AI act : Obligations des fournisseurs et déployeurs, évaluation de la conformité

Le règlement sur l’intelligence artificielle défini des exigences sur les activités des fournisseurs et des déployeurs; ces exigences tiennent compte de la nature de l’IA (à finalité générales, à haut risque).

La démonstration du respect des exigences passe par une procédure d’évaluation de la conformité, pouvant impliquer un organisme notifié.

Ci-dessous, sont repris :

• Les obligations des fournisseurs d’IA à finalités générales
• Les obligations des fournisseurs d’IA à haut risque
• Les obligations des déployeurs d’IA à haut risque
• Les procédures d’évaluation de la conformité : contrôle interne ou évaluation par un tiers
• Les conditions qui imposent une procédure

Obligations des fournisseurs et des déployeurs

« Fournisseur » : une personne physique ou morale, une autorité publique, une agence ou tout autre organisme qui développe ou fait développer un système d’IA en vue de le mettre sur le marché ou de le mettre en service sous son propre nom ou sa propre marque, à titre onéreux ou gratuit.

« Déployeur » : toute personne physique ou morale, autorité publique, agence ou autre organisme utilisant sous sa propre autorité un système d’IA sauf lorsque ce système est utilisé dans le cadre d’une activité personnelle à caractère non professionnel.

Obligations des fournisseurs d’IA à finalités générales

Le fournisseur d’un système d’IA à finalité générale doit adapter ses activités aux exigences du règlement, aussi il :

• établit un système de gestion de la qualité
• gère les risques (identification, réduction/atténuation, informations sur les risques résiduels)
• gère la conception et le développement (performances, (cyber)sécurité, essais)
• gère les données (adéquation des sources, atténuation des biais)
• gère l’impact environnemental (consommation d’énergie, utilisation des ressources déchets, efficacité énergétique)
• rédige une documentation technique, mise à disposition des autorités pendant 10 ans après la mise sur le marché
• enregistre ses systèmes d’IA dans la base de données de l’Union.

Pour ce, le fournisseur tient compte de l’état de l’art dont les normes harmonisées et les spécifications communes.

Obligations des fournisseurs d’IA à haut risque

Le fournisseur d’un système d’IA à haut risque :

• Met en place un système de gestion de la qualité, incluant les processus de :
  • gestion des ressources humaines
  • R&D
  • surveillance après commercialisation (collecte et analyse des données active et systématique)
  • gestion des incidents
  • gestion des mesures correctives
  • gestion des communications / notifications avec les autorités et les autres opérateurs économiques (dont gestion des incidents graves).
• Met en place un système de gestion des risques dont ingénierie de l’aptitude à l’utilisation (gestion des mauvaises utilisations)
• Met en place une gouvernance des données (méthodes de collecte, vérification de l’adéquation, maitrise des biais, pseudonymisation…) ; l’accent est mis sur les données d’entrainement (utilisées pour « tuner » l’IA) et les données de validation.
• Établit et maintient une documentation technique (détaillée), incluant les preuves de conformité, les enregistrements faits en R&D

Le fournisseur d’IA à haut risque enregistre le système dans la base de données UE.

Obligations des déployeurs d’IA à haut risque

Les déployeurs d’IA à haut risques doivent veiller au respect des droits fondamentaux, pour ce faire, ils :

• Garantissent le respect de la règlementation via ses moyens techniques et humains
• Surveillent les IA à haut risque et informe les fournisseurs en fonction
• Font une analyse et une maitrise de l’impact de l’IA sur les droits fondamentaux :
  • Identification de l’utilisation prévue (destination, contexte géographiques, personnes physiques…)
  • Analyse d’impact (analyse des risques) sur les droits, les personnes vulnérables, la protection des données et l’environnement
  • Maitrise des impacts (maitrise des risques)

Évaluation de la conformité des IA à haut risque

Deux procédures d’évaluation de la conformité sont prévues, l’une selon un contrôle interne (le fournisseur s’auto-évalue) ; l’autre est basée sur une évaluation du système qualité (les procédures de l’entreprise) et de la documentation technique (les preuves de conformité du produit).

Procédure d’évaluation de la conformité par contrôle interne

Le fournisseur met en place un système de management de la qualité (dont R&D et surveillance après commercialisation) et construit une documentation technique pour répondre aux exigences essentielles du règlement.

Il s’assure du respect de la règlementation.

Procédure d’évaluation de la conformité par évaluation du SMQ et de la DT par un ON

Un organisme notifié évalue le système de management de la qualité et la documentation technique. Il aura également la charge d’approuver les propositions de modification du produit ou du SMQ.

Un certificat d’évaluation UE de la documentation technique est délivré par l’ON.

Le fournisseur est périodiquement surveillé par son organisme notifié (audits périodiques).

Choix d’une procédure d’évaluation de la conformité

La procédure d’évaluation interne est permise pour les domaines d’utilisation cruciaux visés en annexe III.2 à III.8 (tous sauf les systèmes biométriques et fondés sur la biométrie).

La procédure d’évaluation par un tiers (évaluation de la DT et du SMQ) est applicable dans les cas suivants :

• Pas de normes harmonisées/ de spécification commune relative au système d’IA
• Les spécifications techniques ne sont pas entièrement respectées
• Une restriction dans une spécification technique l’impose
• Le fournisseur estime que c’est nécessaire

Pour les systèmes soumis à un autre acte juridique (annexe II.A, incluant les dispositifs médicaux), c’est cet autre acte juridique qui dicte la procédure de marquage CE.