Contexte réglementaire — AI Act (UE)
Aperçu informatif du cadre réglementaire européen et de sa correspondance avec les propriétés structurelles de l'infrastructure décisionnelle.
AI Act — statut & calendrier
Le cadre principal est le Règlement (UE) 2024/1689.
Entré en vigueur le 1er août 2024.
Application progressive : certaines dispositions s'appliquent déjà, d'autres sont prévues au 2 août 2026 et au 2 août 2027.
Le 19 novembre 2025, la Commission a publié une proposition d'amendement (« Digital Omnibus on AI »). Ce texte est en procédure législative et n'est pas encore en vigueur. Le calendrier et les obligations peuvent évoluer.
Correspondance architecturale
Correspondance de haut niveau entre attentes réglementaires et propriétés structurelles.
| Exigence réglementaire | Propriété structurelle |
|---|---|
| Traçabilité des décisions | Évaluation déterministe liée à une politique explicite |
| Conservation des enregistrements | Registre append-only |
| Transparence | Artefacts exportables et vérifiables |
| Supervision humaine | Routage explicite des résultats Indéterminés (I) |
| Gouvernance d'accès | Autorisation conditionnée par politique |
| Adoption progressive | Observer / Comparer / Appliquer avec retour arrière |
| Surveillance post-marché (Art. 72) | Détection de dérive KL, distribution T/F/I, métriques d’escalade |
| Explicabilité (Art. 13) | Explications multilingues déterministes (FR/DE/IT/EN), aucun LLM |
| Gestion des risques (Art. 9) | Registre des systèmes AI avec auto-classification Annexe III |
| Classification Annexe III | Questionnaire de 15 questions, mapping automatique des obligations Art. 9–72 |
| Signalement d’incidents graves (Art. 73) | Détection automatisée, classification par sévérité, suivi de délais, notification aux autorités |
| Conformité multi-réglementation | Surcouche réglementaire croisée : 8 cadres (EU AI Act, DORA, MiFID II, FINMA, RGPD, LPD/nDSG, SOX, Basel III), 27 articles |
| Transparence des systèmes AI | AI Bill of Materials (SPDX 3.0) : inventaire de composants par décision et par système avec vérification d’intégrité |
| Vérifiabilité externe | Portail de vérification publique : vérification zero-knowledge via preuves d’inclusion Merkle |
Surveillance post-marché (Art. 72)
L’Art. 72 de l’EU AI Act impose aux fournisseurs de systèmes AI à haut risque de « collecter, documenter et analyser activement et systématiquement les données sur les performances » tout au long du cycle de vie — échéance opérationnelle 2 août 2026.
OmegaOS™ mesure la distribution décisionnelle (Vrai / Faux / Indéterminé) sur des fenêtres temporelles glissantes et détecte la dérive par divergence KL entre la distribution de référence et courante. Les temps de résolution d’escalade humaine sont suivis aux percentiles p50, p95 et p99. Quand la dérive dépasse les seuils configurables, des alertes automatisées sont déclenchées.
| Métrique | Méthode |
|---|---|
| Distribution décisionnelle | Compteurs T/F/I sur fenêtres glissantes configurables |
| Détection de dérive | Divergence KL avec lissage de Laplace |
| Latence d’escalade | Temps de résolution p50 / p95 / p99 |
| Seuils d’alerte | Configurables par politique, escalade automatisée |
Aucun data scientist requis. La détection de dérive est du traitement de signal déterministe — pas de l’inférence ML.
Registre des systèmes AI (Annexe III)
Classifiez automatiquement vos systèmes AI par niveau de risque (Interdit / Élevé / Limité / Minimal) via un questionnaire structuré de 15 questions aligné sur l’Annexe III de l’EU AI Act. Les systèmes à haut risque reçoivent automatiquement leurs obligations applicables (Art. 9 à Art. 72) avec suivi de conformité par article.
| Capacité | Implémentation |
|---|---|
| Classification de risque | Questionnaire Annexe III 15 questions → niveau de risque automatique |
| Mapping des obligations | Art. 9–72 par système, auto-généré pour le haut risque |
| Suivi de conformité | Statut par article : Non adressé / En cours / Conforme |
| Historique des évaluations | Chaque classification enregistrée avec horodatage et justification |
Des obligations à l’architecture
Les obligations fondamentales de l’EU AI Act pour les systèmes à haut risque ne sont pas une liste à cocher. Ce sont des exigences architecturales. OmegaOS™ implémente chacune comme propriété technique.
| Article | Obligation | Propriété OmegaOS™ |
|---|---|---|
| Art. 9 | Système de gestion des risques | Risk Registry + audit de cohérence Ascension |
| Art. 12 | Journalisation automatique / traçabilité | Decision Evidence Log append-only |
| Art. 13 | Transparence | Explications multilingues déterministes |
| Art. 14 | Supervision humaine | Logique trilean : Indéterminé force l’escalade |
| Art. 15 | Exactitude, robustesse, sécurité | Invariants formels (TLA+), intégrité Merkle, Ed25519 |
| Art. 72 | Surveillance post-marché | Détection de dérive KL, distribution T/F/I, alertes automatisées |
| Art. 73 | Signalement d’incidents graves | Détection automatisée, délais par sévérité, génération de rapports, notification aux autorités |
La conformité est vérifiable dans le code — pas dans un document.
Conformité multi-réglementation
Les obligations réglementaires ne proviennent pas d’un seul cadre. Les banques font face simultanément à l’EU AI Act, DORA, MiFID II, FINMA, RGPD, LPD/nDSG, SOX et Basel III. OmegaOS™ évalue chaque décision contre tous les cadres applicables en une seule passe.
| Cadre | Articles couverts |
|---|---|
| EU AI Act | Art. 9, 12, 13, 14, 15, 72, 73 |
| RGPD | Art. 6, 22, 25, 35 |
| DORA | Art. 6, 8, 11, 17, 28 |
| MiFID II | Art. 16, 25, 27 |
| FINMA | Circulaire 2023/1, Model Risk |
| nLPD suisse | Art. 22 |
| SOX / Basel III | Risque opérationnel, exigences de piste d’audit |
27 articles. 8 cadres. Une matrice de conformité par locataire. Analyse des écarts en temps réel.
Signalement d’incidents graves (Art. 73)
L’Art. 73 de l’EU AI Act impose aux fournisseurs et déployeurs de systèmes AI à haut risque de signaler les incidents graves aux autorités nationales compétentes. Les délais sont stricts : rapport initial en quelques jours, rapport complet avec mesures correctives à suivre.
OmegaOS™ automatise l’ensemble du pipeline : détection d’incidents depuis les alertes de dérive ou saisie manuelle, classification par sévérité avec délais calculés (2/10/15 jours), génération de rapports initiaux et complets, et notification structurée aux autorités avec piste d’audit complète.
| Capacité | Implémentation |
|---|---|
| Détection | Automatisée depuis les alertes de dérive ou saisie manuelle avec décisions liées |
| Classification | Niveaux de sévérité : Critique (2 jours), Élevé (10 jours), Standard (15 jours) |
| Génération de rapports | Rapport initial + rapport complet avec actions correctives |
| Notification aux autorités | Pipeline structuré avec suivi de la chronologie et alertes de dépassement |
AI Bill of Materials (SPDX 3.0)
Les obligations de transparence exigent une connaissance documentée de chaque composant du système AI. OmegaOS™ génère un inventaire structuré (AI Bill of Materials) conforme au standard SPDX 3.0 AI Profile — par décision et par système AI.
Chaque BOM lie la décision à la chaîne complète de composants : modèles, jeux de données, méthodes d’entraînement, sources d’évidence et évaluations de risque. L’intégrité est vérifiée par hash cryptographique. Formats d’export : SPDX 3.0 JSON-LD, JSON compact, Markdown.
Avertissement
Cette page est fournie à titre informatif uniquement. Elle ne constitue pas un conseil juridique et n'implique aucune certification, approbation ou conformité formelle.
Les obligations dépendent du rôle (fournisseur, déployeur, importateur), du cas d'usage et de la juridiction.
Consultez un conseiller juridique qualifié.
Discutez de vos exigences
Contactez l'équipe d'ingénierie pour discuter de l'alignement réglementaire dans votre contexte opérationnel.
Contact