L'exécutant fait tourner le modèle. Le prouveur en répond.
Partout dans le secteur de l'IA réglementée — assurtech, fintech, santétech — un schéma est devenu courant : l'inférence en production tourne sur un cloud infogéré que l'entreprise n'exploite pas. Le service du modèle, les conteneurs, les GPU appartiennent à quelqu'un d'autre. L'obligation de conformité, elle, appartient toujours à l'entreprise dont le nom figure sur la licence.
Pendant des années, l'artefact qui comblait cet écart était un palier de revue humaine. Un analyste approuvait. Un responsable de la conformité paraphait un rapport. L'approbation tenait lieu de vérification, parce que la vérification coûtait cher et que la revue coûtait peu. Cette substitution a fonctionné jusqu'à ce qu'un régulateur pose une question plus dure : qui a réellement exécuté ceci, sur quelle entrée, et pouvez-vous le remontrer.
Pourquoi la substitution se brise
Un réviseur humain atteste. Il ne reproduit pas. Lorsque l'exécutant — la plateforme qui a réellement exécuté l'inférence — est aussi la seule source du dossier que le réviseur vérifie, la revue n'est en réalité que de la confiance dans la comptabilité propre de l'exécutant, déguisée en conformité. Ce n'est pas une critique d'une plateforme en particulier. C'est une description de l'endroit où se situe réellement la frontière de confiance, et les obligations du règlement européen sur l'IA commencent à rendre cette frontière visible.
La tenue de registres de l'article 12 et les journaux générés automatiquement de l'article 19 du règlement européen sur l'IA pointent tous deux dans la même direction : vers une preuve traçable et reconstructible de ce qu'un système a fait, et non vers un récit rédigé après coup à son sujet. Le mémo d'un réviseur ne reconstruit rien. Il dit seulement qu'une personne a regardé.
La séparation exécutant-prouveur
La solution architecturale est de cesser de demander à l'exécutant d'être aussi le prouveur. La partie qui exécute l'inférence et la partie dont la preuve établit ce qui s'est passé ne devraient pas former la même frontière de confiance. Un prouveur génère un reçu cryptographique lié à l'entrée, au modèle et à la sortie précis. Ce reçu est vérifiable de façon indépendante par quiconque le détient — un auditeur interne, un régulateur externe, une contrepartie — sans avoir besoin d'accéder à l'infrastructure du fournisseur et sans avoir à faire confiance au récit que la plateforme fait d'elle-même.
Voilà à quoi ressemble concrètement le déplacement du palier de confiance de la revue humaine. Il ne s'agit pas de retirer le jugement humain du système, mais de retirer l'attestation humaine comme substitut de la vérification. Le reçu est reproductible et inviolable. L'approbation du réviseur n'était ni l'un ni l'autre.
Pourquoi cela résonne différemment en ce moment
Les entreprises qui construisent des produits d'IA réglementée font, dans l'ensemble, exactement ce que font leurs homologues ailleurs : elles bâtissent sur de l'inférence infogérée parce que posséder la pile n'est pas leur métier. Ce choix a déjà accepté un modèle de confiance — le conteneur de quelqu'un d'autre fait tourner votre modèle — et une couche de vérification mathématique est l'étape naturelle suivante pour des équipes qui ont déjà fait la paix avec le fait de ne pas contrôler l'environnement d'exécution. La question n'a jamais été de savoir si l'inférence infogérée est défendable. C'est de savoir si le dossier remis à un régulateur a été produit par la partie même à qui l'on demande de faire confiance.
Séparer l'exécutant du prouveur répond à cette question de façon architecturale, et non par une note de politique interne. Le reçu se moque de savoir qui pose la question, et il n'a besoin de la parole de personne.