EuroComply
Créer un compte
Back to blog
Règlement IA UE 11 min read

Règlement IA UE : Évaluation de la conformité — une liste de contrôle pratique

What you need to know: Règlement IA UE : Évaluation de la conformité — une liste de contrôle pratique

Les systèmes d'IA à haut risque doivent passer une évaluation de la conformité avant leur déploiement. La date limite d'août 2026 approche. Cette liste de contrôle passe en revue toutes les exigences pour que vous sachiez exactement ce qu'il faut préparer.

Source: EuroComply Editorial (2026-04-14)Reviewed:
EuroComply Team
EU regulatory specialistsContent reviewed against official EUR-Lex texts
EuroComply Editorial Team

Si vous êtes fournisseur d'un système d'IA à haut risque, vous ne pouvez pas le déployer avant qu'il ait passé une évaluation de la conformité. Il ne s'agit pas d'un audit post-déploiement — c'est une condition préalable à la mise sur le marché du système. La date limite pour les systèmes d'IA à haut risque figurant à l'Annexe III est le 2 août 2026.

Ce guide explique qui doit réaliser une évaluation de la conformité, ce qu'elle implique et ce qu'il faut préparer.

Qui a besoin d'une évaluation de la conformité

L'obligation incombe aux fournisseurs — les entreprises qui développent des systèmes d'IA à haut risque et les mettent sur le marché de l'UE ou les mettent en service. Les fournisseurs comprennent :

  • Les entreprises qui développent des systèmes d'IA à haut risque pour leur propre déploiement
  • Les entreprises qui vendent ou licencient des systèmes d'IA à haut risque à d'autres organisations
  • Les importateurs et distributeurs qui mettent sur le marché de l'UE un système d'IA à haut risque d'un fournisseur non européen

Les déployeurs — les organisations qui utilisent un système d'IA à haut risque développé par un tiers — ne réalisent généralement pas d'évaluations de la conformité. Leurs obligations sont différentes : enregistrement du système, réalisation d'analyses d'impact sur les droits fondamentaux et mise en œuvre d'une surveillance humaine. Toutefois, si vous achetez un système d'IA à haut risque auprès d'un fournisseur, vous devez vérifier que ce dernier a bien réalisé une évaluation de la conformité avant de le déployer.

Un système est à haut risque s'il est répertorié à l'Annexe III du règlement IA. Les huit secteurs concernés sont : la biométrie, les infrastructures critiques, l'éducation, l'emploi, l'accès aux services essentiels, les services répressifs, la migration et la gestion des frontières, ainsi que l'administration de la justice et les processus démocratiques.

Auto-évaluation ou évaluation par un tiers

La procédure dépend de la catégorie de produit :

Auto-évaluation (contrôle interne de la conformité) — disponible pour la plupart des systèmes d'IA à haut risque relevant de l'Annexe III. Le fournisseur réalise l'évaluation en interne par rapport aux exigences et établit une déclaration UE de conformité.

Évaluation par un organisme notifié tiers — requise pour les systèmes d'IA intégrés dans des produits ou constituant un composant de sécurité de produits déjà soumis à la législation d'harmonisation de l'UE figurant à l'Annexe I — notamment les dispositifs médicaux, les machines, les équipements radioélectriques, l'aviation civile et les véhicules à moteur. Ces produits nécessitent une évaluation par un organisme notifié accrédité.

Si votre système d'IA est une application logicielle autonome (outil de présélection RH, modèle de détection de fraude, moteur de notation de crédit), l'auto-évaluation est probablement la procédure appropriée. S'il est intégré dans un matériel réglementé, vérifiez si un organisme notifié est requis.

Les 8 exigences (Articles 9 à 15)

Une évaluation de la conformité vérifie que le système satisfait à toutes ces exigences :

1. Système de gestion des risques (Article 9) — Un processus de gestion des risques documenté, qui s'applique tout au long du cycle de vie du système : identification des risques connus et prévisibles, estimation et évaluation des risques, et atténuation des risques. Le processus doit être itératif et mis à jour au fur et à mesure de l'évolution du système.

2. Données et gouvernance des données (Article 10) — Les jeux de données d'entraînement, de validation et de test doivent être soumis à des pratiques de gouvernance des données : pertinence, représentativité, absence d'erreurs, exhaustivité. Les biais doivent être identifiés et traités. Les données utilisées pour l'entraînement doivent être documentées.

3. Documentation technique (Article 11 et Annexe IV) — Une documentation complète permettant aux autorités compétentes d'évaluer la conformité. Voir la liste de contrôle détaillée ci-dessous.

4. Tenue de registres et journalisation automatique (Article 12) — Le système doit journaliser automatiquement les événements tout au long de son fonctionnement, dans la mesure du possible sur le plan technique. Les journaux doivent permettre la surveillance post-commercialisation et l'investigation des incidents.

5. Transparence et information à destination des déployeurs (Article 13) — Les fournisseurs doivent fournir aux déployeurs une notice d'utilisation couvrant : l'identité et l'objectif du système ; le niveau de précision et de performance ; les limitations ; les types de données d'entrée ; les biais connus ; la durée de vie prévue et les besoins de maintenance ; ainsi que les mesures de surveillance humaine.

6. Surveillance humaine (Article 14) — Le système doit être conçu pour permettre aux humains de le surveiller, de le comprendre et d'intervenir. Cela comprend : la capacité d'interpréter les résultats ; la possibilité de supplanter ou d'arrêter le système ; la prise en compte du risque de biais d'automatisation ; et des mesures de surveillance humaine appropriées intégrées dans la conception du système.

7. Exactitude, robustesse et cybersécurité (Article 15) — Le système doit être conçu et développé pour atteindre des niveaux d'exactitude appropriés et se comporter de manière cohérente. La résilience face aux erreurs, défaillances et attaques adversariales doit être testée et documentée. Les mesures de cybersécurité doivent être proportionnées au risque.

Liste de contrôle pour la documentation technique (Annexe IV)

L'Annexe IV liste 14 éléments que la documentation technique doit couvrir. Passez chacun en revue avant votre évaluation :

| # | Élément | |---|---------| | 1 | Description générale : finalité prévue, interactions avec le matériel/logiciel, versions | | 2 | Description détaillée des composants : algorithmes, logique, choix de conception clés, limitations | | 3 | Description des mécanismes de surveillance, de fonctionnement et de contrôle du système | | 4 | Description des mesures de surveillance humaine | | 5 | Spécifications techniques : puissance de calcul, indicateurs de performance clés | | 6 | Méthodologie d'entraînement : approches, techniques, outils, données utilisées | | 7 | Procédures de validation et de test : protocoles, méthodologies, résultats | | 8 | Mesures de cybersécurité | | 9 | Description des modifications pertinentes apportées au cours du cycle de vie | | 10 | Liste des normes harmonisées appliquées ; en l'absence d'application, description des solutions retenues | | 11 | Copie de la déclaration UE de conformité | | 12 | Plan de surveillance post-commercialisation | | 13 | Résumé du système de gestion des risques | | 14 | Mesures de surveillance humaine et leur mise en œuvre technique |

Déclaration UE de conformité (Article 47)

Après avoir réalisé l'évaluation de la conformité, le fournisseur doit établir une déclaration UE de conformité. Ce document doit indiquer :

  • Le nom et l'adresse du fournisseur
  • L'identification du système d'IA (nom, type, numéro de version)
  • Que le système d'IA est conforme au présent règlement et à tout autre droit applicable de l'UE
  • La procédure d'évaluation de la conformité appliquée (Annexe VI pour l'auto-évaluation ou Annexe VII pour l'organisme notifié)
  • Le nom, le numéro d'identification et le numéro de certificat de l'organisme notifié (le cas échéant)
  • Le lieu et la date d'établissement, le nom et la signature de la personne habilitée

La déclaration de conformité doit être conservée pendant 10 ans après la mise sur le marché ou la mise en service du système.

Marquage CE

Pour les systèmes d'IA constituant des composants de sécurité de produits relevant de l'Annexe I (dispositifs médicaux, machines, etc.), le marquage CE doit être apposé après une évaluation de la conformité réussie. Le marquage CE signale la conformité avec le droit applicable de l'UE. Pour les applications logicielles d'IA autonomes non intégrées dans des produits de l'Annexe I, le marquage CE n'est pas requis.

Enregistrement (Article 49)

Avant de déployer un système d'IA à haut risque, les fournisseurs doivent l'enregistrer dans la base de données de l'UE pour les systèmes d'IA à haut risque gérée par la Commission européenne. L'enregistrement est requis avant la mise sur le marché ou la mise en service. La base de données est accessible au public.

L'enregistrement nécessite : l'identité du fournisseur, le nom et la version du système, la finalité prévue, les pays de déploiement, le statut (sur le marché / retiré / rappelé), la référence de la déclaration de conformité, la notice d'utilisation, le contact pour la surveillance post-commercialisation.

Calendrier et préparation pratique

La date limite de conformité pour les IA à haut risque est le 2 août 2026. L'évaluation doit être réalisée avant le déploiement, et non à la date limite — celle-ci est le moment auquel les systèmes doivent déjà être conformes.

Liste de contrôle de préparation en 10 points (à commencer 6 mois avant la date limite)

  1. Confirmez que votre système relève de l'Annexe III et identifiez le secteur et le cas d'usage spécifiques.
  2. Déterminez si une auto-évaluation ou un organisme notifié est requis.
  3. Désignez un responsable de la conformité chargé du processus d'évaluation.
  4. Réalisez une analyse des écarts par rapport aux Articles 9 à 15 — documentez l'état actuel pour chaque exigence.
  5. Construisez ou mettez à jour le système de gestion des risques et documentez le processus.
  6. Auditez les données d'entraînement et de validation pour leur représentativité, leurs biais et leur exhaustivité.
  7. Préparez les 14 éléments de la documentation technique de l'Annexe IV.
  8. Mettez en œuvre et testez les mécanismes de surveillance humaine dans la conception du système.
  9. Effectuez des tests d'exactitude, de robustesse et adversariaux ; documentez les résultats.
  10. Établissez la déclaration UE de conformité et enregistrez le système dans la base de données de l'UE.

Dernière mise à jour : avril 2026.

Foire aux questions

Quels systèmes d'IA à haut risque nécessitent une évaluation de la conformité par un tiers ?

L'évaluation par un organisme notifié accrédité est requise lorsqu'un système d'IA à haut risque est intégré dans un produit ou constitue un composant de sécurité d'un produit déjà couvert par la législation d'harmonisation de l'UE figurant à l'Annexe I du règlement IA. Cela inclut les dispositifs médicaux régis par le règlement 2017/745, les machines couvertes par la directive 2006/42/CE, les équipements radioélectriques relevant de la directive 2014/53/UE, et les véhicules à moteur couverts par le règlement 2018/858. Les applications logicielles d'IA autonomes — telles que les outils de présélection RH, les moteurs de notation de crédit ou les modèles de détection de fraude — sont généralement éligibles à la procédure d'auto-évaluation prévue à l'Annexe VI, à condition qu'elles satisfassent à toutes les exigences des Articles 9 à 15.

Que doit contenir un dossier technique selon l'Annexe IV ?

L'Annexe IV du règlement IA de l'UE exige 14 éléments de documentation technique. Ceux-ci comprennent une description générale du système et de sa finalité prévue ; une description détaillée des composants, des algorithmes et des principaux choix de conception ; des descriptions des mécanismes de surveillance et de contrôle ; des mesures de surveillance humaine ; des spécifications techniques incluant les besoins en puissance de calcul ; la méthodologie d'entraînement et les jeux de données utilisés ; les procédures de validation et de test avec leurs résultats ; les mesures de cybersécurité ; une liste des normes harmonisées appliquées ; une copie de la déclaration UE de conformité ; un plan de surveillance post-commercialisation ; et un résumé du système de gestion des risques. Les autorités compétentes peuvent demander cette documentation à tout moment ; elle doit donc être tenue à jour tout au long de la durée de vie du système déployé.

Combien de temps dure une évaluation de la conformité en vertu du règlement IA de l'UE ?

Le calendrier dépend de la procédure choisie. L'auto-évaluation — disponible pour la plupart des systèmes d'IA autonomes relevant de l'Annexe III — prend généralement de trois à six mois lorsqu'on part de zéro, en tenant compte de l'analyse des écarts, de la préparation de la documentation, de la mise en œuvre du système de gestion des risques, des tests et de la rédaction de la déclaration de conformité. Les évaluations par des organismes notifiés peuvent prendre plus de temps, car le flux de dossiers des organismes notifiés se remplit à l'approche de la date limite d'août 2026. Les organisations qui n'auront pas commencé d'ici fin 2025 courent un risque réel de ne pas respecter la date limite. Un engagement précoce auprès d'un organisme notifié, si l'un d'eux est requis, est vivement recommandé.

Sources

  • EUR-Lex, Règlement (UE) 2024/1689 (règlement IA), Articles 43 à 49 et Annexe IV : https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32024R1689
  • Commission européenne, orientations pour la mise en œuvre du règlement IA et registre des organismes notifiés : https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai
  • ENISA, outils et ressources d'évaluation de la cybersécurité des IA : https://www.enisa.europa.eu/topics/artificial-intelligence

Cet article est fourni à titre informatif uniquement et ne constitue pas un avis juridique. Consultez un conseiller juridique qualifié avant de prendre des décisions en matière de conformité.

Key takeaways: Règlement IA UE : Évaluation de la conformité — une liste de contrôle pratique

This article covers: Qui a besoin d'une évaluation de la conformité, Auto-évaluation ou évaluation par un tiers, Les 8 exigences (Articles 9 à 15).

  • Qui a besoin d'une évaluation de la conformité
  • Auto-évaluation ou évaluation par un tiers
  • Les 8 exigences (Articles 9 à 15)
  • Liste de contrôle pour la documentation technique (Annexe IV)
  • Déclaration UE de conformité (Article 47)
Source: EuroComply Editorial (2026-04-14)Reviewed:
EC

EuroComply Editorial Team

EU regulatory compliance specialists covering the AI Act, GDPR, NIS2, and related legislation. Content reviewed against official EU regulation texts and enforcement guidance.

For informational purposes only. Consult qualified legal counsel.

Share:

Get the weekly EU compliance briefing — 2 minutes, every Thursday.

See how your site scores

Run a free EU compliance scan — no signup, 30 seconds.