← Retour au blog

Comment réaliser une évaluation de la conformité au titre de l'AI Act : étape par étape

Guide pratique pour les fournisseurs de systèmes d'IA à haut risque : deux voies d'évaluation, processus pas à pas, documents requis et échéance d'août 2026 (reportée au 2 décembre 2027 dans le cadre de l'accord Omnibus).

18 mai 2026DILAIG

L'échéance d'août 2026 (reportée au 2 décembre 2027 dans le cadre de l'accord Omnibus) approche. Si vous mettez sur le marché de l'UE un système d'IA à haut risque, vous devez achever une évaluation de la conformité avant que votre produit puisse légalement porter le marquage CE. Pour de nombreux fournisseurs, il s'agit de l'obligation la plus complexe de tout l'AI Act.

Ce guide découpe le processus en étapes concrètes. Vous apprendrez ce qu'est une évaluation de la conformité, quelle voie s'applique à votre système, comment travailler chaque exigence et comment clore le processus avec une documentation et un enregistrement conformes.

Qu'est-ce qu'une évaluation de la conformité au titre de l'AI Act ?

L'évaluation de la conformité est la procédure formelle par laquelle un fournisseur démontre qu'un système d'IA à haut risque satisfait à l'ensemble des exigences obligatoires énoncées aux articles 9 à 15 du règlement (UE) 2024/1689. Elle couvre la gestion des risques, la gouvernance des données, la documentation technique, la transparence, la supervision humaine, la précision, la robustesse et la cybersécurité.

Considérez-la comme un audit structuré de votre système d'IA selon une liste de contrôle définie, avec des conséquences juridiques si vous l'omettez.

Seuls les fournisseurs de systèmes d'IA à haut risque sont tenus de la réaliser. Les déployeurs, importateurs et distributeurs ont des obligations distinctes mais allégées.

Qui doit réaliser une évaluation de la conformité ?

Tout fournisseur qui met sur le marché de l'UE ou met en service dans l'UE un système d'IA à haut risque doit achever une évaluation de la conformité avant la mise sur le marché. Cela concerne :

  • Les entreprises établies dans l'UE proposant de l'IA à haut risque à des utilisateurs européens
  • Les entreprises établies hors de l'UE dont les systèmes sont utilisés dans l'UE
  • Les fournisseurs de systèmes d'IA intégrés dans des produits couverts par la législation harmonisée de l'UE (voir l'annexe I de l'AI Act)

Si vous êtes un déployeur, c'est-à-dire si vous utilisez un système d'IA tiers plutôt que de le développer, la responsabilité de l'évaluation de la conformité incombe au fournisseur, même si vous avez des obligations de diligence et d'enregistrement.

Deux voies : autoévaluation ou organisme notifié ?

C'est la première décision déterminante. L'AI Act établit deux voies distinctes à l'article 43, et le chemin emprunté dépend entièrement de ce que fait votre système.

Voie 1 : évaluation par un organisme notifié (article 43, paragraphe 1)

Vous devez faire appel à un organisme notifié accrédité si votre système entre dans l'une des catégories suivantes :

  • Annexe III, section 1 : systèmes d'IA utilisés pour l'identification et la catégorisation biométriques de personnes physiques (systèmes d'identification biométrique à distance, reconnaissance des émotions dans certains contextes)
  • Systèmes relevant de l'annexe I : IA utilisée comme composant de sécurité dans des produits régis par la législation harmonisée de l'UE figurant à l'annexe I (dispositifs médicaux, machines, aviation, automobile, etc.) lorsque cette législation sectorielle exige déjà une évaluation tierce

Cette voie implique de soumettre votre documentation technique à l'organisme notifié, de faire l'objet d'un audit formel et d'obtenir un certificat de conformité avant d'apposer le marquage CE.

Voie 2 : procédure de contrôle interne (article 43, paragraphe 2 + annexe VI)

Tous les autres systèmes à haut risque listés à l'annexe III, notamment l'IA dans l'éducation, l'emploi, les services essentiels, les forces de l'ordre (sous conditions), la migration et l'administration de la justice, peuvent suivre la procédure de contrôle interne définie à l'annexe VI.

Dans cette voie, vous réalisez l'évaluation vous-même, documentez vos conclusions et émettez la déclaration UE de conformité sans faire intervenir d'organisme externe. C'est la voie que suivra la majorité des fournisseurs de logiciels d'IA.

Type de système Voie d'évaluation
Annexe III §1 — identification biométrique Organisme notifié requis
Composants de sécurité de produits (annexe I) Organisme notifié requis (si la législation sectorielle l'exige)
Tous les autres systèmes de l'annexe III Contrôle interne (autoévaluation)

Étape par étape : la procédure de contrôle interne

Si votre système est éligible à l'autoévaluation, voici comment la mener méthodiquement. Chaque étape correspond à un article ou une annexe spécifique de l'AI Act.

Étape 1 : mettre en place un système de gestion des risques (article 9)

Établissez un processus continu de gestion des risques qui identifie, estime, évalue et atténue les risques connus et raisonnablement prévisibles posés par votre système. Ce n'est pas un exercice ponctuel : il doit être maintenu tout au long du cycle de vie du système.

Documentez les risques identifiés, les mesures d'atténuation adoptées et les risques résiduels acceptés. Cette documentation alimentera directement votre dossier technique.

Étape 2 : mettre en œuvre des pratiques de gouvernance des données (article 10)

Si votre système implique un entraînement sur des données, vous devez démontrer que vos jeux de données d'entraînement, de validation et de test sont pertinents, représentatifs et exempts d'erreurs susceptibles de produire des résultats discriminatoires. Documentez vos sources de données, votre méthodologie de curation et les limites connues.

Les systèmes n'impliquant pas d'entraînement de modèle, par exemple un système utilisant un modèle de fondation pré-entraîné via API, doivent également documenter les données utilisées pour l'affinage ou la génération augmentée par récupération.

Étape 3 : préparer la documentation technique (article 11 + annexe IV)

La documentation technique est la pièce centrale de l'évaluation de la conformité. L'annexe IV de l'AI Act précise exactement ce qu'elle doit contenir : une description générale du système, son usage prévu, le processus de développement, les indicateurs de performance, les mesures de gestion des risques et les plans de surveillance post-commercialisation.

Ce document doit être prêt avant la mise sur le marché et tenu à jour tout au long de la vie opérationnelle du système. C'est le document principal que vous produiriez pour une autorité de surveillance du marché en cas de contrôle.

Étape 4 : mettre en place la journalisation et la tenue de registres (article 12)

Votre système doit être capable de journaliser automatiquement les événements dans la mesure du possible sur le plan technique. Les journaux doivent permettre de reconstituer les circonstances ayant conduit à la matérialisation d'un risque ou à un incident. Les durées de conservation dépendent du contexte ; pour les systèmes utilisés dans des domaines tels que les forces de l'ordre et la migration, des minimums spécifiques s'appliquent.

Étape 5 : assurer la transparence envers les déployeurs (article 13)

Les fournisseurs doivent fournir aux déployeurs des instructions d'utilisation claires. Celles-ci doivent couvrir l'usage prévu du système, ses niveaux de performance, ses limites connues, les mesures de supervision humaine requises et les besoins de maintenance. Les instructions constituent un document légalement obligatoire et non une documentation produit facultative.

Étape 6 : intégrer la supervision humaine à la conception (article 14)

Votre système doit être conçu pour permettre aux déployeurs de surveiller, interrompre ou annuler ses résultats. Documentez les mesures de supervision spécifiques intégrées au système : scores de confiance pour les sorties, files d'attente de révision obligatoires ou arrêts forcés pour certains types de décisions.

Étape 7 : valider la précision, la robustesse et la cybersécurité (article 15)

Définissez les indicateurs de précision pertinents pour votre système, testez-les et documentez vos résultats. Démontrez la robustesse face aux erreurs, défaillances et incohérences. Montrez que des mesures de cybersécurité proportionnées au risque sont en place.

Étape 8 : compléter la vérification de contrôle interne (annexe VI)

Une fois toutes les étapes ci-dessus documentées, enregistrez formellement que vous avez vérifié la conformité à chaque exigence. L'annexe VI exige que vous contrôliez et documentiez le caractère complet de la documentation technique, la conformité de la conception du système à cette documentation et le bon fonctionnement du système de gestion des risques.

Émettre la déclaration UE de conformité (article 47)

À l'issue de l'évaluation de la conformité, le fournisseur doit rédiger une déclaration UE de conformité écrite et la tenir disponible pendant au moins dix ans après la mise sur le marché du système.

En vertu de l'article 47, la déclaration de conformité doit contenir :

  • Le nom et l'adresse du fournisseur
  • Une déclaration attestant que le système est conforme à l'AI Act
  • Le nom, l'adresse et le numéro d'identification de l'organisme notifié (le cas échéant)
  • La référence aux normes harmonisées appliquées
  • Le lieu et la date d'émission, la signature du fournisseur ou équivalent

Le marquage CE doit être apposé sur le système ou sa documentation après l'émission de la déclaration. Pour les systèmes logiciels uniquement, le marquage figure dans les instructions d'utilisation et la documentation technique.

Enregistrement dans la base de données de l'UE (article 49)

Avant de mettre votre système d'IA à haut risque sur le marché, vous devez l'enregistrer dans la base de données à l'échelle de l'UE gérée par le Bureau européen de l'IA. L'enregistrement doit avoir lieu avant la mise sur le marché : ce n'est pas une formalité post-lancement.

L'enregistrement couvre les informations clés sur le système : l'identité du fournisseur, l'usage prévu du système, la procédure d'évaluation de la conformité suivie et le numéro de référence de la déclaration UE de conformité.

Pour les systèmes destinés aux forces de l'ordre ou au contrôle de la migration, des règles d'accès différentes s'appliquent à la partie publique de la base de données.

Obligations de surveillance post-commercialisation (article 72)

L'évaluation de la conformité ne marque pas la fin de vos obligations. L'article 72 impose aux fournisseurs d'établir et de maintenir un système de surveillance post-commercialisation qui collecte, documente et analyse activement les données relatives aux performances du système tout au long de sa durée de vie opérationnelle.

En cas d'incidents, c'est-à-dire de dysfonctionnements non intentionnels causant ou susceptibles de causer un préjudice, les fournisseurs doivent signaler les incidents graves aux autorités de surveillance du marché. Les données de surveillance post-commercialisation alimentent également le système de gestion des risques, rendant l'ensemble du processus cyclique.

Calendrier : dates clés pour les fournisseurs

Étape Date
Entrée en vigueur de l'AI Act Août 2024
Interdiction des pratiques d'IA prohibées Février 2025
Obligations relatives aux modèles GPAI Août 2025
Application complète des obligations pour l'IA à haut risque Août 2026 (reportée au 2 décembre 2027 dans le cadre de l'accord Omnibus)
Systèmes de l'annexe I (sécurité des produits) Août 2027

La plupart des fournisseurs de systèmes d'IA à haut risque font face à l'échéance d'août 2026 (reportée au 2 décembre 2027 dans le cadre de l'accord Omnibus). Si vous intégrez de l'IA dans un produit réglementé couvert par la législation sectorielle de l'annexe I, vous avez jusqu'à août 2027, mais il est vivement conseillé de commencer dès maintenant.

Comment DilAIg accompagne le processus d'évaluation de la conformité

Réaliser manuellement une évaluation de la conformité implique de rassembler des preuves à travers huit exigences légales distinctes, de maintenir un dossier technique vivant et de produire simultanément plusieurs documents structurés juridiquement.

DilAIg génère les quatre documents obligatoires (Documentation technique annexe IV, Déclaration UE de conformité, AIDF et Notice de transparence) directement à partir d'un audit guidé de 50 questions. Au lieu de partir de modèles vierges, vous répondez à des questions sur votre système et obtenez des documents prêts à l'emploi, alignés sur le texte en vigueur de l'AI Act.

Commencez votre évaluation de la conformité avec DilAIg →

Contactez-nous si vous avez des questions sur la voie applicable à votre système →

FAQ : évaluation de la conformité au titre de l'AI Act

Tout système d'IA nécessite-t-il une évaluation de la conformité ?

Non. Seuls les systèmes d'IA à haut risque au sens de l'article 6 (systèmes listés à l'annexe III ou composants de sécurité d'IA dans des produits de l'annexe I) exigent une évaluation formelle de la conformité. Les systèmes à risque limité (article 50) n'ont que des obligations de transparence, et les systèmes à risque minimal n'ont pas d'obligations obligatoires.

Puis-je autocertifier mon système d'IA à haut risque ?

Oui, dans la plupart des cas. La procédure de contrôle interne prévue à l'article 43(2) et à l'annexe VI permet aux fournisseurs d'autoévaluer tous les systèmes de l'annexe III, à l'exception de ceux de la section 1 (identification biométrique). Seuls ces systèmes, et les composants de sécurité d'IA dans les produits de l'annexe I lorsque la législation sectorielle l'exige, nécessitent un organisme notifié.

Que se passe-t-il si je ne réalise pas d'évaluation de la conformité ?

Mettre sur le marché de l'UE un système d'IA à haut risque sans évaluation de la conformité valide constitue une infraction grave. Les autorités nationales de surveillance du marché peuvent interdire l'accès au marché. Les amendes prévues par l'AI Act peuvent atteindre 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial, selon le montant le plus élevé, pour non-conformité aux obligations relatives à l'IA à haut risque.

Combien de temps prend une évaluation de la conformité ?

Pour la voie de contrôle interne, le calendrier dépend entièrement de la rapidité avec laquelle vous pouvez rassembler les preuves et produire la documentation requise. Avec des outils structurés, une équipe bien organisée peut achever le processus en 4 à 8 semaines. Les évaluations par organisme notifié prennent généralement plus de temps, en fonction de la disponibilité de l'organisme et de l'état de préparation de la documentation.

Dois-je recommencer l'évaluation de la conformité si je mets à jour mon système ?

Oui, si les changements affectent substantiellement la conformité. L'article 43 impose aux fournisseurs de réévaluer les systèmes ayant subi des modifications substantielles, c'est-à-dire des modifications susceptibles d'affecter la conformité du système aux exigences ou de modifier son usage prévu.

Principaux points à retenir

  • L'évaluation de la conformité est obligatoire pour tous les systèmes d'IA à haut risque avant leur mise sur le marché de l'UE
  • Deux voies existent : organisme notifié (systèmes biométriques et composants de sécurité de produits de l'annexe I) et contrôle interne (tous les autres systèmes de l'annexe III)
  • La procédure de contrôle interne couvre huit exigences : articles 9 à 15 et liste de vérification de l'annexe VI
  • La déclaration UE de conformité doit être conservée pendant au moins dix ans
  • L'enregistrement dans la base de données de l'UE en vertu de l'article 49 doit avoir lieu avant la mise sur le marché et non après
  • La surveillance post-commercialisation en vertu de l'article 72 est une obligation continue et non une tâche ponctuelle
  • La principale échéance pour la plupart des fournisseurs d'IA à haut risque est août 2026 (reportée au 2 décembre 2027 dans le cadre de l'accord Omnibus)

Pour aller plus loin

Votre système IA est-il conforme ?

Audit gratuit en 20 minutes.

Démarrer l'audit