La nouvelle exigence du Règlement sur l’IA de l’UE : pourquoi les journaux d’audit sont le prochain défi d’infrastructure
Tout le monde parle des systèmes d’IA qui seront interdits en vertu du Règlement sur l’IA de l’UE. Cependant, peu de gens discutent de l’Article 12.
L’industrie de l’IA a passé l’année dernière à débattre des pratiques interdites, telles que le scoring social, la reconnaissance des émotions sur le lieu de travail et le profilage prédictif. Ces conversations sont importantes. Mais pendant que nous nous concentrons sur ce que l’IA ne peut pas faire, une exigence plus silencieuse pose un défi immédiat pour quiconque déploie l’IA en production : l’obligation d’enregistrer automatiquement tout ce que les systèmes d’IA font, tout au long de leur cycle de vie.
Ce que le Règlement exige réellement
Pour comprendre le défi, nous devons examiner ce que le Règlement sur l’IA de l’UE exige explicitement.
L’Article 11 exige que les fournisseurs de systèmes d’IA à haut risque préparent une documentation technique détaillée avant de mettre leurs systèmes sur le marché. Cette documentation doit démontrer la conformité et fournir aux autorités les informations nécessaires à son évaluation. Elle couvre la conception, le développement, les tests et l’évaluation du système d’IA. Cette documentation doit rester précise et à jour tout au long de la vie opérationnelle du système.
L’Article 12 va plus loin. Il stipule que « les systèmes d’IA à haut risque doivent techniquement permettre l’enregistrement automatique des événements (journaux) tout au long de la vie du système. » Le mot clé ici est automatique. Il ne s’agit pas de documentation manuelle après coup, mais de construire des systèmes qui génèrent leurs propres journaux d’audit en fonctionnement.
Pourquoi les outils d’IA actuels échouent à ce test
L’industrie de l’IA est optimisée pour la vitesse de génération, mais pas pour la conservation de ce qu’elle génère.
Considérons ce qui se passe dans un flux de travail typique d’IA générative. Une équipe créative utilise Midjourney pour générer de l’art conceptuel, affine les résultats dans Stable Diffusion, compose les résultats dans Photoshop avec des outils assistés par IA, et exporte les actifs finaux aux clients. À chaque étape, des informations critiques disparaissent.
Midjourney n’offre aucune capacité d’exportation de métadonnées. Les invites, paramètres et versions de modèle qui ont produit une image n’existent que dans l’historique de conversation Discord, si vous pouvez les retrouver. Les flux de travail de Stable Diffusion sont plus flexibles, mais des outils comme ComfyUI produisent des fichiers JSON complexes qui peuvent atteindre 10 Mo chacun et devenir corrompus ou ingérables à grande échelle.
Cela crée ce que l’on pourrait appeler un trou noir de métadonnées. Chaque actif généré par l’IA souffre d’amnésie de flux de travail : la perte complète de son contexte de création. Lorsque le designer doit recréer ou itérer sur une génération réussie, il fait face à l’errance coûteuse de l’essai-erreur.
La convergence C2PA
Alors que le Règlement sur l’IA de l’UE crée une pression réglementaire pour le suivi de la provenance, une norme industrielle émerge qui pourrait fournir la base technique : la Coalition for Content Provenance and Authenticity (C2PA).
C2PA est une coalition comprenant Adobe, Microsoft, Google, OpenAI, Intel, Arm et la BBC. Sa norme technique, appelée Content Credentials, crée des manifestes signés cryptographiquement qui accompagnent le contenu numérique, enregistrant son origine et son histoire ultérieure.
Ce que signifie la conformité par conception
Si le Règlement sur l’IA de l’UE exige l’enregistrement automatique des événements tout au long de la vie d’un système d’IA, quelle est l’architecture requise ? Les modèles ne sont pas exotiques. Ce sont des approches établies en ingénierie des données, adaptées aux flux de travail de l’IA.
Journalisation immuable
Le premier modèle est l’immutabilité par défaut. Chaque interaction avec le système est enregistrée au moment où elle se produit, et non reconstruite par la suite.
Attribution d’agent
Le deuxième modèle aborde une exigence spécifique de l’Article 14 : la supervision humaine. Pour prouver que les humains restent en contrôle des systèmes d’IA, il faut distinguer entre les actions entreprises par les utilisateurs humains, les modèles d’IA et les processus automatisés.
Stockage adressable par contenu
Le troisième modèle utilise le hachage cryptographique pour créer des références immuables au contenu. Cela sert plusieurs objectifs : vérification cryptographique de l’intégrité et références immuables qui peuvent persister même lorsque les fichiers passent entre les systèmes.
Structures de graphe de filiation
Le quatrième modèle suit les relations entre les entrées et les sorties à travers des flux de travail complexes. Cela permet de tracer toute sortie à travers les décisions, paramètres et participants qui l’ont produite.
Conclusion
L’industrie de l’IA a passé les cinq dernières années à optimiser la vitesse de génération. Les cinq prochaines années nécessiteront la construction de l’infrastructure pour prouver d’où vient chaque chose. Cela ne concerne pas seulement l’évitement des pénalités, bien que celles-ci soient substantielles. Il s’agit d’opérer dans un environnement où clients, régulateurs et assureurs exigent de plus en plus la preuve de la provenance.