La traçabilité devient rapidement l’une des obligations déterminantes de la gouvernance de l’IA. Ce qui était autrefois considéré comme une bonne pratique dans l’exploitation des modèles est désormais inscrit dans la loi, dans les lignes directrices et dans les attentes du marché. En Europe, aux États-Unis et dans les forums internationaux de politique publique, le message est cohérent : les organisations qui déploient ou conçoivent des systèmes d’IA doivent être en mesure de montrer ce qui s’est passé, quand cela s’est produit et pourquoi.
La conséquence pratique est simple. On attend de plus en plus des systèmes d’IA qu’ils laissent des preuves derrière eux au moyen de journaux, de documentation, de relevés de surveillance et de dossiers d’incident. Ce changement est important, car il transforme la conformité, d’une simple déclaration de principe, en une discipline opérationnelle. En d’autres termes, les règles de traçabilité imposent des pistes d’audit de l’IA.
Du principe de gouvernance à l’exigence légale
L’exemple le plus clair vient de l’AI Act de l’UE. Pour les systèmes d’IA à haut risque, le règlement exige que les systèmes soient conçus et développés avec des capacités de journalisation garantissant un niveau de traçabilité approprié à la finalité du système tout au long de son cycle de vie. Il ne s’agit pas d’une aspiration vague. Cela fait de l’auditabilité une partie intégrante de la conception du système.
L’obligation va au-delà de l’architecture technique. Les utilisateurs de systèmes d’IA à haut risque doivent conserver les journaux générés automatiquement dans la mesure où ils les contrôlent, tandis que les fournisseurs doivent rendre les journaux pertinents accessibles aux autorités compétentes lorsque cela est nécessaire. Cela signifie que la traçabilité n’est plus seulement une préférence interne d’ingénierie ; c’est une interface juridique entre les entreprises et les régulateurs.
Ce changement est important, car il déplace les discussions sur la conformité plus tôt dans le processus de développement. Si la journalisation doit être intégrée au système dès le départ, les équipes ne peuvent pas ajouter l’explicabilité ou la tenue des registres à la fin. Les équipes produit, juridique, sécurité et gouvernance doivent désormais se coordonner sur la manière dont les preuves liées à l’IA seront générées et conservées au fil du temps.
Pourquoi la conservation des journaux change la conversation sur la conformité
Le cadre européen exerce également une pression sur les pratiques de conservation. L’analyse de conformité de l’article 19 indique que les fournisseurs de systèmes d’IA à haut risque doivent conserver les journaux générés automatiquement sous leur contrôle pendant au moins six mois, sauf si une autre règle de l’UE ou nationale impose une durée de conservation différente. Ce minimum peut sembler modeste, mais il crée une base formelle pour la préservation des preuves.
Les règles de conservation sont importantes, car une piste d’audit n’est utile que si elle existe encore lorsqu’une question se pose. Les enquêtes ont souvent lieu longtemps après qu’une sortie de modèle a été produite ou qu’un événement système s’est produit. Sans politique de conservation liée à des obligations légales, les organisations risquent de perdre les enregistrements nécessaires pour reconstituer des actions, prouver la conformité ou comprendre les modes de défaillance.
Cela introduit également de nouveaux arbitrages opérationnels. Les entreprises doivent décider quels événements journaliser, où les stocker, comment les sécuriser et comment gérer les risques liés à la vie privée et à la confidentialité. À mesure que les exigences de traçabilité mûrissent, la conservation des journaux devient moins une question de gestion informatique courante qu’un élément central de la gouvernance de l’IA.
L’IA à usage général étend la pression documentaire
Les attentes en matière de traçabilité ne se limitent plus aux systèmes d’IA à haut risque. La Commission européenne indique que les dispositions de l’AI Act concernant les modèles d’IA à usage général ont commencé à s’appliquer le 2 août 2025. Ces dispositions imposent aux fournisseurs de divulguer des informations clés, de fournir une documentation technique et de respecter des obligations de transparence liées au droit d’auteur.
Cette extension est importante, car les modèles à usage général se situent en amont de nombreuses applications en aval. Lorsque les régulateurs exigent de la documentation au niveau du fournisseur du modèle, ils créent une pression en faveur de preuves structurées tout au long de la chaîne de valeur. Les développeurs, les intégrateurs et les utilisateurs en entreprise ont tous besoin de meilleurs enregistrements s’ils veulent comprendre comment un modèle a été construit, quelles contraintes s’appliquent et quelles obligations l’accompagnent.
Le résultat est un paysage de conformité plus large dans lequel la documentation elle-même devient une composante de la préparation opérationnelle. Il ne suffit plus d’affirmer qu’un modèle est sûr, légal ou bien gouverné. Les fournisseurs doivent de plus en plus produire une base documentée pour étayer ces affirmations, dans des formats pouvant être examinés, partagés et comparés.
Le Code GPAI transforme la culture d’audit en pratique de marché
Le Code de bonnes pratiques 2025 de l’UE sur l’IA à usage général ajoute une structure à cette exigence. Selon la Commission européenne, le chapitre Transparence du Code comprend un formulaire de documentation du modèle conçu pour aider les fournisseurs à documenter les informations nécessaires au respect des obligations de l’article 53 de l’AI Act. Le chapitre Droit d’auteur, de manière similaire, traduit des obligations abstraites en mesures de conformité concrètes.
Cela importe, car des formulaires de documentation standardisés encouragent une culture de type audit. Une fois que les organisations commencent à remplir des formulaires structurés sur les modèles, les entrées, les limites et les mesures de gouvernance, elles créent une piste de preuves répétable. Cela soutient à la fois la responsabilité externe et la coordination interne, en particulier dans les grandes organisations où les équipes juridiques, produit et d’ingénierie peuvent chacune ne détenir qu’une partie du tableau.
En avril 2026, de grands fournisseurs, notamment Amazon, Anthropic, Google, IBM, Microsoft, Mistral AI, OpenAI, ServiceNow et WRITER, avaient signé le Code, tandis que xAI n’avait signé que le chapitre Sécurité et sûreté. Ce niveau de participation indique qu’une conformité fortement axée sur la documentation est en train de se normaliser sur le marché, au lieu de rester une préoccupation réglementaire de niche.
Une IA sûre et transparente exige des preuves
Le cadrage politique qui sous-tend ces évolutions est explicite. En rendant compte de la publication par la Commission européenne de la version finale du Code de bonnes pratiques, l’Associated Press a cité la vice-présidente exécutive Henna Virkkunen déclarant que cette étape contribuerait à faire en sorte que les modèles d’IA avancés en Europe soient « non seulement innovants, mais aussi sûrs et transparents ». La sûreté et la transparence, dans ce contexte, dépendent de preuves démontrables.
Cette formulation est révélatrice, car la transparence est souvent abordée comme un concept de communication, alors qu’en pratique elle dépend de preuves. Une entreprise ne peut pas être transparente sur la provenance d’un modèle, ses tests, ses limites ou ses incidents si elle n’a pas capturé et organisé les enregistrements sous-jacents. Les pistes d’audit deviennent l’infrastructure qui rend la transparence possible.
Les enjeux sont amplifiés par l’application de la loi. L’AP a également rapporté que les violations de l’AI Act de l’UE peuvent entraîner des amendes allant jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires annuel mondial. Lorsque les sanctions atteignent cette ampleur, la journalisation, la traçabilité, la documentation et la préparation à l’audit deviennent naturellement des sujets de niveau conseil d’administration plutôt que de simples préoccupations techniques.
Le NIST rend la documentation opérationnelle
En dehors de l’Europe, le NIST renforce la même orientation par des lignes directrices volontaires mais influentes. Le 26 juillet 2024, le NIST a publié l’AI RMF: Generative AI Profile comme complément à AI RMF 1.0, afin d’aider les organisations à intégrer la fiabilité dans la conception, le développement, l’utilisation et l’évaluation des systèmes d’IA générative. Bien qu’il ne s’agisse pas d’une loi, ce document offre aux organisations un cadre pratique pour construire les preuves nécessaires à la gestion du risque lié à l’IA.
Le NIST a continué à mettre à jour les ressources de mise en œuvre. Son AI RMF Playbook a été mis à jour le 27 mars 2026, et l’agence le décrit comme une source d’actions suggérées, de références et d’orientations connexes couvrant les fonctions Govern, Map, Measure et Manage. Cela maintient l’accent sur l’opérationnalisation plutôt que sur des principes abstraits.
Tout aussi important, le NIST AI Resource Center indique que l’AI RMF 1.0 est en cours de révision. Cela signale que les attentes en matière de gouvernance évoluent encore. Pour les organisations, l’implication est claire : les pratiques de constitution de preuves doivent être souples, à jour et intégrées dans les flux de travail afin de pouvoir s’adapter à l’évolution des normes et des attentes réglementaires.
La gouvernance de l’IA converge avec les preuves de cybersécurité
Un autre signe important vient de la cybersécurité. Le NIST a publié le projet initial ouvert à consultation de l’IR 8596, Cybersecurity Framework Profile for Artificial Intelligence, le 16 décembre 2025. Son approche axée sur la documentation suggère que la gouvernance de l’IA converge de plus en plus avec des pratiques de cybersécurité construites autour des contrôles, des enregistrements, de la responsabilité et de la vérification.
Cette convergence est logique. La cybersécurité s’appuie depuis longtemps sur les journaux, les dossiers d’incident, les historiques de changement et les preuves de contrôle pour enquêter sur les défaillances et démontrer la conformité. La gouvernance de l’IA semble désormais évoluer dans une direction similaire, en particulier à mesure que les systèmes deviennent plus complexes, plus interconnectés et plus déterminants.
Pour les entreprises, cela signifie que les pistes d’audit de l’IA ne doivent pas être considérées comme une charge de conformité isolée. Elles font de plus en plus partie d’une architecture plus large de preuves au niveau de l’entreprise, qui inclut les opérations de sécurité, la gestion des risques, l’audit interne et le reporting réglementaire. Les organisations qui intègrent tôt ces fonctions seront probablement mieux préparées que celles qui traitent la documentation de l’IA comme une tâche isolée.
Le signalement des incidents exigera une provenance plus granulaire
L’OCDE a ajouté une autre couche de dynamique en mettant en avant le signalement des incidents. Sur sa page consacrée aux risques et incidents liés à l’IA, l’OCDE note que les juridictions du monde entier préparent des dispositifs obligatoires et volontaires de signalement des incidents d’IA. Elle élabore également un cadre de signalement commun afin d’aligner la terminologie et l’interopérabilité entre ces initiatives.
Le rapport 2025 de l’OCDE, Vers un cadre commun de signalement des incidents liés à l’IA, montre à quel point le signalement futur pourrait devenir détaillé. Il comprend des champs indiquant si un incident était lié aux données d’entraînement, au modèle d’IA, aux interactions entre plusieurs systèmes d’IA, aux droits d’usage, au contexte d’infrastructure critique et à la ou aux tâches du système. C’est bien plus exigeant qu’un journal d’événements générique.
Ces éléments pointent vers un avenir dans lequel la traçabilité devra capturer la provenance, le contexte, les interactions système et les décisions prises tout au long du cycle de vie. Les organisations qui ne conservent que des journaux techniques clairsemés risquent de découvrir qu’elles ne disposent pas des enregistrements nécessaires pour le signalement des incidents, l’examen de responsabilité ou les questions des régulateurs. Des pistes d’audit plus riches deviendront probablement essentielles.
La surveillance continue remplace l’assurance ponctuelle
Les pistes d’audit ne servent pas seulement à regarder en arrière après qu’un problème s’est produit. Elles deviennent aussi centrales pour la surveillance continue. Des éléments de l’OCDE publiés en 2025 décrivent la surveillance continue par les développeurs d’IA comme le suivi de la performance des modèles dans le temps afin de détecter en temps réel les dégradations, les changements de comportement, les menaces de sécurité et les risques émergents.
Il s’agit d’un changement majeur, d’une conformité statique vers une gouvernance sur l’ensemble du cycle de vie. L’assurance traditionnelle se concentrait souvent sur les tests et la documentation avant déploiement. Mais les modèles peuvent dériver, les contextes peuvent changer et les intégrations peuvent créer de nouveaux risques après la mise en service. La surveillance continue génère les enregistrements nécessaires pour montrer que les organisations ne se contentent pas de certifier un système une seule fois, mais le gèrent activement dans la durée.
Les lignes directrices de diligence raisonnable de l’OCDE pour une IA responsable, publiées en mars 2026 après la révision de 2024 des Principes de l’OCDE sur l’IA, ajoutent un poids politique supplémentaire à cette attente. Une IA responsable signifie de plus en plus être capable de démontrer comment les risques ont été identifiés, évalués, remontés et atténués tout au long du cycle de vie du système.
À travers l’AI Act de l’UE, le Code de bonnes pratiques GPAI, les ressources du NIST et les travaux de politique publique de l’OCDE, la direction est sans équivoque. La gouvernance s’éloigne d’une supervision fondée uniquement sur des principes pour aller vers des systèmes opérationnels capables de produire à la demande des journaux, de la documentation, des relevés de surveillance et des preuves post-incident. Les organisations qui se préparent dès maintenant seront mieux positionnées à la fois pour la conformité et pour la résilience.
C’est pourquoi cette formule est importante : les règles de traçabilité imposent des pistes d’audit de l’IA. Elles obligent les entreprises à intégrer de la mémoire dans les systèmes d’IA, de la structure dans la documentation et de la responsabilité dans les opérations. Dans la prochaine phase de la gouvernance de l’IA, les gagnants ne seront pas simplement ceux qui disposent de modèles puissants, mais ceux qui seront capables de prouver comment ces modèles ont été conçus, utilisés, surveillés et corrigés.
