Passer au contenu principal
Si vous livrez un agent IA à des utilisateurs de l’UE, l’AI Act impose trois obligations au système lui-même : ne pas conduire de pratiques interdites, dire aux gens qu’ils parlent à une IA, et tenir un registre technique de ce que le système a fait. Le pack EU AI Act fait correspondre ces obligations à des contrôles de passerelle réels et les matérialise en un guardrail que vous pouvez exécuter d’abord en mode observe, puis passer en production — avec un rapport vérifiable par un auditeur à la fin. Cette page est l’atterrissage spécifique à l’EU AI Act par-dessus le flux de conformité général. Pour les mécaniques que chaque pack partage — observe-d’abord, plan gating, le rapport signé — commencez par la vue d’ensemble de la conformité.

1. Ce que la conformité à l’EU AI Act couvre sur la passerelle

Le pack eu_ai_act fait correspondre l’EU Artificial Intelligence Act (juridiction EU, effectif 2024-08-01) à trois contrôles du plan de contenu. Chacun est une règle de guardrail réelle et éditable — pas une case à cocher — construite à partir de la même bibliothèque de presets contre laquelle vous pouvez rédiger à la main.
Bloque les tentatives de manipulation et de jailbreak qui conduisent à un comportement interdit. Construit à partir du preset Prompt-Injection Basics plus une règle regex-block de jailbreak, de sorte que l’intention d’injection et de jailbreak est attrapée sur la requête avant que le modèle ne la voie.
Applique une divulgation pour que les utilisateurs sachent qu’ils interagissent avec une IA. Construit à partir du preset Legal Disclaimer Enforce, qui signale les sorties donnant un conseil juridique/financier définitif pour revue par l’équipe.
Journalise les décisions de guardrail pour le registre technique. Construit à partir du preset Compliance Logger (observe-only) — il enregistre les occurrences de PII et les décisions de politique sans bloquer ni modifier le trafic.
Ce sont les obligations que la passerelle peut porter : application sur les entrées et les sorties, une surface de divulgation, et un registre de décisions. Les devoirs organisationnels que la réglementation impose aussi — votre système de gestion des risques Art. 9 et vos mesures de supervision humaine Art. 14 — vivent dans la matrice de contrôles du pack comme des éléments Organizational: true à attester en dehors de la passerelle. Voir responsabilité partagée.

2. Un exemple concret : installer, observer, passer en production

Le travail sur les packs utilise votre session console (UserAuth) — pas une clé de relais sk-orca-…. Parcourir le catalogue et vérifier la readiness sont gratuits pour tout Member de l’espace de travail ; installer est une action d’Admin de l’espace de travail sur un plan payant, appliquée côté serveur de sorte qu’un appel API direct ne puisse pas contourner la barrière.
1

Parcourez et vérifiez la readiness (Member, gratuit)

Ouvrez Compliance → Frameworks et sélectionnez EU AI Act. La readiness montre comment les trois contrôles correspondent à vos politiques actuelles avant que vous ne vous engagiez sur quoi que ce soit.
2

Installez le pack (Admin, payant)

Installer depuis la console émet POST /api/compliance/packs/eu_ai_act/install. Un seul appel matérialise les contrôles en un guardrail réel et éditable tagué avec la provenance du pack — créé en mode observe, de sorte qu’il signale au lieu de bloquer et que vous collectez des preuves « aurait bloqué » sur le trafic réel sans l’affecter.
POST /api/compliance/packs/eu_ai_act/install
3

Surveillez les correspondances

Passez en revue ce que les contrôles de pratiques interdites et de transparence attraperaient dans le flux de correspondances des Guardrails (GET /api/guardrail/match, Member). Ajustez n’importe quelle règle dans la console — c’est un guardrail standard, donc chaque chemin d’édition, de version et de revert fonctionne inchangé.
4

Passez en production et attachez

Faites sortir le guardrail du mode observe lorsque les preuves ont l’air correctes, puis attachez-le aux clés que vos agents tournés vers l’UE utilisent en définissant guardrail_id sur la clé (ou faites-en le défaut de l’espace de travail). Désormais, les blocages Art. 5 s’appliquent sur la requête avant la mesure.
Un résultat guardrail_blocked est une HTTP 400 qui ne coûte aucun quota — un blocage au stade d’entrée est attrapé avant la mesure, et il est marqué skip-retry, de sorte qu’une tentative de pratique interdite bloquée ne consomme jamais de dépense ni ne boucle.

3. Livrez un rapport signé et vérifiable

Lorsque vous appliquez, générez le rapport de conformité : un artefact signé Ed25519 et estampillé SHA-256 que vous pouvez exporter en CSV, JSON ou PDF et remettre à un auditeur. Quiconque peut le vérifier sans compte.

Rapport signé

Ce que contient le rapport et comment il est signé.

Vérifier un rapport

L’endpoint de vérification public et la pubkey — les auditeurs confirment l’authenticité indépendamment.
Les rapports sont estampillés et stockés sous votre région de résidence des données déclarée (us / eu / uk / ap / cn / global). Pour un dépôt EU AI Act, vous définirez généralement la résidence sur eu ; un rapport n’est servi que sous une région déclarée correspondante, et les lectures inter-régions sont retenues.
La résidence des données est la région de l’artefact de rapport de conformité, pas un géo-épinglage de l’endroit où l’inférence s’exécute. Elle contrôle où vivent vos preuves signées et qui peut les lire, pas où le trafic de modèle est routé. Voir résidence des données.

4. L’EU AI Act aux côtés du reste de votre programme

L’EU AI Act atterrit rarement seul. Le même flux d’installation couvre les frameworks adjacents de gouvernance de l’IA et de confidentialité de l’UE, chacun matérialisant ses propres contrôles éditables (les packs de gouvernance de l’IA sont guardrail uniquement ; le pack GDPR ajoute aussi une politique firewall pour son contrôle de transfert transfrontalier) :
PackFramework
iso_42001Système de management de l’IA ISO/IEC 42001
nist_ai_rmfNIST AI Risk Management Framework
gdprRèglement général sur la protection des données de l’UE

ISO 42001

Preuves de système de management de l’IA.

NIST AI RMF

Contrôles Map / Measure / Manage.

GDPR

Obligations de données personnelles de l’UE.
Le contrôle de pratiques interdites Art. 5 est la défense de la passerelle contre les mêmes menaces que vos politiques de sécurité suivent déjà — l’injection de prompt et les jailbreaks. Si vous voulez durcir ceux-ci indépendamment du pack de conformité, les références firewall et guardrail vont plus loin.

5. Où aller ensuite

Installer un pack

Les mécaniques d’installation complètes, partagées à travers chaque framework.

Observer vs appliquer

Comment le mode observe se transforme en application en direct, délibérément.

Référence Guardrails

Les contrôles du plan de contenu à partir desquels le pack EU AI Act est construit.

Injection de prompt

La menace contre laquelle le garde-fou de pratiques interdites Art. 5 défend.
Installez en mode observe, observez ce que les contrôles de pratiques interdites et de transparence attraperaient, passez-les en production sur vos clés tournées vers l’UE, puis livrez un rapport signé. C’est la conformité à l’EU AI Act comme une configuration, pas un projet.