AI act : Obligations des fournisseurs et déployeurs, évaluation de la conformité

Par Guillaume Promé
le
1 Oct. 2024 IA act, Logiciel

[article initialement publié le 18/10/2023]

Le règlement sur l’intelligence artificielle défini des exigences sur les activités des fournisseurs et des déployeurs; ces exigences tiennent compte de la nature de l’IA (à finalité générale, à haut risque).

La démonstration du respect des exigences passe par une procédure d’évaluation de la conformité, pouvant impliquer un organisme notifié.

Ci-dessous, sont repris :

  • Les obligations des fournisseurs d’IA à finalités générales
  • Les obligations des fournisseurs d’IA à haut risque
  • Les obligations des déployeurs d’IA à haut risque
  • Les procédures d’évaluation de la conformité : contrôle interne ou évaluation par un tiers
  • Les conditions qui dictent le choix d’une procédure d’évaluation de la conformité

Le dossier se base sur le règlement (UE) 2024/1689.


Obligations des fournisseurs et des déployeurs

SMQ d'un fournisseur d'IA

« Fournisseur » : une personne physique ou morale, une autorité publique, une agence ou tout autre organisme qui développe ou fait développer un système d’IA ou un modèle d’IA à usage général et le met sur le marché ou met le système d’IA en service sous son propre nom ou sa propre marque, à titre onéreux ou gratuit.

« Déployeur » : une personne physique ou morale, une autorité publique, une agence ou un autre organisme utilisant sous sa propre autorité un système d’IA sauf lorsque ce système est utilisé dans le cadre d’une activité personnelle à caractère non professionnel.

Obligations des fournisseurs d’IA à finalités générales (article 53)

Le fournisseur d’un système d’IA à finalité générale doit adapter ses activités aux exigences du règlement, aussi il :

  • élabore et tient à jours la documentation technique définie en annexe XI section 1
  • élabore, tient à jour et met à disposition de la documentation à l’intention des fournisseurs de systèmes d’IA qui envisagent d’intégrer le modèle d’IA à usage général dans leurs systèmes d’IA.
  • met en place une politique visant à se conformer au droit de l’Union en matière de droit d’auteur et droits voisins
  • élabore et met à la disposition du public un résumé du contenu utilisé pour entraîner le modèle d’IA à usage général, selon le modèle fourni par le Bureau de l’IA.

Pour ce, le fournisseur tient compte de l’état de l’art dont les normes harmonisées, guides et spécifications communes.

Obligations des fournisseurs d’IA à haut risque (articles 16 à 21)

Le fournisseur d’un système d’IA à haut risque :

  • Met en place un système de gestion de la qualité, incluant les processus de :
    • gestion des aspects règlementaires
    • gestion des ressources, dont humaines
    • gestion des documents
    • R&D : conception, développement, essais de vérification et de validation
    • surveillance après commercialisation (collecte et analyse des données active et systématique)
    • gestion des incidents
    • gestion des mesures correctives
    • gestion des communications / notifications avec les autorités et les autres opérateurs économiques (dont gestion des incidents graves).
  • Met en place un système de gestion des risques dont ingénierie de l’aptitude à l’utilisation (gestion des mauvaises utilisations)
  • Met en place une gouvernance des données (méthodes de collecte, vérification de l’adéquation, maitrise des biais, pseudonymisation…) ; l’accent est mis sur les données d’entrainement (utilisées pour « tuner » l’IA) et les données de validation.
  • Établit et maintient une documentation technique (détaillée), incluant les preuves de conformité, les enregistrements faits en R&D

Le fournisseur d’IA à haut risque enregistre le système dans la base de données UE.

Obligations des déployeurs d’IA à haut risque (article 26)

Les déployeurs d’IA à haut risques doivent veiller au respect des droits fondamentaux, pour ce faire, ils :

  • Utilisent les systèmes d’IA conformément aux instructions associées
  • Garantissent le respect de la règlementation via ses moyens techniques et humains
  • Surveillent les IA à haut risque et informe les fournisseurs en fonction
  • Font une analyse et une maitrise de l’impact de l’IA sur les droits fondamentaux :
    • Identification de l’utilisation prévue (destination, contexte géographiques, personnes physiques…)
    • Analyse d’impact (analyse des risques) sur les droits, les personnes vulnérables, la protection des données et l’environnement
    • Maitrise des impacts (maitrise des risques)

Évaluation de la conformité des IA à haut risque

Deux procédures d’évaluation de la conformité sont prévues, l’une selon un contrôle interne (le fournisseur s’auto-évalue) ; l’autre est basée sur une évaluation du système qualité (les procédures de l’entreprise) et de la documentation technique (les preuves de conformité du produit).

Procédure d’évaluation de la conformité par contrôle interne (annexe VI)

Le fournisseur met en place un système de management de la qualité (dont R&D et surveillance après commercialisation) et construit une documentation technique pour répondre aux exigences essentielles du règlement.

Il s’assure du respect de la règlementation.

Procédure d’évaluation de la conformité par évaluation du SMQ et de la DT par un Organisme Notifié (annexe VII)

Un organisme notifié évalue le système de management de la qualité et la documentation technique. Il aura également la charge d’approuver les propositions de modification du produit ou du SMQ.

Un certificat d’évaluation UE de la documentation technique est délivré par l’ON.

Le fournisseur est périodiquement surveillé par son organisme notifié (audits périodiques).

Choix d’une procédure d’évaluation de la conformité (article 43)

La procédure d’évaluation interne est permise pour les domaines d’utilisation cruciaux visés en annexe III.2 à III.8 (tous sauf les systèmes biométriques et fondés sur la biométrie).

La procédure d’évaluation par un tiers (évaluation de la DT et du SMQ) est applicable dans les cas suivants :

  • Pas de normes harmonisées/ de spécification commune relative au système d’IA
  • Les spécifications techniques ne sont pas entièrement respectées
  • Une restriction dans une spécification technique l’impose
  • Le fournisseur estime que c’est nécessaire

Pour les systèmes soumis à un autre acte juridique (annexe I, incluant les dispositifs médicaux), c’est cet autre acte juridique qui dicte la procédure de marquage CE.