CUSTOR 28 · Note réglementaire n° 006 · Lecture 5 min

La conformité ne consiste pas seulement à décider. Elle consiste à pouvoir le démontrer.

Face à une obligation réglementaire, on cherche la bonne réponse. Classer un incident, qualifier un système IA, décider de notifier ou non. Mais une réponse correcte ne suffit pas : le droit européen ne juge pas seulement vos décisions — il juge votre capacité à les démontrer.

Version : 1.0
État du droit : 27 juin 2026
Dernière vérification des sources : 27 juin 2026
Statut : Document susceptible d'évoluer en fonction des publications officielles au Journal officiel de l'Union européenne (JOUE).

Méthodologie

Cette analyse distingue systématiquement :

Les notes précédentes de cette série analysaient une obligation précise. Celle-ci analyse un principe commun à DORA et à l'AI Act : l'exigence de démontrabilité. Les calendriers et périmètres de ces deux règlements diffèrent. Ce qui les relie n'est pas une date — c'est une même conception de la conformité, où la preuve du raisonnement fait partie de l'obligation elle-même.

Le malentendu qu'il faut lever

Il existe une croyance tenace, et elle est confortable : si ma décision est la bonne, je suis couvert. J'ai bien classé l'incident, j'ai bien qualifié le système — donc le sujet est clos.

Le droit européen ne fonctionne pas ainsi. Il ne se contente pas de vérifier ce que vous avez décidé. Il vérifie comment vous y êtes arrivé, et si vous pouvez le prouver. Une décision correcte dont le raisonnement n'est pas documenté n'est pas une décision défendable — c'est une affirmation sans preuve.

Est-ce que cette note vous concerne ?

Oui, si votre établissement prend des décisions de classification ou de qualification sous DORA (incident majeur ou non) ou sous l'AI Act (système à haut risque ou non). Cette note vous concerne plus largement si votre établissement considère qu'une décision correctement prise n'a pas besoin d'être documentée pour être défendable.

Ce qui est juridiquement acquis aujourd'hui

Côté DORA, l'article 17(2) impose explicitement l'enregistrement de tous les incidents liés aux TIC et l'établissement de procédures garantissant que les causes profondes sont identifiées, documentées et traitées. L'article 17(3)(b) précise que ces procédures doivent permettre d'identifier, suivre, enregistrer, catégoriser et classer les incidents selon les critères de l'article 18(1). Le contrôle ne porte pas uniquement sur la décision prise — il porte également sur la capacité à démontrer comment cette décision a été construite.

Côté AI Act, la logique est identique, et plus explicite encore. Le règlement impose, pour les systèmes à haut risque, une documentation technique (article 11), un enregistrement automatique des événements assurant la traçabilité (article 12), et une supervision humaine identifiable (article 14). Le législateur ne demande pas seulement que le système décide bien. Il exige que chaque décision puisse être reconstituée : avec quelles données, sous quelle version, validée par qui.

À retenir

Une décision juste ne se défend pas par son résultat. Elle se défend par la preuve de son raisonnement.

Le point réellement mal compris : trois exigences communes

Pourquoi cette convergence entre deux textes aux objets différents ? Parce qu'ils partagent une même intuition : dans un environnement régulé, une décision qu'on ne peut pas reconstituer n'a, aux yeux de l'autorité, jamais vraiment eu lieu. Trois exigences en découlent, communes à DORA et à l'AI Act.

TRAÇABILITÉ — Chaque décision doit laisser une empreinte : quand, sur quelle base, selon quels critères. Une décision qui ne s'inscrit nulle part ne se prouve pas.

VALIDATION HUMAINE — Le raisonnement ne peut pas être une boîte noire. Il faut pouvoir désigner qui a validé, à quel point du processus, sur quels éléments. La responsabilité a un visage.

VERSIONNEMENT — Les textes évoluent, les critères se précisent. Une décision prise hier doit pouvoir être lue à la lumière des règles d'hier, pas de celles d'aujourd'hui. Sans version, pas de relecture honnête.

La vérité qui survit aux évolutions

C'est la différence entre avoir raison et pouvoir démontrer qu'on avait raison. La première relève de la compétence. La seconde relève de la preuve. Le droit européen exige les deux — et n'accorde de valeur à la première que si la seconde existe.

Les règlements imposent des obligations. Ils imposent surtout de pouvoir démontrer que ces obligations ont été respectées.

C'est cette conviction qui doit guider la conception de tout dispositif de conformité sérieux.

Les questions à vous poser

Si, à l'issue de cette lecture, vous ne pouvez pas répondre avec certitude aux questions suivantes, votre dispositif de documentation mérite probablement une revue :

  1. Vos décisions de classification d'incident ou de qualification de système IA laissent-elles une trace horodatée, indépendamment du résultat final ?
  2. Pouvez-vous désigner, pour chaque décision, la personne qui a validé et sur quels éléments ?
  3. Si une décision ancienne était réexaminée aujourd'hui, pourriez-vous la relire à la lumière des règles en vigueur au moment où elle a été prise ?
  4. Votre documentation technique (AI Act, art. 11) et vos enregistrements d'événements (art. 12) sont-ils tenus à jour en continu, ou reconstitués après coup ?
  5. Une décision correcte mais non documentée serait-elle, dans votre organisation, considérée comme suffisante en cas de contrôle ?

Sources réglementaires

Les échéances et statuts mentionnés dans ce document reflètent l'état du droit à la date de dernière vérification indiquée en tête. Ils sont susceptibles d'évoluer dès publication de textes officiels au JOUE.

Auteur : Boumediene Fergani
Fondateur de CUSTOR 28. 15 ans d'expérience en paiements, réglementation bancaire et transformation des systèmes financiers (ISO 20022, moteurs de paiement, conformité DORA & AI Act).

Version 1.0 · Dernière vérification : 27 juin 2026
Sources officielles : EUR-Lex / Commission européenne.

Quis custodiet ipsos custodes