TL;DR: Guide étape par étape pour l'évaluation de la conformité destiné aux PME de l'UE qui déploient des IA à haut risque relevant de l'annexe III. Couvre la distinction entre déployeur et fournisseur, la documentation et la surveillance.

Pour mener à bien l'évaluation de conformité au Règlement européen sur l'intelligence artificielle, il est essentiel de faire la distinction suivante : êtes-vous l'organisation qui a conçu et mis sur le marché le système d'IA, ou celle qui l'utilise dans le cadre de ses propres activités ? Pourquoi est-ce important ? Une entreprise tchèque de 25 personnes spécialisée dans les technologies RH, qui développe un outil de présélection de CV et le vend à ses clients, supporte l'intégralité de la charge de l'évaluation. Cela implique une documentation technique, un système de gestion de la qualité, une déclaration de conformité et le marquage CE. Une entreprise logistique néerlandaise de 40 personnes qui utilise ce même outil sous licence est considérée comme un déployeur, avec des obligations nettement allégées. Déterminer correctement cette classification détermine si votre projet de mise en conformité prendra deux semaines ou six mois.

Ce guide accompagne les responsables de la conformité, les équipes techniques et les responsables opérationnels des entreprises SaaS en pleine croissance et des éditeurs de logiciels de taille moyenne à travers la procédure de conformité en quatre étapes pour les déployeurs, l'ensemble complet de la documentation requise des fournisseurs, et les distinctions spécifiques qui déterminent quelle voie s'applique à votre organisation.

Quand l'évaluation de la conformité est-elle requise ?

L'évaluation de la conformité n'est requise que pour les systèmes d'IA à haut risque visés à l'annexe III. Tous les outils d'IA utilisés par un cabinet de services professionnels ou une entreprise SaaS en pleine croissance ne sont pas concernés. La Règlement européen sur l'intelligence artificielle définit huit catégories de systèmes à haut risque dans l'annexe III, couvrant des domaines tels que l'identification biométrique, la gestion des infrastructures critiques, l'éducation et la formation, les décisions en matière d'emploi, l'accès aux services essentiels, l'application de la loi, la migration et le contrôle des frontières, ainsi que l'administration de la justice.

Si votre système d'IA n'entre pas dans l'une de ces catégories, l'évaluation de la conformité n'est pas requise. Vous pouvez néanmoins être soumis à des obligations de transparence en vertu de l'article 50 et à des obligations de gouvernance des données au titre du RGPD, mais l'ensemble des exigences de conformité de l'annexe III ne s'applique pas.

Si votre système relève de l'annexe III, la question suivante est de savoir si vous êtes un fournisseur ou un déployeur. Le règlement traite ces rôles différemment.

Fournisseur : une organisation qui développe un système d'IA, ou qui en fait développer un, et le met sur le marché sous son propre nom ou sa propre marque. La mise sur le marché signifie mettre le système à la disposition d'autres parties.

Déployeur : une organisation qui utilise un système d'IA dans le cadre de ses activités professionnelles. Les déployeurs ne mettent pas le système sur le marché. Ils le mettent en service au sein de leur propre organisation.

Le parcours de conformité d'un fournisseur est nettement plus exigeant que celui d'un déployeur.

Les obligations de l'déployeur : l'article 25 en pratique

La plupart des PME qui utilisent des outils d'IA tiers pour la présélection des candidats, l'évaluation de la solvabilité ou d'autres cas d'utilisation visés à l'annexe III sont des déployeurs. Les obligations prévues à l'article 25 sont proportionnées à ce rôle.

En tant que déployeur d'un système d'IA à haut risque, votre équipe chargée de la conformité est responsable de quatre éléments.

Suivre les instructions d'utilisation du fournisseur. Le fournisseur est tenu de fournir une documentation technique et des instructions décrivant l'usage prévu, les conditions dans lesquelles le système peut être déployé en toute sécurité, ainsi que toute exigence en matière de supervision humaine. Un déploiement en dehors de l'usage prévu transfère la responsabilité du fournisseur vers vous.

Mettre en œuvre la supervision humaine prévue à l'article 14. L'article 14 exige des déployeurs qu'ils confient la supervision à des personnes physiques disposant des compétences, de la formation et de l'autorité nécessaires pour comprendre les résultats du système, identifier les anomalies et intervenir ou passer outre si nécessaire. La supervision doit être structurellement possible : le système ne peut pas être conçu de manière à empêcher toute intervention humaine.

Surveillez les modifications substantielles. Si le système est mis à jour d'une manière qui modifie son usage prévu ou son profil de risque, l'évaluation de la conformité devra peut-être être répétée. En tant que déployeur, vous êtes tenu de signaler toute modification importante à votre fournisseur.

Enregistrez-vous dans la base de données de l'UE lorsque cela est requis. Les déployeurs de certains systèmes à haut risque, en particulier dans le contexte des autorités publiques, doivent enregistrer leur utilisation dans la base de données publique de l'UE sur l'IA. Pour la plupart des PME du secteur privé, cette obligation s'applique principalement aux fournisseurs plutôt qu'aux déployeurs.

Les obligations des fournisseurs : l'article 17 et l'ensemble des exigences de conformité

Si votre organisation développe un système d'IA destiné à être mis sur le marché, ou si votre équipe opérationnelle a commandé un système sur mesure qui sera commercialisé, vous êtes considéré comme un fournisseur et l'ensemble des obligations de l'annexe III s'appliquent.

L'exigence fondamentale est un système de gestion de la qualité (SGQ) au titre de l'article 17 qui couvre l'ensemble du cycle de vie du système d'IA. Le SGQ doit documenter votre processus de gestion des risques, vos pratiques de gouvernance des données, votre méthodologie de validation et de test, votre plan de surveillance post-commercialisation, ainsi que vos procédures de gestion des incidents et des non-conformités.

Au-delà du SMQ, les fournisseurs doivent produire un ensemble de documentation technique, réaliser une évaluation de la conformité (l'auto-évaluation est autorisée pour la plupart des catégories de l'annexe III ; une évaluation par un organisme notifié est requise pour l'identification biométrique et un petit nombre d'autres catégories), rédiger une déclaration de conformité UE et apposer le marquage CE sur le système avant de le mettre sur le marché.

Pour une entreprise de logiciels de taille moyenne opérant dans un domaine réglementé de l'IA, il s'agit d'une entreprise de grande envergure. L'évaluation de la conformité à elle seule nécessite généralement la contribution des équipes juridiques, techniques et chargées des données, ainsi qu'un examen externe si vous visez des secteurs réglementés tels que les services financiers ou les soins de santé.

La procédure de conformité en quatre étapes pour les déployeurs

Pour la plupart des PME, la procédure applicable est celle du « parcours du déployeur ». Voici une approche structurée.

Étape 1 : Classer le système. Vérifiez que le système d'IA que vous déployez relève bien de l'annexe III. Examinez la catégorie spécifique à laquelle il pourrait appartenir et vérifiez si l'une des exclusions de l'article 6 s'applique. Un système d'IA utilisé pour une fonction clairement accessoire (génération de rapports internes, synthèse de comptes-rendus de réunion) est peu susceptible d'être considéré comme à haut risque, même s'il touche à un domaine réglementé. Documentez votre raisonnement de classification.

Étape 2 : Obtenez la documentation technique et la déclaration de conformité du fournisseur. Avant de déployer tout système relevant de l'annexe III, demandez au fournisseur son dossier de documentation technique et sa déclaration de conformité UE. La déclaration de conformité est l'attestation officielle du fournisseur selon laquelle le système satisfait aux exigences de la Règlement européen sur l'intelligence artificielle. Si le fournisseur ne peut pas produire ces documents, il ne respecte pas ses propres obligations en tant que fournisseur, et vous ne devez pas déployer son système dans un contexte relevant de l'annexe III.

Étape 3 : Mettez en œuvre les mesures de supervision humaine prévues à l'article 14. Sur la base des instructions d'utilisation du fournisseur, concevez et documentez votre processus de supervision humaine. Précisez qui, au sein de votre équipe opérationnelle, est responsable de la supervision, quelle formation cette personne a reçue, comment elle peut intervenir dans le système ou le contourner, et comment les décisions influencées par l'IA sont examinées et enregistrées.

Étape 4 : Documentez vos procédures opérationnelles. Rédigez un rapport de déploiement couvrant : la classification du système, la documentation du fournisseur obtenue, votre processus de supervision, les décisions de configuration prises, ainsi que votre procédure de surveillance et de signalement des incidents. Ce document n’a pas besoin d’être très détaillé pour la plupart des PME, mais il doit exister et être tenu à jour à mesure que le système évolue.

Documentation technique : l’ensemble minimal

L’ensemble minimal de documentation technique pour un système relevant de l’annexe III couvre six domaines.

Description du système. Ce que fait le système, comment il fonctionne au niveau fonctionnel et quelle est sa finalité. Cela inclut l'approche d'IA utilisée, les entrées et les sorties, ainsi que le contexte de déploiement.

Déclaration de finalité. Une déclaration précise du cas d'utilisation pour lequel le système a été conçu et validé. Un déploiement en dehors de la finalité prévue constitue un risque de non-conformité pour le déployeur et un risque de responsabilité pour le fournisseur.

Processus de gestion des risques. Comment le fournisseur a identifié, évalué et atténué les risques associés au système, y compris les risques d'erreur, de biais et d'utilisation abusive.

Documentation relative à la gouvernance des données. Les ensembles de données utilisés pour entraîner et valider le système, les mesures de qualité des données appliquées, ainsi que toute limitation ou tout biais connu dans les données d'entraînement.

Indicateurs de précision, de robustesse et de cybersécurité. Indicateurs de performance quantitatifs pour le système, y compris la précision sur les ensembles de validation et les mesures de sécurité protégeant le système contre toute manipulation.

Plan de surveillance post-commercialisation. Comment le fournisseur surveillera les performances du système après son déploiement, quels indicateurs il suivra et comment il communiquera les mises à jour ou les problèmes identifiés aux déployeurs.

En tant que déployeur, vous devriez recevoir ces six éléments de la part de votre fournisseur avant la mise en service.

FAQ

L'évaluation de conformité au Règlement européen sur l'intelligence artificielle s'applique-t-elle aux outils d'IA que nous utilisons en interne, et pas seulement aux produits que nous vendons ? Oui, si l'utilisation interne relève d'une catégorie de l'annexe III. Le déploiement en interne d'un système d'IA à haut risque, par exemple l'utilisation d'un outil d'IA pour évaluer les performances des employés, déclenche les obligations du déployeur en vertu de l'article 25, même si vous ne mettez pas de produit sur le marché.

Nous sommes une entreprise SaaS en pleine croissance qui propose une fonctionnalité d'IA dans le cadre d'une plateforme plus large. Sommes-nous un fournisseur ? Presque certainement oui, pour la composante « fonctionnalité d'IA ». Si vous mettez cette fonctionnalité à la disposition de vos clients, vous mettez un système d'IA sur le marché. Si la fonctionnalité remplit une fonction visée à l'annexe III pour vos clients, l'ensemble des obligations du fournisseur s'applique à cette fonctionnalité, qu'elle soit ou non intégrée dans un produit plus large non lié à l'IA.

Pouvons-nous nous appuyer sur le marquage CE de notre fournisseur comme preuve de notre propre conformité ? Le marquage CE atteste que le fournisseur a mené à bien l'évaluation de conformité requise. En tant que déployeur, vous pouvez vous y référer pour prouver que le système que vous déployez a été évalué. Cependant, cela ne couvre pas vos obligations en tant que déployeur. La mise en œuvre de la surveillance humaine prévue à l'article 14 et la documentation relative à votre déploiement opérationnel restent sous votre responsabilité.

Que se passe-t-il si nous modifions un système d'IA à haut risque tiers que nous avons déployé ? Une modification substantielle d'un système d'IA à haut risque peut entraîner la reclassification de l'organisation effectuant la modification en tant que fournisseur de cette version modifiée. La Règlement européen sur l'intelligence artificielle définit la modification substantielle comme incluant les changements qui affectent la finalité prévue du système, ses indicateurs de performance ou son profil de risque. Si votre équipe technique apporte des modifications de cette ampleur à un système sous licence, demandez un avis juridique avant de déployer la version modifiée.

Lectures complémentaires

Si vous vous lancez pour la première fois dans la classification de l'annexe III et la planification de la conformité, l'évaluation de l'état de préparation à l'IA vous fournit une base structurée avant de faire appel à un conseiller juridique ou de commencer la documentation.

Auteur : Dr Hernani Costa — Fondateur de First AI Movers et Core Ventures. Architecte IA, conseiller stratégique et CTO à temps partiel aidant les plus grandes entreprises innovantes mondiales à naviguer dans les innovations en matière d'IA. Titulaire d'un doctorat en linguistique informatique, plus de 25 ans d'expérience dans le domaine technologique.

Publié à l'origine sur First AI Movers sous licence CC BY 4.0.