01Ce que l'Article 12 dit réellement
Le mandat est bref. Deux paragraphes, avec un troisième pour les systèmes biométriques. Ce que cette brièveté dissimule, c'est que l'Article 12 constitue le pivot opérationnel dont dépendent la plupart des obligations substantielles du Règlement IA.
Le texte intégral de l'Article 12(1)–(2) — paraphrasé ici, avec les références au registre officiel ci-dessous — dispose :
Deux termes portent l'essentiel de la charge. « Techniquement » signifie que la capacité de journalisation doit être intégrée dans le système — et non satisfaite par un agent humain prenant des notes ou un analyste exportant des données vers un tableur en fin de mois. « Durée de vie » signifie depuis la mise sur le marché ou la mise en service du système jusqu'à son décommissionnement — et non à compter du lancement du programme de conformité du déployeur.
L'Article 12 est complété par trois autres dispositions qui achèvent le tableau opérationnel :
- Article 19 : oblige les fournisseurs à conserver les journaux générés automatiquement dans la mesure où ils restent sous leur contrôle.
- Article 26(6) : oblige les déployeurs à conserver les journaux générés automatiquement pendant au moins six mois, sauf si d'autres dispositions du droit de l'Union ou national imposent une durée plus longue.
- Article 18 : impose aux déployeurs de maintenir la documentation technique du système accessible pendant dix ans après son retrait du marché ou de service.
Le plancher de six mois est ce sur quoi se concentrent la plupart des analyses. Le plafond de dix ans applicable à la documentation connexe est celui pour lequel les assureurs, établissements hospitaliers et fabricants de dispositifs médicaux doivent réellement bâtir leur architecture — car une preuve conservée six mois alors que la décision sous-jacente est contestée sept ans plus tard est une preuve que le déployeur ne peut plus produire.
Avant l'Article 12, un déployeur européen d'IA de santé interrogé sur une décision spécifique pouvait répondre par des documents de politique interne, des procès-verbaux de comité d'éthique et le propre rapport de performance du fournisseur. À compter du 2 août 2026, le déployeur devra produire des journaux enregistrés automatiquement, générés au moment de la décision par le système lui-même, sous une forme permettant la reconstruction indépendante de ce qui s'est produit — à destination de l'autorité de surveillance du marché de l'État membre dans lequel la décision a été prise.
02Les deux voies vers le statut « haut risque » pour les IA de santé
Les IA de santé atteignent la classification à haut risque — et donc l'Article 12 — par deux voies distinctes, avec deux échéances distinctes.
2.1 Voie A — Annexe III, point 5
Trois des points de la catégorie 5 de l'Annexe III (« accès aux services privés essentiels et aux services publics essentiels et aux prestations ») concernent directement le secteur de la santé :
- 5(a) — Systèmes d'IA utilisés par les autorités publiques ou en leur nom pour évaluer l'éligibilité des personnes physiques aux prestations et services d'assistance publique essentiels, y compris les services de santé. Cela couvre les décisions d'éligibilité équivalentes au système de santé national, les autorisations préalables des payeurs publics et les décisions de couverture des caisses d'assurance maladie des États membres.
- 5(c) — Systèmes d'IA destinés à être utilisés pour l'évaluation des risques et la tarification à l'égard des personnes physiques dans le domaine de l'assurance vie et santé. Cela couvre directement l'IA de souscription et de tarification des assureurs privés.
- 5(d) — Systèmes d'IA destinés à évaluer et classer les appels d'urgence ou à établir des priorités de déploiement pour les services de secours, y compris les systèmes de triage des patients dans les services de soins d'urgence.
La position prudente pour les IA de santé est de présumer qu'elles entrent dans le champ d'application et de documenter toute demande d'exemption au titre de l'Article 6(3). Les exemptions prévues par l'Article 6(3) sont étroites et exigent une justification documentée.
Une proposition Digital Omnibus de décembre 2025 vise à transférer le RDM et le RDIV de la section A à la section B de l'Annexe I du Règlement IA, ce qui réduirait significativement le champ d'application du Règlement IA aux IA dispositifs médicaux. Au 1er mai 2026, ni ce transfert ni le report plus large du Digital Omnibus n'ont été adoptés. L'échéance du 2 août 2027 prévue à l'Article 6(1) reste exécutoire. Planifiez selon les dates actuelles ; n'ajustez qu'une fois l'acte modificatif publié au Journal officiel.
03Ce qui doit être journalisé, en termes opérationnels
L'Article 12 précise ce que les journaux doivent permettre — la traçabilité aux fins d'identification des risques, de surveillance post-commercialisation et de surveillance opérationnelle — mais n'énumère pas les événements spécifiques à enregistrer. Les organismes de normalisation travaillent à ce sujet (projet prEN 18229-1 sur la journalisation IA et la supervision humaine ; ISO/IEC DIS 24970), mais aucun n'était finalisé à mi-2026. La lecture opérationnelle dominante est que le journal doit permettre à une partie indépendante de reconstituer, pour toute décision spécifique :
| Catégorie d'événement | Ce que le journal doit capturer |
|---|---|
| Identité de la décision | L'identifiant unique de la détermination, l'horodatage de sa production et le contexte opérationnel ou l'État membre dans lequel elle a été prise. |
| Identité du modèle | La version spécifique et validée du modèle ayant produit le résultat, incluant une référence cryptographique ou autrement immuable à l'artefact du modèle et à la documentation technique au titre de l'Article 11. |
| Données d'entrée | Les catégories de données d'entrée conditionnées (généralement par référence plutôt que par valeur, lorsque la législation sur la protection des données s'appliquerait), ainsi que la version du jeu de données ou l'identifiant du pipeline de caractéristiques qui les a produites. |
| Résultat | Le résultat du système — recommandation, score de risque, classe de triage, décision d'éligibilité — ainsi que toute information associée sur la confiance ou l'incertitude produite par le système. |
| Supervision humaine | Les événements de supervision prévus à l'Article 14 : quel examinateur humain a été désigné, ses qualifications ou son rôle au moment de l'examen, s'il a confirmé, modifié ou annulé le résultat du système, et le raisonnement enregistré. |
| État du système | Si le système fonctionnait dans les paramètres certifiés lors de l'évaluation de conformité, ou si la détermination était hors des limites de son domaine de fonctionnement. |
| Événements à risque | Tout événement signalé comme indicateur potentiel de risque au titre de l'Article 79(1) — distributions de résultats anormales, dérive de distribution, dégradation des performances, variance des indicateurs d'équité. |
| Événements de modification | Toute modification du système entre deux décisions : ré-entraînement du modèle, modification du pipeline de caractéristiques, ajustement du seuil, changement de configuration. Les journaux doivent permettre de déterminer quelle version était en vigueur pour toute décision spécifique. |
04Fournisseur ou déployeur — qui assume quelle obligation
L'achat d'une IA à haut risque auprès d'un fournisseur extérieur ne transfère pas les obligations du déployeur. L'obligation de conservation des journaux pendant six mois court indépendamment des obligations du fournisseur. La responsabilité du déployeur de produire des journaux sur demande à son autorité nationale de surveillance du marché ne peut être renvoyée au fournisseur.
05Le calendrier et l'incertitude liée au Digital Omnibus
06L'exigence implicite : l'inviolabilité des journaux
L'Article 12 ne contient pas les termes « inviolable », « immuable » ou « protégé cryptographiquement ». Mais l'exigence opérationnelle en est fonctionnellement équivalente.
Considérons la position d'une autorité de surveillance du marché enquêtant sur une réclamation relative à une décision spécifique d'une IA à haut risque. L'autorité demande les journaux. Le déployeur produit un fichier. Il n'existe aucun mécanisme permettant à l'autorité de distinguer un enregistrement fidèle d'un enregistrement expurgé. La valeur probante des journaux tend alors vers zéro.
L'Article 99(4)(c) fait de la fourniture d'informations incorrectes, incomplètes ou trompeuses aux autorités une infraction distincte — jusqu'à 7,5 M€ ou 1 % du chiffre d'affaires annuel mondial au titre de l'Article 99(5)(c). Un déployeur qui produit des journaux mais ne peut en démontrer l'intégrité est exposé à la fois à l'infraction sous-jacente à l'Article 12 et à l'infraction distincte au titre de l'Article 99(4)(c). Ces deux sanctions se cumulent.
La lecture pratique adoptée par les équipes réglementaires expertes est que les journaux au titre de l'Article 12 doivent, au minimum, être :
- En ajout seul (append-only) — les enregistrements sont écrits une fois et ne peuvent être modifiés après leur génération
- Protégés en intégrité — chaque enregistrement est signé ou enchaîné par hachage de sorte que toute modification soit détectable
- Vérifiables indépendamment — un tiers peut confirmer que les journaux produits aujourd'hui correspondent aux journaux tels qu'ils existaient au moment où la décision a été prise, sans devoir se fier à l'attestation du déployeur
- Scellés hors du périmètre de confiance opérationnel — la clé de signature ou l'ancre de la chaîne est conservée en dehors du périmètre de confiance opérationnel du système qui génère les journaux
Un déployeur qui conserve une table de base de données de « journaux de décision » alimentée par l'application ayant produit les décisions n'a, en termes cryptographiques, conservé rien du tout. La table peut être modifiée à tout moment par tout processus disposant d'un accès à la base de données. Le déployeur peut affirmer qu'elle ne l'a pas été — mais la question du régulateur n'est pas de savoir si le déployeur l'affirme. La question est de savoir si le régulateur doit se fier à cette affirmation. Au titre de l'Article 12, la réponse devrait être non.
07Sanctions et la seconde infraction dissimulée
| Niveau | Déclencheur | Amende maximale |
|---|---|---|
| Article 99(3) | Pratiques interdites de l'Article 5 | 35 M€ ou 7 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu |
| Article 99(4) | La plupart des obligations à haut risque, dont l'archivage Article 12 | 15 M€ ou 3 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu |
| Article 99(5) | Fourniture d'informations incorrectes, incomplètes ou trompeuses aux autorités | 7,5 M€ ou 1 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu |
Un seul manquement sous-jacent peut déclencher des sanctions à plusieurs niveaux. Un déployeur qui omet de conserver les journaux au titre de l'Article 12 (infraction Article 99(4)) et produit ensuite des journaux dont il ne peut démontrer l'intégrité (infraction Article 99(5)) encourt les deux sanctions. Ces sanctions se cumulent car les infractions sont conceptuellement distinctes : l'omission de conserver des preuves constitue une infraction ; l'omission de produire des preuves vérifiables sur demande en constitue une autre.
08Que faire dans les 90 prochains jours
8.1 Construire l'inventaire Annexe III / Annexe I
Commencer par un inventaire documenté de chaque système d'IA en exploitation touchant à une décision de santé concernant des personnes physiques dans l'UE. Pour chaque système, enregistrer : la finalité prévue, la population concernée, si le système correspond à l'une des descriptions de santé du point 5 de l'Annexe III, s'il s'agit d'un dispositif médical ou d'un DI soumis à évaluation de conformité par un organisme notifié au titre du RDM ou du RDIV, le fournisseur, le responsable interne chez le déployeur, et toute demande d'exemption au titre de l'Article 6(3) avec justification documentée.
8.2 Concevoir l'infrastructure de journalisation maintenant, avant la publication des normes
prEN 18229-1 et ISO/IEC DIS 24970 préciseront les détails techniques. Ils ne sont pas finalisés. Les déployeurs et fournisseurs de santé qui construisent conformément au texte statutaire et à la lecture pratique de l'inviolabilité exposée à la section 6 produiront des architectures conformes à l'arrivée des normes. Les décisions architecturales qui comptent le plus : l'emplacement de la clé de signature (hors du périmètre de confiance opérationnel) ; comment le plancher de conservation de six mois s'articule avec le plafond de dix ans pour la documentation technique ; comment la structure du journal prend en charge l'évaluation des droits fondamentaux au titre de l'Article 27.
8.3 Résoudre la question contractuelle fournisseur-déployeur
Pour chaque système d'IA de santé à haut risque déployé dans le cadre d'un accord fournisseur, le contrat doit explicitement traiter de la journalisation au titre de l'Article 12 : quelle partie génère les journaux ; comment le déployeur obtient un accès durable pour la période de conservation de six mois ; comment le déployeur peut produire les journaux à une autorité de surveillance du marché sur demande ; que se passe-t-il pour l'accès aux journaux en cas de résiliation du contrat.
Jours 1 à 30 : finaliser l'inventaire Annexe III / Annexe I ; identifier les lacunes contractuelles. Jours 31 à 60 : dimensionner l'architecture de journalisation selon les exigences de la section 6 ; sécuriser l'infrastructure de clés de signature hors du périmètre de confiance opérationnel. Jours 61 à 90 : engager les avenants contractuels avec les fournisseurs de systèmes à haut risque ; réaliser la première évaluation de l'impact sur les droits fondamentaux au titre de l'Article 27 pour le système Annexe III le plus conséquent du déployeur. Suivre activement le Digital Omnibus, mais planifier conformément au droit en vigueur.
Références et citations
- Parlement européen et Conseil. Règlement (UE) 2024/1689 du 13 juin 2024 établissant des règles harmonisées concernant l'intelligence artificielle (règlement sur l'intelligence artificielle). Journal officiel de l'Union européenne, série L, 12 juillet 2024.
- EU AI Act Explorer. Article 12 : Conservation des données et de la documentation.
- EU AI Act Explorer. Annexe III : Systèmes d'IA à haut risque visés à l'Article 6(2).
- Commission européenne — Service Desk Règlement IA. Article 12 : Conservation des données — Orientations du service desk.
- Groupe de coordination en matière de dispositifs médicaux (GCDM). MDCG 2025-6 : FAQ du Conseil conjoint sur l'intelligence artificielle concernant l'interplay entre le RDM/RDIV et le Règlement IA.
- Reed Smith. The EU AI Act and Medical Devices: Navigating High-Risk Compliance, 27 juin 2025.
- Gleiss Lutz. Simplification radicale du RDM et du RDIV et large inapplicabilité du Règlement IA aux dispositifs médicaux et aux DI, décembre 2025.