EuroComply
Sign up
Back to blog
Règlement IA UE 12 min read

Règlement IA UE : Documentation des systèmes d'IA à haut risque

What you need to know: Règlement IA UE : Documentation des systèmes d'IA à haut risque

Les systèmes d'IA à haut risque au titre du Règlement IA UE doivent disposer d'une documentation technique complète d'ici août 2026. Ce guide couvre les neuf exigences obligatoires de l'Annexe IV.

Source: EuroComply Editorial (2024-11-01)Reviewed:
EuroComply Team
EU regulatory specialistsContent reviewed against official EUR-Lex texts
EuroComply Editorial Team

Si votre organisation fournit ou déploie un système d'IA à haut risque au titre du Règlement IA UE, une échéance impérative s'impose : le 2 août 2026. À cette date, tout système d'IA à haut risque relevant de l'Annexe III doit disposer d'une documentation technique complète, d'une évaluation de conformité archivée et être enregistré dans la base de données de l'UE gérée par la Commission européenne.

Pour de nombreuses organisations, l'obligation de documentation constitue la partie la plus chronophage du processus de conformité — non pas parce que les exigences seraient ambiguës, mais parce que la constitution de cette documentation requiert des contributions des équipes techniques, juridiques, de gestion des risques et de données. Or, de nombreuses organisations ne disposent pas en interne des éléments probants requis par l'Annexe IV.

Ce guide explique quels systèmes sont à haut risque, ce que chacune des neuf sections de documentation technique de l'Annexe IV doit contenir, et comment structurer votre dossier technique.

Quels systèmes sont à haut risque

L'Annexe III du Règlement IA UE recense huit secteurs dans lesquels les systèmes d'IA sont à haut risque lorsqu'ils prennent des décisions ou influencent de manière significative des décisions concernant des personnes physiques :

  1. Identification biométrique et catégorisation des personnes physiques
  2. Gestion et exploitation des infrastructures critiques (énergie, eau, transport)
  3. Éducation et formation professionnelle (décisions d'admission, évaluation, suivi)
  4. Emploi et gestion des travailleurs (recrutement, sélection, promotion, licenciement, suivi des performances)
  5. Accès aux services privés et publics essentiels (notation de crédit, souscription d'assurance, prestations sociales)
  6. Répression pénale (évaluations des risques, détection du mensonge, évaluation des preuves, prédiction des infractions)
  7. Migration, asile et gestion des frontières
  8. Administration de la justice et processus démocratiques

Pour la plupart des organisations commerciales, les catégories les plus pertinentes sont l'emploi (outils de tri de CV, logiciels de suivi des performances) et les services essentiels (modèles de risque de crédit, moteurs de tarification d'assurance). Si votre système d'IA influence de manière substantielle des décisions dans ces domaines, il est à haut risque.

L'Article 6 du Règlement IA UE ajoute une règle horizontale : les systèmes d'IA qui sont des composants de sécurité de produits réglementés par la législation d'harmonisation de l'UE visée à l'Annexe I (dispositifs médicaux, machines, équipements radio, véhicules) sont également à haut risque.

La documentation technique de l'Annexe IV : 9 sections obligatoires

L'Annexe IV structure la documentation technique en neuf sections obligatoires. Les autorités compétentes peuvent demander cette documentation à tout moment ; elle doit donc être à jour et accessible pendant toute la durée de déploiement du système.

Section 1 : Description générale du système d'IA

Cette section couvre l'identité et la finalité du système. À documenter : le nom, la version et le type de système d'IA ; sa finalité et les tâches spécifiques qu'il accomplit ; les catégories d'opérateurs auxquelles il est destiné ; la façon dont le système interagit avec le matériel ou les logiciels ; ainsi que la version du logiciel ou du microprogramme sur lequel repose le système. Il s'agit du point d'entrée de tout régulateur examinant le dossier — la présentation doit être claire et complète, sans jargon technique obscurcissant la fonction réelle.

Section 2 : Description détaillée des composants et du développement

C'est la section la plus exigeante sur le plan technique. À documenter : les méthodes et les étapes utilisées pour développer le système ; les spécifications de conception, notamment la logique générale et les choix de conception essentiels ; les principaux paramètres de conception et leur justification ; l'architecture du système, y compris les ressources de calcul utilisées ; ainsi que les choix significatifs opérés durant le développement, incluant les arbitrages et leur justification. Pour les systèmes d'IA utilisant l'apprentissage automatique, cela comprend une description de l'approche d'entraînement, de l'architecture du modèle et de la validation du modèle.

Section 3 : Description de la surveillance, du fonctionnement et du contrôle du système

À documenter : le fonctionnement du système dans son environnement de déploiement. Cela comprend : les entrées et sorties du système ; l'interprétation des sorties ; les performances dans des conditions spécifiques ; les conditions dans lesquelles le système peut produire des sorties incorrectes ; ainsi que les limitations techniques et les modes de défaillance connus.

Section 4 : Description de la pertinence des métriques de performance

L'Article 15 exige que les systèmes d'IA à haut risque atteignent des niveaux appropriés d'exactitude, de robustesse et de cybersécurité. À documenter : les métriques de performance sélectionnées pour le système et leur adéquation avec la finalité prévue. Les niveaux de seuil choisis sont à justifier et leur mode de détermination à expliquer. Les performances selon différents groupes démographiques sont à inclure lorsqu'elles sont pertinentes pour la détection des biais.

Section 5 : Description des mesures de surveillance humaine

L'Article 14 exige que les systèmes d'IA à haut risque soient conçus pour permettre une surveillance humaine effective. À documenter : les mesures intégrées à la conception et au déploiement du système, notamment la capacité à interpréter les sorties, le mécanisme de dérogation ou d'arrêt du système, la manière dont les utilisateurs sont informés du risque de biais d'automatisation, et la formation dispensée aux opérateurs humains. Il convient de décrire l'interface de surveillance et la procédure d'escalade lorsque le système produit une sortie nécessitant un examen humain.

Section 6 : Description du système de gestion des risques

L'Article 9 exige un processus documenté de gestion des risques tout au long du cycle de vie du système. Le dossier technique doit résumer ce système : la méthodologie d'identification et d'estimation des risques, les critères d'évaluation des risques, les mesures d'atténuation mises en œuvre et les risques résiduels acceptés. Le système de gestion des risques n'est pas un document ponctuel — il doit être mis à jour au fur et à mesure de l'évolution du système et de l'identification de nouveaux risques après le déploiement.

Section 7 : Description des données et de leur gouvernance

L'Article 10 exige que les jeux de données d'entraînement, de validation et de test satisfassent à des critères de qualité. À documenter : les caractéristiques des jeux de données, notamment la provenance, la taille et le format ; les pratiques de gouvernance des données appliquées, y compris les modalités d'assurance de la qualité des données ; les étapes prises pour identifier et corriger les biais dans les données ; ainsi que les critères de sélection des jeux de données d'entraînement, de validation et de test. Pour les systèmes utilisant des modèles pré-entraînés, la provenance du modèle pré-entraîné et ce qui est connu des données sur lesquelles il a été entraîné sont à documenter.

Section 8 : Instructions d'utilisation

L'Article 13 impose aux fournisseurs de remettre aux déployeurs un document d'instructions d'utilisation. Le dossier technique doit contenir une copie de ce document ou y renvoyer. Les instructions doivent couvrir : l'identité et la version du système ; sa finalité et les tâches spécifiques pour lesquelles il est conçu ; ses capacités et ses limites ; le niveau d'exactitude et de performance, incluant la performance attendue selon différents groupes ; les biais connus ; la durée de vie prévue ; la maintenance requise ; et les mesures de surveillance humaine attendues du déployeur.

Section 9 : Déclaration de conformité UE

La section finale du dossier technique est la déclaration de conformité UE établie conformément à l'Article 47. Ce document déclare que le système satisfait aux exigences du Règlement IA et de tout autre texte législatif de l'UE applicable, identifie la procédure d'évaluation de la conformité appliquée, et est signé par un représentant autorisé du fournisseur. Lorsqu'un organisme notifié est intervenu, le certificat correspondant et le numéro d'identification de l'organisme notifié sont inclus.

Organisation du dossier technique

L'Annexe IV ne prescrit pas de format de fichier spécifique, mais la documentation doit être tenue sous une forme permettant aux autorités compétentes d'évaluer la conformité avec le Règlement. La bonne pratique consiste à maintenir le dossier technique dans un référentiel documentaire versionné, avec une numérotation de sections claire correspondant à l'Annexe IV. Chaque section devrait renvoyer aux éléments probants sous-jacents — rapports d'entraînement, résultats de tests, registres des risques, diagrammes d'architecture — de sorte que le dossier serve à la fois d'index aux pièces justificatives et de document autonome.

Enregistrement dans la base de données IA de l'UE (Article 71)

Avant de mettre sur le marché ou de mettre en service un système d'IA à haut risque dans l'UE, les fournisseurs doivent enregistrer le système dans la base de données IA de l'UE gérée par la Commission européenne. L'enregistrement requiert : le nom et les coordonnées du fournisseur ; le nom, la version et la finalité du système ; la catégorie de l'Annexe III sous laquelle le système est classé ; les pays de déploiement prévus ; la référence de la déclaration de conformité ; et les coordonnées pour la surveillance post-commercialisation. La base de données est accessible au public pour les catégories spécifiées à l'Annexe VIII.

Procédure d'évaluation de la conformité

Pour la plupart des systèmes d'IA logiciels autonomes relevant de l'Annexe III, la voie d'évaluation de la conformité est l'auto-évaluation au titre de l'Annexe VI. Pour les systèmes d'IA intégrés à des produits relevant de l'Annexe I (dispositifs médicaux, machines), une évaluation par un organisme notifié tiers au titre de l'Annexe VII est requise.

L'auto-évaluation consiste, pour le fournisseur, à examiner le système au regard de toutes les exigences, à réaliser la procédure de contrôle interne, à établir la déclaration de conformité et à s'enregistrer dans la base de données. L'évaluation doit être documentée — les autorités de contrôle peuvent demander la preuve que l'évaluation a été conduite rigoureusement, et non simplement qu'une déclaration existe.

Les évaluations par des organismes notifiés sont conduites par des organismes accrédités par les autorités nationales et désignés par la Commission européenne. Le calendrier des organismes notifiés se remplit à l'approche de l'échéance d'août 2026 — les organisations nécessitant une évaluation par un tiers devraient identifier un organisme notifié et engager le dialogue au plus tard début 2026.

L'échéance d'août 2026 en pratique

Le 2 août 2026 est la date à laquelle les systèmes d'IA à haut risque relevant de l'Annexe III doivent être pleinement conformes — et non la date à laquelle la préparation à la conformité doit commencer. Un calendrier réaliste pour constituer un dossier technique complet de zéro est de quatre à huit mois, en supposant que l'architecture du système est bien documentée et que les données de test sont disponibles.

Les organisations qui n'ont pas commencé à préparer leur documentation doivent considérer cela comme urgent. La documentation du système de gestion des risques, les tests de performance et la documentation de gouvernance des données nécessitent en particulier du temps pour être correctement élaborés — ils ne peuvent pas être produits lors d'un sprint de documentation dans les semaines précédant l'échéance.


Dernière mise à jour : mai 2026.

Cet article est fourni à titre informatif uniquement et ne constitue pas un avis juridique. Consultez un conseiller juridique qualifié avant de prendre des décisions en matière de conformité.

Questions fréquentes

Pouvons-nous utiliser notre documentation produit existante comme base pour le dossier technique de l'Annexe IV ?

Dans la plupart des cas, la documentation technique existante couvre certaines exigences de l'Annexe IV, mais pas toutes. La documentation technique couvre généralement l'architecture du système, les spécifications du modèle et les métriques de performance. Ce qui manque habituellement, c'est la documentation du système de gestion des risques, la section sur les mesures de surveillance humaine, le volet de gouvernance des données et le document d'instructions d'utilisation sous la forme spécifique requise par l'Article 13. Une analyse des écarts par rapport aux neuf sections de l'Annexe IV — comparant ce qui existe à ce qui est requis — constitue le point de départ le plus efficace, plutôt que de présumer que la documentation existante est insuffisante ou suffisante.

Quelle est la différence entre l'exigence de documentation technique et l'évaluation de la conformité ?

La documentation technique (Annexe IV) est le corpus de preuves démontrant que le système satisfait aux exigences des Articles 9 à 15. L'évaluation de la conformité est le processus d'examen de cette documentation et du système au regard des exigences du Règlement, concluant à la conformité et aboutissant à l'établissement de la déclaration de conformité UE. La documentation doit exister avant que l'évaluation de la conformité puisse être finalisée — elle constitue l'intrant de l'évaluation, non son résultat. Après l'évaluation, la déclaration de conformité devient la section 9 du dossier technique, et le dossier complet est conservé pendant dix ans conformément à l'Article 18.

Combien de temps la documentation technique doit-elle être conservée au titre du Règlement IA UE ?

L'Article 18 exige que la documentation technique soit conservée pendant une période de dix ans après la mise sur le marché ou la mise en service du système d'IA à haut risque. Ce délai de conservation de dix ans court à compter de la date d'entrée en service du système, et non de la date d'achèvement de la documentation. Si un système est mis à jour ou qu'une nouvelle version est déployée, la documentation de chaque version doit être conservée pendant dix ans à compter de la date de déploiement de cette version. Les autorités compétentes peuvent demander la documentation à tout moment pendant ce délai de conservation, et le défaut de production sur demande constitue en lui-même un manquement à la conformité.

Sources

  • EUR-Lex, Règlement (UE) 2024/1689 (Règlement IA UE), Annexe IV et Articles 9–18, 47, 71 : https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32024R1689
  • Commission européenne, mise en œuvre du Règlement IA UE et orientations relatives à l'IA à haut risque : https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai
  • ENISA, méthodologie d'évaluation des risques liés à l'IA pour les systèmes d'IA à haut risque : https://www.enisa.europa.eu/topics/artificial-intelligence
  • Bureau européen de l'IA, orientations sur les procédures d'évaluation de la conformité : https://digital-strategy.ec.europa.eu/en/policies/european-ai-office

Key takeaways: Règlement IA UE : Documentation des systèmes d'IA à haut risque

This article covers: Quels systèmes sont à haut risque, La documentation technique de l'Annexe IV : 9 sections obligatoires, Organisation du dossier technique.

  • Quels systèmes sont à haut risque
  • La documentation technique de l'Annexe IV : 9 sections obligatoires
  • Organisation du dossier technique
  • Enregistrement dans la base de données IA de l'UE (Article 71)
  • Procédure d'évaluation de la conformité
Source: EuroComply Editorial (2024-11-01)Reviewed:
EC

EuroComply Editorial Team

EU regulatory compliance specialists covering the AI Act, GDPR, NIS2, and related legislation. Content reviewed against official EU regulation texts and enforcement guidance.

For informational purposes only. Consult qualified legal counsel.

Share:

Get the weekly EU compliance briefing — 2 minutes, every Thursday.

See how your site scores

Run a free EU compliance scan — no signup, 30 seconds.