Aperçu
L'évaluation de la conformité est l'instrument central d'accès au marché de la Loi sur l'IA de l'UE pour les systèmes d'IA à haut risque. Sans évaluation réussie, un tel système ne peut être ni mis sur le marché, ni mis en service dans l'Union européenne.
Elle s'apparente aux procédures bien connues du droit de la sécurité des produits (p. ex. le marquage CE pour les dispositifs médicaux), mais est spécifiquement adaptée aux systèmes d'IA.
Cet article explique :
- Quand une évaluation de la conformité est requise
- Quelles procédures sont disponibles
- Quand un organisme notifié doit être impliqué
- Comment fonctionne le marquage CE
- Quelles erreurs typiques doivent être évitées
Quand une évaluation de la conformité est-elle requise ?
Une évaluation de la conformité est requise pour :
- Tous les systèmes d'IA à haut risque selon l'annexe III
- Les systèmes d'IA qui sont des composants de sécurité d'un produit réglementé
Elle n'est pas requise pour :
- L'IA à faible risque
- Les systèmes soumis à des obligations de transparence (p. ex. chatbots sans lien avec le haut risque)
- Les modèles GPAI en tant que tels (sauf s'ils deviennent partie d'un système à haut risque)
Règle fondamentale
Seuls les systèmes d'IA à haut risque sont soumis à la procédure obligatoire de conformité CE.
Les deux voies de l'évaluation de la conformité
La Loi sur l'IA prévoit deux procédures possibles :
| Procédure | Quand applicable | Intervention d'un tiers |
|---|---|---|
| Auto-évaluation interne | Lorsque les normes harmonisées sont pleinement appliquées | Non |
| Évaluation par un tiers | Lorsque les normes ne sont pas pleinement appliquées ou que des risques particuliers existent | Oui (Organisme notifié) |
Auto-évaluation interne
Cette procédure est possible lorsque :
- L'entreprise respecte pleinement les normes harmonisées
- Aucun écart significatif n'existe
- Le système ne constitue pas un composant de sécurité d'un produit réglementé
Prérequis :
- Documentation technique complète
- Système de gestion des risques
- Système de gestion de la qualité
- Dossiers d'audit internes
L'entreprise déclare la conformité sous sa propre responsabilité.
Responsabilité élevée
L'auto-évaluation interne ne signifie pas moins de responsabilité. Les autorités de surveillance du marché peuvent examiner la documentation à tout moment.
Évaluation de la conformité par un organisme notifié
Un organisme notifié est requis lorsque :
- Les normes harmonisées ne sont pas pleinement appliquées
- Des composants de sécurité sont concernés
- Des risques techniques particuliers existent
L'organisme notifié examine :
- La documentation
- La gestion des risques
- Les tests
- La structure de gouvernance
- L'assurance qualité
Le marquage CE ne peut avoir lieu qu'après une évaluation positive.
Processus d'évaluation de la conformité
Étape 1 -- Préparation
- Finaliser la classification des risques
- Définir clairement la finalité prévue
- Structurer la documentation
Étape 2 -- Documentation technique
La documentation doit contenir, entre autres :
- Description du système
- Architecture et description du modèle
- Analyse des données d'entraînement et de test
- Documentation de la gestion des risques
- Concept de supervision humaine
- Mécanismes de journalisation
- Métriques d'exactitude
Étape 3 -- Examen interne ou soumission à un organisme notifié
- Audit interne ou
- Examen par un organisme notifié
Étape 4 -- Déclaration de conformité UE
Après une évaluation réussie, le fournisseur établit :
- Une déclaration de conformité UE
- Un marquage CE formel
Étape 5 -- Enregistrement
Les systèmes d'IA à haut risque doivent :
- Être enregistrés dans une base de données à l'échelle de l'UE
Marquage CE
Le marquage CE signifie :
- Conformité à toutes les exigences pertinentes de la Loi sur l'IA
- Autorisation de mise sur le marché au sein de l'UE
Ce n'est pas une distinction de qualité mais une confirmation réglementaire.
Marquage CE non autorisé
Un marquage CE non autorisé peut entraîner des amendes substantielles.
Normes harmonisées
L'application de normes harmonisées (p. ex. ISO/IEC 42001) peut :
- Faciliter les preuves de conformité
- Soutenir l'évaluation interne
- Accroître la sécurité juridique réglementaire
Les normes ne remplacent pas les obligations légales mais servent d'instrument structurant.
Erreurs courantes en pratique
| Erreur | Risque |
|---|---|
| Finalité prévue floue | Classification des risques incorrecte |
| Documentation incomplète des données d'entraînement | Rejet par l'organisme notifié |
| Absence de processus de supervision humaine | Interdiction de mise sur le marché |
| Pas de stratégie post-commercialisation | Violation de l'obligation de signalement |
| Confusion des rôles fournisseur et déployeur | Risques de responsabilité |
Surveillance post-commercialisation
L'obligation ne s'arrête pas après le lancement sur le marché.
Les fournisseurs doivent :
- Établir une surveillance des performances
- Documenter les incidents
- Mettre en œuvre des mesures correctives
- Informer les autorités le cas échéant
L'évaluation de la conformité n'est donc pas un acte ponctuel mais fait partie d'un processus de conformité continu.
Lien avec le RGPD
Lorsque des données à caractère personnel sont impliquées, il faut en outre prendre en compte :
- L'analyse d'impact relative à la protection des données
- Les obligations de transparence
- Les droits des personnes concernées
- Les transferts vers des pays tiers
Une conformité isolée à la Loi sur l'IA n'est pas suffisante.
Préparation stratégique
Commencer tôt
Les processus de conformité nécessitent souvent :
- 6 à 18 mois de préparation
- Des équipes interdisciplinaires (juridique, technique, conformité)
- Une planification budgétaire
Construire une structure de gouvernance
- Nommer des responsables de la conformité IA
- Établir des standards de documentation
- Implémenter la gestion des changements
Besoin d'aide pour la mise en œuvre ?
Collaborez avec Creativate AI Studio pour concevoir, valider et implémenter des systèmes d'IA — techniquement solides, conformes et prêts pour la production.
Besoin de clarté juridique ?
Pour des questions juridiques spécifiques sur la Loi sur l'IA et le RGPD, un conseil juridique spécialisé en réglementation de l'IA, protection des données et structures de conformité est disponible.
Conseil juridique indépendant. Aucune information juridique automatisée. La plateforme ai-playbook.eu ne fournit pas de conseil juridique.
Prochaines étapes
- Classifiez votre système d'IA par niveau de risque.
- Vérifiez si un organisme notifié est nécessaire.
- Structurez votre documentation technique.
- Implémentez un système formel de gestion de la qualité.
- Planifiez le marquage CE et l'enregistrement suffisamment tôt.
Besoin d'aide pour la mise en œuvre ?
Collaborez avec Creativate AI Studio pour concevoir, valider et implémenter des systèmes d'IA — techniquement solides, conformes et prêts pour la production.
Besoin de clarté juridique ?
Pour des questions juridiques spécifiques sur la Loi sur l'IA et le RGPD, un conseil juridique spécialisé en réglementation de l'IA, protection des données et structures de conformité est disponible.
Conseil juridique indépendant. Aucune information juridique automatisée. La plateforme ai-playbook.eu ne fournit pas de conseil juridique.