Le ping Slack est rentré à 23h47, heure de Francfort. Klaus était sur l'appel depuis quatre-vingt-dix minutes, et il était pas censé travailler à cette heure-là un mardi soir, mais l'organisme notifié responsable de l'évaluation de conformité CE avait envoyé un courriel à 16h avec une question qui semblait simple : son équipe pouvait-elle produire les logs Article 12 pour les quatorze derniers mois de données de production? Il a tapé oui. Il avait tort.

Tort. Klaus est ingénieur de certification chez un fournisseur automobile allemand près de Stuttgart, et ce que son équipe avait bâti, c'était un module d'aide à la conduite basé sur la vision, classé comme composant de sécurité d'un produit réglementé sous l'Annexe I du Règlement (UE) 2024/1689. Ils avaient ISO 27001. Ils avaient un dossier de sûreté fonctionnelle signé par leur auditeur TÜV en mars. Ils avaient pas les logs Article 12 structurés comme la Loi IA UE allait bientôt l'exiger, et il leur restait moins de quatre-vingt-dix jours pour corriger ça.

Cette date, c'est le 2 août 2026, et contrairement à la plupart des dates réglementaires, elle bouge pas. Après ça, les dispositions haut risque de la Loi prennent effet juridique partout dans le marché unique. Trois obligations dominent la conversation pour les équipes qui livrent de l'IA en production : Article 12 (journalisation automatique d'événements pour la traçabilité), Article 18 (rétention de dix ans pour la documentation technique), et Article 99(4) (amendes administratives jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires mondial annuel total, selon le plus élevé). La plupart des équipes à qui je parle ont entendu parler de l'échéance. Elles sont pas prêtes.

Qu'est-ce que le 2 août 2026 déclenche réellement?

Le 2 août, c'est pas une date molle. Le Parlement européen a adopté la Loi en juin 2024, le règlement est entré en vigueur le 1er août 2024, et le calendrier d'application a été structuré par paliers. Les règles sur les pratiques interdites ont pris effet le 2 février 2025. Les règles sur l'IA à usage général sont arrivées le 2 août 2025. Les obligations haut risque, celles qui touchent les systèmes IA de production utilisés pour les décisions d'emploi, l'infrastructure critique, les produits réglementés, l'éducation, et une douzaine d'autres catégories de l'Annexe III, atterrissent le 2 août 2026.

On pensait que le classement haut risque était rare. On avait tort là-dessus. Après trois mois à lire des évaluations de conformité pour des clients en fintech, en SaaS réglementé et en RH techno (incluant un échange avec un CTO d'un fournisseur affilié à Desjardins, deux fois dans le dernier trimestre), on pense maintenant que la plupart des systèmes IA d'entreprise bâtis pour le marché européen déclenchent au moins un panier Annexe III. Même quand l'équipe qui les a construits s'attendait pas à être classée comme fournisseur sous l'Article 25. Le classement cascade. Un assistant de codage qui note des CV pour un gestionnaire d'embauche? Annexe III, Point 4. Un composant de sécurité dans un dispositif médical? Annexe I. La liste est plus large que ce que la plupart des équipes juridiques pensent.

Voici la partie qui prend les CISO de court. La Loi vous demande pas si vous avez entraîné le modèle. Elle demande si vous l'avez mis sur le marché de l'UE. Si vous faites du fine-tuning d'un modèle de base et que vous déployez le résultat dans un produit vendu à Munich, vous êtes fournisseur sous l'Article 25, et l'horloge haut risque démarre le jour où le système entre en production. La conformité s'enclenche au déploiement. Pas à l'entraînement. Au déploiement.

15 M€ / 3 %
amende administrative maximale pour non-conformité aux obligations haut risque selon l'Article 99(4), selon le montant le plus élevé
Source : Article 99 de la Loi européenne sur l'IA

Pourquoi votre pipeline CI est-il déjà non conforme?

La plupart des pipelines CI loggent tout ce qu'il faut pour la fiabilité du site : durée du build, taux de succès des tests, artéfact de déploiement, hash du conteneur, le test unitaire qui a flanché à 3h14 du matin. Rien de ça intéresse l'Article 12. L'Article 12 s'intéresse aux événements qui affectent l'opération du système IA lui-même : dérive de la distribution d'entrée, classifications de sortie, actions de remplacement humain, franchissements de seuils sur les métriques surveillées, le moment où un score de confiance descend sous la barre de la politique et qu'un chemin de repli s'exécute. Les logs que vous avez déjà? Pas la bonne couche pantoute. Ils vous disent que le pipeline a roulé. Ils vous disent pas ce que le modèle a décidé, à quel moment, sur quelle entrée, avec quelle confiance, et si un réviseur humain s'est impliqué.

On peut corriger ça de deux façons. La mauvaise façon : bouler une couche de conformité à la fin et espérer que l'auditeur accepte une capture d'écran de Datadog. La bonne façon (et l'équipe de Klaus s'est rendue là, deux mois après cet appel du mardi) : faire de la journalisation Article 12 une préoccupation architecturale de premier plan, comme on traite les en-têtes de sécurité ou les champs d'audit sur une rangée de base de données. Les logs, c'est pas une réflexion après-coup. C'est une partie du contrat que vous avez signé en mettant le système sur le marché.

Quels systèmes IA déclenchent la journalisation Article 12?

Trois paniers, principalement. Premièrement, tout ce qui est dans l'Annexe III : identification biométrique, triage à l'embauche, évaluation de crédit, évaluation en éducation, soutien à l'application de la loi, gestion des migrations, administration de la justice, processus démocratiques. Deuxièmement, tout ce qui est dans l'Annexe I : l'IA comme composant de sécurité de produits déjà réglementés par législation sectorielle (dispositifs médicaux sous le RDM, machines sous le Règlement Machines, véhicules sous le Règlement général sur la sécurité). Troisièmement, le fourre-tout : tout système haut risque couvert par l'Article 6, même s'il vit dans une ligne de produit plus large que personne avait flagué pour scrutin IA.

Voici ce qui surprend les gens. La logique de classement se fout de votre intention. Une équipe qui bâtit un robot conversationnel client à une caisse populaire de Boucherville (et oui, on m'a posé exactement cette question dans le dernier trimestre) tombe probablement hors Annexe III pour le robot conversationnel lui-même. Mais si ce même robot est connecté à un modèle qui évalue la solvabilité, le modèle qui produit le score est haut risque, point final. L'équipe produit l'avait pas réalisé. Leur conseil juridique l'avait pas flagué non plus. La première fois que ça est sorti par écrit, c'est quand leur partenaire bancaire a demandé le dossier de conformité.

Combien de temps doit-on garder les logs et la documentation?

Deux fenêtres qui comptent. L'Article 19 dit que le fournisseur doit conserver les logs générés automatiquement pendant au moins six mois, dans la mesure où les logs sont sous le contrôle du fournisseur. Six mois. C'est le plancher, pas le plafond. Le plafond est fixé par la loi sectorielle, par vos contrats clients, et par la règle de documentation technique de l'Article 18, qui fixe la période de rétention pour la documentation technique, la documentation du système de gestion de la qualité, l'évaluation de conformité et la déclaration UE de conformité à dix ans à partir du moment où le système a été mis sur le marché ou mis en service.

Dix ans, c'est long. La plupart des stacks d'observabilité que j'ai auditées gardent trois à quatre-vingt-dix jours de logs pleine fidélité, puis agrègent le reste en rollups qui dépouillent le détail par événement qu'un auditeur va demander. Ça marche pour le SRE. Ça marche pas pour la Loi IA UE. Soit vous avez besoin d'un chemin de log de conformité séparé avec rétention en stockage froid, soit vous étendez votre pipeline existant pour garder les événements que l'Article 12 demande pendant la fenêtre légalement requise. La bonne nouvelle? Les événements à conserver sont moins volumineux qu'on pense. La mauvaise? Vous les conservez probablement pas aujourd'hui, et l'écart est invisible jusqu'à ce que quelqu'un dépose une demande Article 21.

Rétention des logs : où la plupart des équipes sont vs où la Loi les place Mêmes données. Fenêtres de rétention différentes. Résultats d'audit différents. SRE typique Article 19 Article 18 30 à 90 jours, puis rollups agrégés Min 6 mois, logs auto sous contrôle du fournisseur 10 ans pour documentation technique, SMQ, évaluation de conformité, déclaration UE Les longueurs sont illustratives. Source : Articles 18 et 19, Règlement (UE) 2024/1689. Specira
L'Article 19 fixe une rétention minimale de six mois. L'Article 18 fixe la documentation à dix ans. Les défauts SRE sont bien en dessous des deux.

À quoi ressemble une journalisation conforme?

Six types d'événements. Un chemin de log séparé. Une rétention en stockage froid indexée par le dossier de conformité. La version courte tient sur un Post-it. La version longue, c'est ce que l'équipe de Klaus a bâti en huit semaines, et le patron se généralise à n'importe quel système haut risque avec un organisme notifié sur le dos.

Sur le terrain

L'équipe de Klaus chez le fournisseur automobile allemand a refait son architecture de logging en trois incréments sur huit semaines. Semaines 1 à 2 : ils ont arrêté six types d'événements que l'Article 12 demande pour leur module de vision : métadonnées de la trame d'entrée, sortie de classification, score de confiance, drapeau de remplacement humain, indicateur de franchissement de seuil, et un timestamp d'inférence synchronisé. Semaines 3 à 5 : ces six événements ont migré vers un chemin de log séparé, écrit dans un seau de stockage froid WORM (write-once-read-many), rétention configurée à dix ans. Semaines 6 à 8 : le chemin de log a été câblé dans le pipeline de documentation technique pour que le dossier Article 18 puisse référencer le schéma et les contrôles d'accès directement. Sign-off de l'organisme notifié, semaine neuf.

Source : patron documenté dans le guide développeur Loi IA UE d'Augment Code, généralisé à partir de déploiements observés en industries réglementées.

Comment comprimer 14 mois de conformité en huit semaines?

L'équipe de Klaus l'a fait parce qu'elle avait une fonction de forçage. Calendrier, checklist, échéance, amende. La plupart des équipes ont pas cette pression encore, et c'est exactement pour ça que le 2 août va les prendre par surprise.

Quatre mouvements, dans l'ordre où je les vois fonctionner. (1) Cartographier chaque fonctionnalité qui touche à l'IA contre l'Annexe I et l'Annexe III aujourd'hui, pas en juillet. Le travail de classement, c'est pas juste légal; les product owners doivent être dans la pièce parce que la réponse dépend de l'usage, pas de la techno. (2) Décider qui joue Fournisseur et qui joue Déployeur sous l'Article 25. Si vous faites du fine-tuning, vous êtes probablement Fournisseur, et la plupart des équipes que j'ai auditées se sont trompées au premier passage. (3) Séparer le chemin de log de conformité du chemin de log SRE. Mêmes données, rétention différente, contrôles d'accès différents. (4) Mettre la documentation technique en avant. L'Article 18, c'est pas un Word de 100 pages; c'est un artéfact structuré qui doit survivre dix ans d'audits et de dérive de version. Traitez ça comme du code.

Les équipes qui bougent en premier livrent le même logiciel avec un fossé structurel. Pour plus sur la logique de la piste d'audit, voir notre article sur la gouvernance IA pour les requis; les principes sont les mêmes, sauf que la réglementation a des dents maintenant.

La réalité du 2 août 2026

La Loi IA UE demande pas si votre IA fonctionne. Elle demande si vous pouvez prouver qu'elle fonctionne comme vous l'avez dit, à chaque fois, pendant dix ans. La journalisation Article 12 et la documentation Article 18, c'est pas de la paperasse; c'est la piste d'audit qui transforme votre système IA d'une boîte noire en un produit gouverné.

Livrez sans cette piste et vous portez une dette de 15 millions d'euros sur votre bilan sous l'Article 99(4). Bâtissez la piste correctement la première fois et vous livrez le même logiciel avec un fossé structurel qui compose à chaque audit que vous passez proprement.

Quelles sont les questions les plus fréquentes sur l'échéance d'août 2026?

Oui. Les obligations haut risque des Articles 8 à 15, plus les règles de transparence de l'Article 50, s'appliquent aux systèmes mis sur le marché de l'UE à partir du 2 août 2026, y compris ceux déjà en production. La Loi ne grand-pèrise pas les systèmes haut risque existants. Les fournisseurs doivent atteindre la conformité à la date ou risquer des amendes jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires mondial annuel total selon l'Article 99(4).
Probablement oui si vous mettez un système IA sur le marché de l'UE ou si la sortie est utilisée dans l'UE. L'Article 2 du Règlement (UE) 2024/1689 a une portée extraterritoriale explicite. Une compagnie québécoise qui affine un modèle et livre un produit SaaS à des clients européens déclenche des obligations de fournisseur sous Article 25, même si aucune infrastructure ne tourne dans l'UE.
Pas par eux-mêmes. Les modèles d'IA à usage général tombent sous un régime distinct au Chapitre V de la Loi, avec des obligations centrées sur la transparence, le droit d'auteur et (pour les systèmes à risque systémique) des devoirs de sécurité supplémentaires. Le classement haut risque s'enclenche quand le modèle est intégré dans un produit qui touche les cas Annexe I ou Annexe III, comme le triage de CV, l'évaluation de crédit ou un composant de sécurité dans un dispositif médical.
Un Fournisseur développe ou modifie substantiellement un système IA et le met sur le marché. Un Déployeur utilise un système IA sous son autorité. L'Article 25 dit que le fine-tuning ou la modification substantielle d'un système existant peut convertir un Déployeur en Fournisseur, ce qui transfère les obligations plus lourdes des Articles 8 à 21 à la partie qui modifie. La plupart des équipes d'entreprise qui font du fine-tuning sont des Fournisseurs, même si elles ne le savent pas.
L'application commence le jour où l'échéance passe. Les autorités nationales de surveillance du marché peuvent demander la documentation technique selon l'Article 21, exiger une action corrective et émettre des amendes selon l'Article 99. L'extension Digital Omnibus proposée qui pousserait certaines échéances à décembre 2027 ou août 2028 n'est pas adoptée en mai 2026. Planifiez pour le 2 août 2026 jusqu'à ce que le législateur change ça.
Les logs d'application capturent les événements système : requêtes, erreurs, builds, déploiements. Les logs Article 12 capturent les événements spécifiques à l'IA pertinents pour la traçabilité et le risque : métadonnées d'entrée, sortie du modèle, score de confiance, actions de remplacement humain, franchissements de seuils. La rétention minimale selon l'Article 19 est de six mois, souvent plus en pratique, et les logs doivent être accessibles aux autorités de surveillance pour la durée de vie du système.

Lectures connexes

Gouvernance IA pour les requis : pourquoi votre piste d'audit compte plus que votre modèle

Les pistes d'audit ne sont plus optionnelles. La Loi IA UE exige désormais des contrôles documentés pour les décisions assistées par IA en industries réglementées.

Banque : remplacement de système central

Comment les institutions financières modernisent leurs systèmes bancaires de base en maintenant la traçabilité réglementaire et en comprimant le risque d'audit.
Nicolas Payette, PDG et fondateur de Specira AI
Nicolas Payette
PDG et fondateur, Specira AI

Nicolas Payette a 25 ans dans la livraison de logiciels d'entreprise, ayant dirigé des transformations numériques chez des compagnies comme Technology Evaluation Centers et Optimal Solutions. Il a fondé Specira AI pour s'attaquer à la cause racine des échecs de projets : des requis flous, pas du code lent.