluations de la conformité commenceront.

Réservez une démo Lire Article 12