Surveillance après mise sur le marché sous l'AI Act : ce que fournisseurs et déployeurs doivent suivre après le lancement

Dernière mise à jour : juin 2026 · Temps de lecture : 8 minutes

---

La plupart des discussions sur la conformité portent sur la mise sur le marché d'un système d'IA : documentation technique, évaluations de conformité, marquage CE, inscription dans la base de données européenne. Ce sont des obligations réelles et exigeantes, mais elles ne constituent pas la fin de l'histoire.

Une fois un système d'IA à haut risque déployé, l'AI Act impose une seconde couche d'obligations : surveillance continue après mise sur le marché, signalement d'incidents graves et, dans certains cas, retrait obligatoire du système du marché. Ces obligations figurent principalement aux articles 72 et 73 du règlement (UE) 2024/1689, avec des dispositions complémentaires aux articles 26 et 61.

Comprendre ce que vous devez suivre, et quand vous devez agir, est essentiel pour tout fournisseur ou déployeur opérant dans l'UE.

---

La logique derrière la surveillance après mise sur le marché

Les systèmes d'IA ne se comportent pas de la même façon après le déploiement que lors des tests. Les distributions de données d'entraînement évoluent. L'environnement opérationnel introduit des variables absentes lors du développement. Les utilisateurs interagissent avec les systèmes de manière imprévue. Les risques qui semblaient théoriques deviennent réels.

L'AI Act reconnaît cette dynamique. L'article 9 exige un système de gestion des risques qui fonctionne « tout au long du cycle de vie » d'un système d'IA à haut risque, et pas seulement pendant le développement. La surveillance après mise sur le marché est le mécanisme qui rend cette gestion des risques sur le cycle de vie opérationnelle.

Le cadre s'inspire explicitement de la réglementation pharmaceutique et du droit de la sécurité des produits, où la vigilance après mise sur le marché est déjà une discipline mature. L'AI Act applique la même logique aux processus décisionnels algorithmiques.

---

Article 72 : système de surveillance après mise sur le marché

Qui doit se conformer

L'article 72 impose des obligations de surveillance après mise sur le marché aux fournisseurs de systèmes d'IA à haut risque, c'est-à-dire l'entité qui développe ou commercialise le système sous son propre nom ou marque.

Les déployeurs ont des obligations distinctes, abordées ci-dessous, mais la responsabilité première d'établir et de gérer le système de surveillance incombe au fournisseur.

Ce que le système doit faire

En vertu de l'article 72, paragraphe 1, les fournisseurs doivent « collecter, documenter et analyser activement et systématiquement les données pertinentes sur les performances des systèmes d'IA à haut risque tout au long de leur durée de vie. »

Le périmètre des « données pertinentes » est large. Il comprend :

• Les données fournies par les déployeurs via leurs mécanismes de retour d'information
• Les données sur les quasi-incidents et les incidents réels signalés par les déployeurs ou les utilisateurs
• Les métriques de performance quantitatives par rapport aux spécifications de précision et de robustesse définies dans la documentation technique
• Les données indiquant un glissement de distribution, c'est-à-dire les cas où les données opérationnelles du système divergent significativement de la distribution d'entraînement
• Les informations sur les changements sociétaux ou contextuels susceptibles d'affecter le profil de risque du système

Le plan de surveillance après mise sur le marché

Les fournisseurs doivent établir un plan de surveillance après mise sur le marché dans le cadre de leur documentation technique (article 11 et annexe IV). Ce plan doit préciser :

• La méthodologie de collecte des données
• La fréquence des revues de performance
• Les seuils déclenchant une action corrective
• Les procédures de mise à jour du système lorsque des problèmes sont identifiés
• La chaîne de communication avec les déployeurs

Pour les systèmes d'IA à haut risque qui sont également des dispositifs médicaux ou des composants de sécurité, le plan de surveillance doit s'aligner sur les exigences de la législation sectorielle applicable (par exemple le règlement MDR (UE) 2017/745).

Mise à jour de la documentation technique

Lorsque les données de surveillance après mise sur le marché révèlent que le système ne satisfait plus les spécifications de précision, de robustesse ou de sécurité définies dans la documentation technique, le fournisseur doit mettre à jour cette documentation et, si nécessaire, soumettre à nouveau le dossier à un organisme notifié pour réévaluation (article 72, paragraphe 2).

---

Article 73 : signalement des incidents graves

La surveillance après mise sur le marché alimente directement le régime de signalement des incidents graves de l'article 73, l'un des aspects les plus exigeants sur le plan opérationnel de l'AI Act pour les fournisseurs.

Ce qui constitue un « incident grave »

L'article 3, point 49), définit un incident grave comme « tout incident ou dysfonctionnement d'un système d'IA qui entraîne directement ou indirectement » l'un des événements suivants :

• Le décès d'une personne ou un préjudice grave pour sa santé
• Une perturbation grave et irréversible des infrastructures critiques
• La violation d'obligations découlant du droit de l'UE destinées à protéger les droits fondamentaux
• Un préjudice grave pour les biens ou l'environnement

La définition est délibérément large. Elle couvre les préjudices directs (la sortie du système d'IA cause un dommage) et les préjudices indirects (la défaillance du système permet une décision humaine causant un dommage).

Délais de signalement

Lorsqu'un fournisseur prend connaissance d'un incident grave, l'article 73 exige un signalement à l'autorité nationale de surveillance du marché compétente dans les délais suivants :

Type d'incident	Délai de signalement
Décès ou détérioration grave inattendue de la santé	15 jours
Autres incidents graves	30 jours
Incidents graves connus après remédiation	Dès que l'information est disponible

Ces délais courent à compter de la date à laquelle le fournisseur « prend connaissance » de l'incident, et non de la date à laquelle l'incident s'est produit. Les fournisseurs doivent donc mettre en place des processus internes d'escalade et de triage qui formalisent rapidement cette prise de connaissance.

Signalement au Bureau européen de l'IA

Pour les modèles d'IA à usage général présentant un risque systémique (articles 51 à 56), le signalement des incidents graves suit une procédure parallèle auprès du Bureau européen de l'IA plutôt que des autorités nationales. Cette distinction est importante pour les fournisseurs de grands modèles de fondation dont les systèmes sous-tendent de nombreuses applications en aval.

Ce qui se passe après le signalement

À la suite d'un signalement d'incident grave, les autorités nationales de surveillance du marché peuvent ordonner :

• Des mesures correctives pour remettre le système en conformité
• Des restrictions d'utilisation ou d'accès
• Le retrait du marché au titre de l'article 79
• Dans les cas graves, l'interdiction d'utilisation

Les fournisseurs disposant d'un système de surveillance fonctionnel, capables de démontrer une prise de connaissance documentée du problème et des mesures correctives actives, se trouvent dans une position nettement plus favorable lors de toute investigation.

---

Déployeurs : obligations au titre des articles 26 et 73

Les déployeurs ne sont pas des observateurs passifs dans le cadre de la surveillance après mise sur le marché. L'article 26, paragraphe 5, exige des déployeurs qu'ils surveillent le fonctionnement du système d'IA à haut risque et, le cas échéant, informent le fournisseur et l'autorité de surveillance du marché compétente des incidents graves.

Plus précisément, les déployeurs doivent :

• Conserver les journaux générés automatiquement par le système (dans la mesure techniquement faisable et conformément au RGPD) pendant au moins six mois (article 26, paragraphe 6)
• Informer immédiatement le fournisseur dès la découverte d'un incident grave
• Coopérer avec les investigations des autorités de surveillance du marché

Les déployeurs qui constatent qu'un système d'IA à haut risque ne satisfait plus les conditions définies dans la documentation technique doivent suspendre l'utilisation et en informer le fournisseur (article 26, paragraphe 5).

Exemple pratique : un outil RH déployé par une agence de recrutement

Une agence de recrutement déploie un outil de présélection de candidats basé sur l'IA d'un tiers, système à haut risque en vertu de l'annexe III, point 4. L'agence constate que le système a commencé à classer significativement plus bas les candidats issus d'une université donnée, sans lien explicable avec les exigences du poste. Il s'agit d'une anomalie de performance qui doit être immédiatement transmise au fournisseur. Si ce phénomène entraîne une discrimination avérée dans les décisions d'embauche, il peut constituer un incident grave au sens de l'article 3, point 49), comme violation des obligations de droits fondamentaux. L'agence doit consigner le problème, informer le fournisseur et peut devoir notifier l'autorité de surveillance du marché.

---

Construire votre infrastructure de surveillance après mise sur le marché

Pour les fournisseurs et déployeurs qui abordent ce sujet pour la première fois, l'infrastructure minimale de surveillance comprend :

1. Un plan de surveillance formalisé intégré à la documentation technique, non pas un document politique dans un répertoire partagé, mais un plan opérationnel vivant avec des responsables désignés et des seuils définis.
2. Une infrastructure de journalisation qui capture les entrées, sorties et facteurs décisionnels pertinents pour chaque inférence du système d'IA (article 12).
3. Un processus interne de triage des incidents qui définit ce qui constitue un incident grave, qui l'évalue et dans quel délai.
4. Un canal de retour d'information des déployeurs permettant aux déployeurs de signaler des anomalies de performance au fournisseur de manière structurée.
5. Une procédure d'action corrective liée au système de gestion des risques de l'article 9.

Le plan de surveillance après mise sur le marché est l'un des quatre documents générés par l'audit automatisé de DILAIG. Réalisez l'audit en 50 questions pour produire votre plan de surveillance aux côtés de votre évaluation des risques, de votre documentation technique et de votre déclaration de conformité. Contactez-nous pour des conseils sur les obligations spécifiques aux déployeurs.

---

FAQ : surveillance après mise sur le marché sous l'AI Act

La surveillance après mise sur le marché s'applique-t-elle à tous les systèmes d'IA ou uniquement aux systèmes à haut risque ? Les obligations formelles des articles 72 et 73 s'appliquent aux systèmes d'IA à haut risque au titre de l'annexe III et de l'article 6. Les modèles d'IA à usage général présentant un risque systémique ont des obligations parallèles au titre de l'article 55. Les systèmes à risque minimal ne font l'objet d'aucune obligation de surveillance après mise sur le marché.

Quand ces obligations entrent-elles en vigueur ? La plupart des obligations relatives aux systèmes d'IA à haut risque, y compris la surveillance après mise sur le marché, s'appliquent à compter du 2 août 2026. Pour les systèmes à haut risque constituant des composants de produits couverts par la législation sectorielle de l'annexe I, le délai est prolongé jusqu'au 2 août 2027.

Que se passe-t-il si nous utilisons un fournisseur d'IA tiers ? Si vous êtes déployeur d'un système d'IA à haut risque d'un tiers, vos obligations au titre de l'article 26 s'appliquent indépendamment de l'identité du développeur. Vous devez conserver les journaux, signaler les incidents graves au fournisseur et suspendre l'utilisation en cas de non-conformité.

Combien de temps les données de surveillance doivent-elles être conservées ? L'article 12 exige que les journaux soient générés automatiquement et conservés pendant la période définie dans la documentation technique, avec un minimum de six mois pour les déployeurs au titre de l'article 26, paragraphe 6. Les registres complets de surveillance des fournisseurs doivent être conservés pendant la période de dix ans précisée à l'article 18.

Le fournisseur peut-il déléguer la surveillance après mise sur le marché au déployeur ? Le fournisseur conserve la responsabilité principale au titre de l'article 72. Des arrangements contractuels peuvent confier des tâches de surveillance opérationnelle aux déployeurs, mais le fournisseur ne peut pas se soustraire à ses obligations légales par voie contractuelle.

---

Principaux points à retenir

• L'article 72 exige des fournisseurs qu'ils maintiennent un système de surveillance active et systématique après mise sur le marché pour les systèmes d'IA à haut risque tout au long de leur durée de vie opérationnelle.
• Le plan de surveillance doit faire partie de la documentation technique et préciser la collecte de données, les seuils de performance et les procédures d'action corrective.
• L'article 73 exige le signalement des incidents graves aux autorités nationales de surveillance dans un délai de 15 jours (décès ou détérioration grave de la santé) ou 30 jours (autres incidents graves).
• Les déployeurs ont des obligations indépendantes : conserver les journaux, signaler les incidents aux fournisseurs et suspendre les systèmes non conformes.
• Le plan de surveillance après mise sur le marché est l'un des quatre documents obligatoires générés par l'audit DILAIG.

---

Sources

• Règlement (UE) 2024/1689 — Texte intégral, Journal officiel de l'UE, 12 juillet 2024
• Article 72 — Surveillance après mise sur le marché par les fournisseurs
• Article 73 — Signalement des incidents graves
• Article 26 — Obligations des déployeurs de systèmes d'IA à haut risque
• Annexe IV — Documentation technique
• Bureau européen de l'IA — Orientations sur la surveillance après mise sur le marché