AI Incident Procedure

AIAdopt, version 1.0

En vigueur : 21 avril 2026 · Prochaine révision : T4 2026

Pourquoi publions-nous ce document ?

Une AI Usage Policy sans procédure de gestion des incidents correspondante est une pratique de gouvernance à moitié faite. La politique décrit comment nous utilisons l'IA, cette procédure décrit ce que nous faisons lorsque les choses tournent mal. Nous publions les deux ensemble, parce qu'ils forment ensemble un tout opérationnel. Ce document n'est pas une pièce marketing, c'est notre procédure de travail interne. Quiconque souhaite voir comment une entreprise unipersonnelle organise une gestion des incidents IA opérationnelle peut la lire ici.

1. Gestion documentaire

•Document : AIAdopt AI Incident Procedure

•Version : 1.0

•Statut : En vigueur

•Date d'entrée en vigueur : 21 avril 2026

•Prochaine révision : T4 2026 (et annuellement par la suite), ainsi qu'après chaque incident déclenché

•Propriétaire : Rob Ummels, fondateur (gestionnaire d'incidents)

•Documents liés : AIAdopt AI Usage Policy v1.0, AIAdopt AI Tool Inventory v1.0

•Base légale / cadre de référence : RGPD Articles 33 et 34, Article 73 EU AI Act dans la mesure où AIAdopt agit en tant que fournisseur d'un système d'IA à haut risque

•Engagement volontaire : EU AI Pact Optional Commitments en matière de gestion des risques

2. Objet

Cette procédure décrit comment AIAdopt traite les incidents impliquant des outils d'IA, dans la mesure où ils sont utilisés par ou au nom de l'organisation. Elle existe pour détecter les incidents tôt, les contenir rapidement, les rapporter là où la loi l'exige, et en tirer les leçons. La procédure soutient les engagements de gestion des risques pris dans le cadre de l'EU AI Pact ainsi que les obligations légales au titre du RGPD. L'article 73 EU AI Act est intégré au cas où AIAdopt agirait à l'avenir en tant que fournisseur d'un système d'IA à haut risque ou tomberait autrement sous une obligation de notification au titre de l'AI Act.

3. Ce qui constitue un incident IA

Un incident IA est tout événement où un outil d'IA utilisé par AIAdopt produit, facilite ou ne prévient pas un résultat qui est nuisible, illégal, matériellement incorrect, ou contraire à l'AIAdopt AI Usage Policy. Exemples :

•La saisie de données à caractère personnel dans un outil d'IA d'une manière contraire au RGPD ou à l'AIAdopt AI Usage Policy.

•La publication externe de contenu généré par IA qui est factuellement incorrect, trompeur, discriminatoire, ou qui enfreint le droit d'auteur.

•L'usage d'un outil d'IA en dehors de l'AI Tool Inventory pour du travail opérationnel.

•Le comportement inattendu d'un outil d'IA causant une perturbation de la plateforme AIAdopt ou de ses services.

•L'usage abusif de la plateforme de formation AIAdopt comportant des composants IA, signalé par un apprenant ou un client.

•Tout événement qui qualifie comme incident grave au titre de l'article 73 EU AI Act (voir section 5).

Cette définition interne est délibérément plus large que les définitions légales d'une violation de données à caractère personnel ou d'un incident IA grave. Tout incident IA traité dans le cadre de cette procédure n'est pas automatiquement soumis à une obligation légale de notification.

4. Niveaux de gravité et réponse minimale

Chaque incident est classifié sur une échelle à quatre niveaux. La classification détermine la réponse minimale. Le fondateur peut toujours escalader un niveau si la situation le justifie.

Niveau 1 : Mineur

Exemples : Sortie d'IA contenant une erreur factuelle qui n'a pas été publiée en externe ; petit bug dans un fragment de code généré par IA, détecté lors de la revue.

Réponse minimale : Consigner dans le registre des incidents. Corriger. Aucune action externe requise.

Niveau 2 : Modéré

Exemples : Contenu généré par IA publié en externe contenant une erreur factuelle ou une affirmation trompeuse, découverte après publication. Usage d'un outil d'IA hors inventaire par un tiers agissant au nom d'AIAdopt.

Réponse minimale : Consigner. Corriger la publication dans les 48 heures. Mettre à jour l'inventaire. Analyse interne des causes profondes.

Niveau 3 : Majeur

Exemples : Données à caractère personnel d'une personne physique saisies dans ou partagées avec un outil d'IA d'une manière susceptible de constituer une divulgation non autorisée, un accès non autorisé ou toute autre violation du RGPD. Décision générée par IA ayant affecté un individu spécifique (par exemple un refus automatisé) sans revue humaine.

Réponse minimale : Consigner. Confinement immédiat. Évaluation au titre des articles 33 et 34 RGPD dans les 24 heures. Notification à l'APD (autorité belge) dans les 72 heures si le seuil est atteint. Informer sans retard injustifié le client ou le responsable du traitement si des données client ou des données à caractère personnel traitées au nom d'un client sont concernées.

Niveau 4 : Grave

Exemples : Incident grave au titre de l'article 73 EU AI Act : un incident menant directement ou indirectement au décès, à un dommage grave à la santé, à une perturbation grave et irréversible d'infrastructures critiques, à une violation d'obligations au titre du droit de l'Union destinées à protéger les droits fondamentaux, ou à un dommage grave aux biens ou à l'environnement.

Réponse minimale : Consigner. Confinement immédiat. Notification à l'autorité compétente au titre de l'article 73 dans le délai applicable (voir section 5). Enquête complète. Communication aux personnes concernées, aux clients ou au public si exigée par la loi ou nécessaire pour limiter le préjudice.

5. Incidents graves au titre de l'article 73 EU AI Act

L'article 73 EU AI Act définit un incident grave comme un incident ou un dysfonctionnement d'un système d'IA menant directement ou indirectement à :

•Le décès d'une personne, ou un dommage grave à la santé d'une personne.

•Une perturbation grave et irréversible de la gestion ou du fonctionnement d'infrastructures critiques.

•Une violation d'obligations au titre du droit de l'Union destinées à protéger les droits fondamentaux.

•Un dommage grave aux biens ou à l'environnement.

Le délai standard au titre de l'article 73 est dès que possible et au plus tard dans les 15 jours après l'établissement du lien de causalité, ou de sa probabilité raisonnable. Des délais plus courts s'appliquent dans des cas spécifiques, notamment au plus tard 2 jours en cas de violations généralisées, et au plus tard 10 jours en cas de décès. Le fondateur évalue chaque incident selon ces critères et escalade en cas de doute. En cas d'incertitude sur la qualification, un avis juridique est sollicité dès que possible, sans compromettre les délais de notification applicables au titre du RGPD ou de l'EU AI Act.

Sur la base de l'AI Tool Inventory actuel, AIAdopt n'exploite à ce jour aucun système d'IA à haut risque. Par conséquent, l'article 73 ne sera vraisemblablement pas déclenché dans les opérations ordinaires. La présente procédure intègre néanmoins le Niveau 4 afin d'être prête en cas de changement de circonstances.

6. Workflow de réponse

Les étapes suivantes s'appliquent à chaque incident, quel que soit le niveau de gravité. La portée et l'urgence sont ajustées au niveau.

Étape 1 : Détecter et consigner

Dès que le fondateur prend connaissance d'un incident (par observation propre, signalement client, notification d'un tiers, ou alerte de la plateforme), l'incident est consigné dans le registre des incidents AIAdopt avec : date et heure de détection, description, outil(s) d'IA concerné(s), données concernées, estimation initiale du niveau de gravité.

Étape 2 : Contenir

Actions immédiates pour prévenir tout dommage supplémentaire : arrêter l'opération à l'origine de l'incident, révoquer l'accès à l'outil concerné si pertinent, retirer ou corriger le contenu publié, isoler les données concernées, conserver les éléments de preuve (logs, captures d'écran, historique des prompts).

Étape 3 : Classifier

Dans les 24 heures suivant la détection, le fondateur attribue le niveau de gravité définitif et documente le raisonnement. En cas de doute, le niveau le plus élevé est retenu, dans l'attente de plus amples investigations.

Étape 4 : Notifier

Les notifications suivent la matrice de réponse minimale de la section 4. Les personnes concernées sont informées sans retard injustifié si leurs données à caractère personnel sont touchées d'une manière susceptible d'engendrer un risque élevé pour leurs droits et libertés. Les clients sont informés si leurs données ou leur service sont touchés.

Étape 5 : Enquêter et documenter

Pour le Niveau 2 et au-delà, une analyse des causes profondes est documentée dans les 14 jours, comprenant : ce qui s'est passé, pourquoi cela s'est passé, ce qui a été fait, quel était l'impact, ce qui change pour prévenir la récurrence.

Étape 6 : Apprendre et ajuster

Les conclusions sont, le cas échéant, intégrées dans l'AI Usage Policy, l'AI Tool Inventory et la présente procédure. Toute modification est datée et reflétée dans la prochaine version du document concerné.

7. Contacts et escalade

Les contacts suivants sont maintenus pour la réponse aux incidents. Les coordonnées sont vérifiées chaque année lors de la révision T4 et mises à jour immédiatement en cas de changement de contact.

APD (Autorité belge de protection des données)

Pour quoi : Notifications de violation de données à caractère personnel (RGPD Art. 33).

Comment joindre : [email protected] · +32 2 274 48 00 · www.autoriteprotectiondonnees.be

BIPT / autorité belge compétente AI Act

Pour quoi : Notifications d'incidents graves au titre de l'AI Act.

Comment joindre : À confirmer selon le type d'incident et les règles nationales d'application. Jusqu'à confirmation : consulter l'AI Act Service Desk et la page d'information BIPT actuelle.

Fournisseur de l'outil d'IA concerné

Pour quoi : Signalements d'incidents spécifiques à l'outil, demandes de suppression de données.

Comment joindre : Selon les conditions applicables du fournisseur (voir AI Tool Inventory).

Client concerné

Pour quoi : Notification directe si l'incident concerne ses données.

Comment joindre : Via [email protected], sur la base des coordonnées de contact client.

Conseiller juridique (ad hoc)

Pour quoi : Incidents avec conséquences juridiques, réglementaires ou réputationnelles dépassant le traitement de routine.

Comment joindre : Engager un conseil externe en cas de Niveau 3 ou 4.

8. Registre des incidents

AIAdopt tient un registre interne de tous les incidents, quel que soit leur niveau de gravité. Le registre est conservé dans un emplacement à accès restreint, accessible uniquement au fondateur (et à un éventuel successeur). Chaque entrée contient :

•Identifiant d'incident (séquentiel, format INC-2026-001).

•Date et heure de détection, date et heure de l'événement si différentes.

•Niveau de gravité et raisonnement.

•Outil(s) d'IA concerné(s), classes de données concernées.

•Description de ce qui s'est passé.

•Actions entreprises et dates.

•Notifications envoyées et destinataires.

•Conclusion de l'analyse des causes profondes.

•Modifications apportées à la politique, à l'inventaire ou à la procédure.

Le registre est conservé au minimum 5 ans à compter de la date de l'incident, sauf si une durée de conservation plus longue est nécessaire pour des actions en justice, des obligations légales ou des enquêtes en cours. Les données à caractère personnel dans le registre sont limitées à ce qui est nécessaire pour le traitement de l'incident, l'administration de la preuve et la conformité.

9. Formation et préparation

•Le fondateur révise cette procédure au moins annuellement et simule une fois par an une réponse de Niveau 2 sous forme d'exercice théorique.

•Tout futur prestataire ou successeur ayant accès aux outils d'IA utilisés par AIAdopt est informé de cette procédure avant tout usage opérationnel.

•Les changements dans l'application nationale belge de l'EU AI Act (attendus en 2026) déclenchent une révision des sections 5 et 7.

10. Références

•AIAdopt AI Usage Policy v1.0

•AIAdopt AI Tool Inventory v1.0 (document interne)

•Règlement (UE) 2024/1689 (EU AI Act), article 73 et considérants relatifs à la notification d'incidents graves

•Règlement (UE) 2016/679 (RGPD), articles 33 et 34

•Procédure de notification de l'APD (Autorité belge) : www.autoriteprotectiondonnees.be

•EU AI Act Service Desk : ai-act-service-desk.ec.europa.eu

Approuvé par :

Rob Ummels, fondateur, AIAdopt

[email protected] · https://aiadopt.eu

Lieu et date : Maaseik, Belgique · 21 avril 2026