Évaluation de conformité au Règlement européen sur l'IA.
Avant la mise sur le marché ou la mise en service d'un système IA risque élevé, le fournisseur doit conduire une évaluation de conformité documentée, apposer le marquage CE, établir une déclaration UE de conformité et enregistrer le système dans la base de données européenne. Cette page décrit les procédures applicables, le rôle des organismes notifiés et la structure de la documentation technique annexe IV.
Quelles procédures de conformité sont prévues ?
Le Règlement IA prévoit deux voies principales. D'une part, la procédure de contrôle interne fondée sur l'annexe VI : le fournisseur produit lui-même la documentation, applique son système qualité et établit la déclaration. C'est la voie applicable à la plupart des systèmes annexe III hors biométrie. D'autre part, la procédure annexe VII avec intervention d'un organisme notifié : applicable aux systèmes biométriques annexe III paragraphe 1 et à certains systèmes intégrés à des produits soumis à harmonisation. L'organisme notifié évalue le système qualité et examine la documentation technique.
Quelle est la structure de la documentation technique (annexe IV) ?
- Description générale du système IA, finalité, version, fournisseurs en amont.
- Description détaillée du fonctionnement : architecture, méthodes, données d'entraînement, validation, tests.
- Métriques de performance, dont précision, robustesse, cybersécurité.
- Système de gestion des risques (article 9).
- Système qualité du fournisseur (article 17).
- Procédures de surveillance après commercialisation (article 72).
- Liste des normes harmonisées appliquées et toute solution alternative justifiée.
- Déclaration UE de conformité, marquage CE, identifiant unique du système.
Quel est le rôle de l'organisme notifié ?
Pour les procédures annexe VII, un organisme notifié indépendant évalue la conformité. Il examine le système qualité du fournisseur, la documentation technique, et peut conduire des tests sur le système. Sa désignation est faite par les autorités notifiantes nationales et notifiée à la Commission. La liste des organismes notifiés est publiée dans la base NANDO. Au 1er trimestre 2026, le nombre d'organismes notifiés Règlement IA reste limité, ce qui peut constituer un goulet d'étranglement pour les fournisseurs qui doivent passer par cette voie.
Quelles obligations après mise sur le marché ?
Le fournisseur doit maintenir la documentation pendant dix ans, surveiller le système après commercialisation (article 72), signaler à l'autorité de surveillance tout incident grave (article 73) dans des délais courts (15 jours, parfois 2 jours pour les défaillances les plus critiques). Le déployeur a également des obligations : utilisation conforme aux instructions, supervision humaine, surveillance opérationnelle, information des autorités si un risque significatif est identifié (article 26). Le système qualité doit être tenu à jour et auditable.
Comment se prépare un dossier en pratique ?
Trois étapes. Premièrement, dès la phase de découverte, qualifier le rôle, la classe de risque et la procédure applicable. Deuxièmement, organiser la production de la documentation technique en parallèle du développement, pas après. Troisièmement, intégrer le système qualité, la surveillance et la procédure de signalement d'incident dans l'architecture du système, pas dans une couche séparée. Cette approche réduit le coût de mise en conformité d'un facteur trois à cinq par rapport à une remédiation a posteriori. Nos livraisons incluent ces artefacts par défaut.
Questions fréquentes
Quand le marquage CE doit-il être apposé ?
Avant la mise sur le marché ou la mise en service. Pour un système IA logiciel, le marquage est apposé sur la documentation et dans le système lui-même via l'identifiant unique.
Une mise à jour du système oblige-t-elle à refaire la conformité ?
Une modification substantielle au sens de l'article 43 paragraphe 4 réinitialise l'évaluation. Les mises à jour de routine documentées dans le système qualité ne déclenchent pas de réévaluation.
Comment Impetora aide-t-elle ?
Nous livrons la documentation annexe IV complète, le système qualité documenté, le plan de surveillance après commercialisation et les modèles de notification d'incident préremplis. Le dossier est prêt pour évaluation interne ou pour organisme notifié.