Les exigences de journalisation de la Loi sur l'IA de l'UE exposent les lacunes de conformité des agents

Les exigences de journalisation de la Loi sur l'IA de l'UE pour les systèmes d'IA à haut risque se heurtent à un mur de conformité avec l'IA agentique. L'Article 12 mandate « l'enregistrement automatique des événements » avec des garanties inviolables que les journaux d'application standards ne peuvent pas fournir. Bien que la réglementation ne nomme pas spécifiquement les agents IA, les systèmes qui évaluent le crédit, filtrent les CV, ou prennent des décisions de soins de santé tombent sous la classification à haut risque de l'Annexe III. L'échéance est le 2 août 2026.

Cela crée un cauchemar technique que la plupart des organisations n'ont pas encore saisi. Les agents IA ne font pas que exécuter des appels API — ils raisonnent, délèguent, et chaînent les invocations d'outils à travers des arbres de décision que les architectures de journalisation standards n'ont pas été conçues pour capturer. Comme j'ai couvert en avril, l'IA agentique expose des trous noirs de gouvernance. L'Article 12 fait de ces trous des responsabilités réglementaires. Vous devez journaliser non seulement ce que l'agent a fait, mais pourquoi il a choisi ce chemin, quels outils il a appelés, et comment il est arrivé à sa décision.

La couverture des développeurs révèle l'écart pratique : la plupart des équipes pensent que la conformité signifie de meilleurs tableaux de bord CloudWatch. Faux. L'Article 12 exige une signature cryptographique ou une immutabilité de style blockchain pour prouver que les journaux n'ont pas été altérés rétroactivement. La réglementation s'étend aux Articles 12, 13, 19, et 26 avec des références croisées qui rendent l'implémentation peu claire. Les services financiers peuvent intégrer les journaux IA dans les cadres réglementaires existants, mais tous les autres font face à une rétention minimale de six mois avec des extensions spécifiques au secteur.

Si vous construisez des agents pour des cas d'usage réglementés, commencez à concevoir l'architecture de journalisation maintenant. « Nous avons de l'observabilité » n'est pas une stratégie de conformité quand les régulateurs exigent la preuve que vos journaux de décision n'ont pas été altérés six mois après le fait.