AI Act article 12 : que devez-vous loguer si vous utilisez l'IA dans un processus métier

L'AI Act européen est en vigueur. L'article 12 oblige les fournisseurs et déployeurs de systèmes IA à haut risque à conserver automatiquement des logs du fonctionnement du système. Mais que cela signifie-t-il concrètement si vous utilisez déjà l'IA dans vos processus métiers aujourd'hui ?

Cet article n'est pas une interprétation juridique — pour cela vous avez besoin d'un avocat ou DPO. Ce qu'il donne : un aperçu concret des obligations de logging, quelles organisations sont concernées, et comment l'implémenter techniquement.

Qui tombe sous l'article 12 ?

L'AI Act distingue les fournisseurs (qui mettent des systèmes IA sur le marché) et les déployeurs (qui utilisent des systèmes IA dans un contexte professionnel).

Fournisseurs de systèmes IA à haut risque (définis en annexe III de l'AI Act) doivent produire une documentation technique et conserver des logs du fonctionnement.

Déployeurs utilisant des IA à haut risque doivent :

• Conserver des logs d'usage
• Implémenter human oversight
• Pouvoir investiguer des plaintes en reconstruisant des décisions individuelles

Les applications à haut risque (annexe III) incluent entre autres :

• Identification biométrique
• IA dans l'infrastructure critique
• IA pour l'enseignement et la formation professionnelle
• IA dans la sélection du personnel (screening CV, évaluation candidatures)
• IA pour l'accès aux services essentiels (crédit, assurance)
• IA dans le maintien de l'ordre
• IA dans la migration et le contrôle des frontières
• IA dans l'administration de la justice

Important : même sans système à haut risque, il y a des obligations de transparence (article 50) et des obligations de traitement RGPD si vous traitez des données personnelles via LLMs.

Ce que demande concrètement l'article 12

Article 12(1) : « Les systèmes IA à haut risque sont techniquement capables de générer automatiquement des logs de fonctionnement du système pendant toute sa durée de vie. »

En pratique cela signifie :

• Quelle entrée a été donnée au système IA
• Quelle était la sortie du système
• Quand l'interaction a eu lieu
• Qui était impliqué (session utilisateur, pas nécessairement nom)
• Quel modèle a été utilisé

La complication RGPD : PII dans les appels LLM

Ici cela devient pratiquement compliqué. Si vous utilisez un LLM pour le service client et que les utilisateurs finaux envoient des données personnelles dans leurs messages — un IBAN pour une question de compte, un numéro patient pour une question soins, un numéro candidature pour une question RH — alors vous êtes obligé de :

1. Loguer ces données pour la traçabilité AI Act
2. Ne pas stocker ces données non sécurisées pour le RGPD
3. Documenter un transfert de données si le fournisseur LLM est hors UE (OpenAI, Anthropic, Google)

Ces trois obligations se contredisent si vous ne les adressez pas explicitement.

L'approche monsys : redaction PII à la source, avant stockage. Le SDK reconnaît IBAN, numéro de registre national, BTW-BE, KBO, NL BSN, FR NIR, emails et numéros de téléphone via validation par checksum et les remplace par [REDACTED-IBAN-BE] avant que le POST HTTP ne parte vers le hub. Le hash de l'original reste disponible pour preuve (« même IBAN qu'au span Y ») sans que l'original ne soit stocké quelque part.

La page AI montre par app le volume, coût, pii-hit-rate, refusal-rate et statut alerts. Tout basé sur données redactées.

Scénario : recrutement RH AI sous AI Act article 6

Vous utilisez Claude pour pré-sélectionner des CV pour des postes ouverts. C'est de l'IA à haut risque (annexe III, point 4).

Ce que vous devez pouvoir démontrer :

• Pour chaque candidat : quelle entrée a été donnée au système IA
• Quelle sortie (évaluation, score, recommandation) le système a donnée
• Qu'un humain a pris la décision finale (art. 14)

Problème pratique : un candidat dépose plainte via l'Autorité de protection des données. Elle veut savoir pourquoi son CV a été rejeté.

Sans AI observability : vous devez chercher manuellement dans les logs de déploiement, configs de prompts et historique Git pour reconstruire ce que le système a vu et dit. Ça prend des jours et la complétude est incertaine.

Avec monsys AI observability : filtrez les traces sur user_session_hash du candidat, débloquez le contenu via TOTP (one-shot, logué), et reconstruisez le prompt et la réponse exacte en cinq minutes.

Scénario : chatbot service client et FSMA

Vous avez un chatbot IA qui répond aux questions de solde pour les clients d'une institution financière. La FSMA vient demander : prouvez que le bot n'a jamais exposé d'IBAN d'autres clients.

Sans logging : vous ne pouvez pas le prouver. Au mieux vous pouvez dire que le système est configuré pour que cela ne devrait pas arriver.

Avec monsys : chaque span contient pii_hits avec hashes des PII redactées. Un evidence pack mensuel contient un rapport agrégé.

python verify.py evidence_bank-bv_april-2026.tar.gz
✓ Signature valid (Ed25519)
✓ 2847 spans intact
✓ PII summary: 312 IBAN-hits, all redacted
exit 0

L'inspecteur FSMA a un artifact vérifiable offline. Pas besoin d'accès dashboard, pas de confiance sur affirmation.

Scénario : prévention cost-spike

Un développeur push un nouveau prompt RAG avec un bug : il inclut par erreur toute la base de documentation comme contexte dans chaque appel. Chaque prompt fait soudainement 50KB au lieu de 2KB.

Sans monitoring : vous le découvrez sur la facture OpenAI mensuelle. Dégâts : €2 000-5 000.

Avec monsys : une alerte cost-spike se déclenche dans les 15 minutes quand cost_per_minute > €1 (configurable). Push notification via ntfy sur votre téléphone. Le développeur fait un rollback. Dégâts : €4-8.

Ce n'est pas un avantage conformité mais un avantage financier direct. Les coûts IA sont volatils et difficiles à budgéter sans monitoring.

Ce que monsys fait et ne fait pas pour la conformité AI Act

Ce que monsys livre :

• Logs automatiques de chaque appel LLM (AI Act art. 12)
• Redaction PII à la source avec validation checksum (RGPD)
• Evidence packs signés, vérifiables offline (pour régulateurs)
• Reconstruction par session des prompts et completions via TOTP-gated unlock (AI Act art. 14)
• Hébergement EU (pas de transfert hors EU pour les traces stockées)
• Alertes sur cost-spikes, hausses refusal-rate, anomalies PII-rate

Ce que monsys ne fait pas :

• Vous rendre conforme NIS2 ou AI Act (c'est un processus organisationnel, pas un produit)
• Remplacer une DPIA
• Bloquer prompt-injection inline ou fournir des guardrails
• Détecter si votre système est juste ou discriminatoire
• Garantir ce qu'OpenAI/Anthropic/Mistral fait de vos données

Le message honnête : la conformité AI Act est une combinaison d'analyse juridique, de processus organisationnels et de tooling technique. monsys livre le tooling technique pour l'obligation de logging. Le reste est à vous.

Intégration en trois étapes

Étape 1 : Créer une AI-app dans le dashboard. Le token est affiché une fois.

Étape 2 : Insérer le SDK à côté de votre appel LLM. Exemple en Python :

from monsys_ai import Tracer
tracer = Tracer()  # lit MONSYS_AI_TOKEN depuis env

def process_customer_request(user_message: str, session_id: str) -> str:
    with tracer.trace(f"customer_service.{session_id}") as t:
        with t.span("claude.respond", provider="anthropic", model="claude-sonnet-4-6") as s:
            s.prompt = user_message
            response = claude_client.messages.create(
                model="claude-sonnet-4-6",
                messages=[{"role": "user", "content": user_message}]
            )
            s.completion = response.content[0].text
            s.input_tokens = response.usage.input_tokens
            s.output_tokens = response.usage.output_tokens
            return s.completion

Étape 3 : Consultez les traces dans le dashboard. Configurez des alertes coût. Exportez mensuellement un evidence pack signé.

Première AI-app gratuite par tenant. Pas de carte bancaire pour les 5 000 premières traces par mois.

---

L'AI observability est documentée dans docs.monsys.ai/fr/ai/quick-start. Démarrez gratuitement : monsys.ai/fr/ai.