Conformité au Règlement IA : piste d'audit et obligations de transparence

Comment Zeuslock fournit la piste d'audit, le journal de transparence et la chronologie d'incidents que les équipes juridiques et de conformité doivent produire au titre des articles 4, 26 et 50 du Règlement IA.

Ce que le Règlement IA exige réellement de vous

Le Règlement IA (Règlement (UE) 2024/1689) est la première loi horizontale au monde sur l'intelligence artificielle, et ses obligations s'imposent à la quasi-totalité des employeurs européens, pas seulement aux fournisseurs d'IA. Si vos collaborateurs utilisent ChatGPT, Claude, Gemini, Copilot, Mistral ou un copilote interne, vous êtes déployeur au sens du règlement. Ce document s'adresse au juriste, au DPO, au responsable conformité et au RSSI qui devront, face à une autorité de contrôle ou à un audit interne, démontrer le respect des obligations. Il cartographie les articles pertinents par rapport à la piste d'audit produite par Zeuslock et précise ce que nous ne couvrons pas, afin que vous puissiez planifier honnêtement la suite de votre programme de conformité.

Le calendrier réel à anticiper

Le règlement est entré en vigueur le 1er août 2024 et s'applique par étapes. Trois échéances comptent pour la planification :

  • 2 août 2025 — obligations sur les modèles d'IA à usage général (GPAI). Les fournisseurs de modèles à usage général (OpenAI, Anthropic, Google, Mistral, Meta entre autres) sont soumis aux obligations de transparence, de droit d'auteur et de documentation de l'article 53. L'article 55 ajoute des obligations de risque systémique pour les plus grands modèles. Les déployeurs en bénéficient indirectement : la documentation amont à exiger des fournisseurs devient disponible.
  • 2 août 2026 — obligations sur les systèmes à haut risque. Les usages à haut risque listés en annexe III (recrutement, scoring crédit, biométrie, infrastructures critiques, accès à l'éducation, etc.) deviennent contraignants. Les obligations de déployeur de l'article 26 entrent en jeu.
  • 2 août 2027 — application complète. Y compris les systèmes à haut risque intégrés à des produits réglementés au titre de l'annexe I.

Les sanctions sont graduées : jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial pour les pratiques interdites, 15 millions ou 3 % pour la plupart des autres manquements. La CNIL en France, l'AEPD en Espagne, le BfDI avec les autorités des Länder en Allemagne, et le CEPD à l'échelle de l'UE ont déjà publié leurs premières lignes directrices.

Article 4 — la maîtrise de l'IA, et comment la mesurer

L'article 4 impose aux fournisseurs et aux déployeurs de "prendre des mesures pour garantir, dans toute la mesure du possible, un niveau suffisant de maîtrise de l'IA chez leur personnel et chez les autres personnes intervenant dans l'exploitation et l'utilisation des systèmes d'IA pour leur compte". Le règlement ne prescrit pas de programme de formation. Il attend en revanche que vous puissiez décrire l'IA est utilisée et par qui. La plupart des organisations sont incapables de répondre à cette question le premier jour.

Le rôle de Zeuslock ici est d'observation, pas de pédagogie. L'extension navigateur, l'agent desktop et la CLI produisent ensemble un journal continu et anonymisé indiquant quels collaborateurs utilisent quels outils d'IA, à quelle fréquence, avec quel type de données. Ce journal constitue la base sur laquelle un plan de formation peut être conçu. Sans lui, la maîtrise de l'IA reste une déclaration sur l'honneur.

Article 50 — transparence vis-à-vis des utilisateurs

L'article 50 impose d'informer les personnes physiques lorsqu'elles interagissent avec un système d'IA, et de marquer les contenus synthétiques comme tels. Pour un déployeur, la question concrète que posera l'autorité est : "pouvez-vous lister chaque destination IA vers laquelle vos données circulent ?" Zeuslock y répond en tenant un registre destination par destination — ChatGPT, Claude, Gemini, Perplexity, Mistral, Copilot, Poe, You.com, DeepSeek et tout outil capturé par le mode Universel. L'export est horodaté et signé, ce que l'auditeur attendra.

Article 26 — obligations opérationnelles du déployeur à haut risque

L'article 26 constitue le cœur opérationnel pour la plupart des entreprises. Il impose au déployeur :

  • D'utiliser le système conformément à sa notice d'utilisation.
  • De confier la surveillance humaine à des personnes ayant la compétence requise.
  • De veiller à la pertinence et à la représentativité des données d'entrée.
  • De surveiller le fonctionnement et de signaler tout incident grave au fournisseur.
  • De conserver les journaux générés automatiquement pendant au moins six mois.

Zeuslock se positionne sur la couche données de ces obligations. Nous journalisons en continu les entrées envoyées aux systèmes d'IA, bloquons les entrées dangereuses selon la politique configurée (surveillance humaine exprimée dans le logiciel) et construisons une chronologie d'incidents pour chaque prompt qui enfreint les règles. Nous ne remplaçons pas le superviseur humain — nous lui fournissons la preuve.

Articles 53 et 55 — ce qui change pour les GPAI

L'essentiel de l'article 53 (documentation technique, politique de droit d'auteur, résumé des données d'entraînement) et de l'article 55 (évaluation du risque systémique, tests adverses, déclaration d'incidents) pèse sur les fournisseurs. En tant que déployeur intégrant un GPAI dans votre propre produit, votre responsabilité est de capturer la preuve d'un usage maîtrisé. La piste d'audit Zeuslock rend cette preuve concrète.

Cartographie articles — fonctionnalités

DispositionObligation du déployeurApport de Zeuslock
Article 4Maîtrise de l'IA suffisanteRegistre d'usage par utilisateur et par outil pour cadrer la formation
Article 26(1)Usage conforme à la noticePolitique en tant que code ; journal des prompts bloqués
Article 26(2)Surveillance humaine compétenteFile d'incidents avec attribution du réviseur
Article 26(5)Surveillance et signalement d'incidentsAlertes temps réel Slack, Splunk, Sentinel, PagerDuty
Article 26(6)Conservation des journaux ≥ 6 moisExport d'audit en lecture seule, rétention configurable
Article 50Transparence sur l'interaction IAJournal d'usage destination par destination
Articles 53 / 55Obligations GPAI (essentiellement amont)Dossier de preuve d'un usage déployeur maîtrisé

Liste de contrôle pratique pour le responsable conformité

Si la CNIL ou un auditeur se présentait demain, vous devriez pouvoir produire chacun des éléments suivants en moins d'une heure ouvrée. Chaque élément correspond à une donnée que Zeuslock génère par défaut.

  1. La liste de tous les outils d'IA utilisés sur les 90 derniers jours, par département, avec des prompts anonymisés en exemple.
  2. L'ensemble des politiques en vigueur par type de détection (Surveiller, Anonymiser, Bloquer) et la date du dernier changement.
  3. Une chronologie d'incidents sur le trimestre écoulé, avec sévérité, réviseur, action et délai de résolution.
  4. Le volume total de secrets, de données personnelles et de code source interceptés avant sortie du périmètre.
  5. La liste des destinations d'IA fantôme signalées (par exemple DeepSeek) et le journal des notifications au RSSI.
  6. L'état actuel du provisionnement SSO / SCIM, montrant quels collaborateurs accèdent aux outils via un fournisseur d'identité approuvé.
  7. Le socle de maîtrise de l'IA : combien de collaborateurs utilisent l'IA chaque semaine, dans quelles fonctions, avec quels types de données.
  8. La durée de rétention configurée et un échantillon signé d'un journal d'audit exporté.
  9. La preuve de surveillance humaine : identité du réviseur, décision, justification associée à chaque incident de forte sévérité.
  10. L'annexe AIPD couvrant l'usage des outils d'IA, catégories de données, base légale et garanties de transfert.
  11. Une copie de la dernière livraison webhook vers votre SIEM, vérifiée par signature HMAC.
  12. Le modèle de déclaration d'incident que vous adresseriez à votre autorité nationale (CNIL, AEPD, BfDI, etc.) en cas d'incident grave aujourd'hui.

L'export de piste d'audit

La piste d'audit est l'artefact unique le plus souvent réclamé par les autorités. Zeuslock l'expose sous trois formes : téléchargement CSV, transfert temps réel vers un SIEM (Splunk HEC, Microsoft Sentinel, webhook générique) et annexe AIPD packagée. Chaque enregistrement porte les colonnes suivantes :

{
  "timestamp": "2026-05-17T09:42:18Z",
  "user_hash": "sha256:6f1c…",
  "group": "finance-paris",
  "destination": "chat.openai.com",
  "finding_type": "iban",
  "severity": "high",
  "action": "blocked",
  "policy_version": "2026.04-rev3"
}

Le champ user_hash est un SHA-256 salé de l'identifiant annuaire — vous pouvez ré-identifier sur demande pour répondre à un droit d'accès ou à un incident grave, mais l'export par défaut est pseudonymisé, ce qui rejoint l'article 26(6) lu avec l'article 32 du RGPD.

Ce que Zeuslock ne couvre pas

L'honnêteté prime ici sur l'exhaustivité. Zeuslock est la couche de preuve. Il ne remplace pas le reste d'un programme de gouvernance de l'IA.

  • L'évaluation du risque modèle des LLM eux-mêmes — biais, taux d'hallucination, robustesse. Cela relève de la documentation Articles 53/55 du fournisseur et de votre fonction interne de risque modèle.
  • La gouvernance contractuelle des fournisseurs d'IA — DPA, liste de sous-traitants, clauses de résidence des données dans l'UE, droits d'audit. Vos équipes juridiques et achats en sont propriétaires.
  • La délivrance des formations — nous générons la donnée qui indique qui doit être formé et sur quoi ; nous ne dispensons pas le cours.
  • L'évaluation de conformité des systèmes à haut risque que vous concevez — si votre société est fournisseur d'un système à haut risque, il vous faut un organisme notifié ou un processus d'auto-évaluation que Zeuslock ne réalise pas.

Travailler avec les régulateurs européens

Chaque État membre applique le règlement via une ou plusieurs autorités. En France, la CNIL pilote les questions IA et données personnelles et publie des bacs à sable réglementaires. L'AEPD en Espagne mène un programme analogue et a été la première à désigner une autorité de surveillance de l'IA. En Allemagne, le BfDI coordonne avec les autorités des Länder (Bavière, Bade-Wurtemberg, Berlin et autres), chacune publiant ses propres orientations. Le CEPD émet des avis à l'échelle de l'UE et a déjà publié l'avis 28/2024 sur les modèles d'IA et les données personnelles. Lorsque vous saisissez l'une d'elles, mettez en avant les données produites par Zeuslock — elles réagissent bien aux journaux concrets.