L'essentiel en 30 secondes
- Les Articles 16 à 25 du Règlement (UE) 2024/1689 fixent les obligations applicables aux fournisseurs de systèmes d'IA à haut risque.
- La documentation technique (Art. 16) doit décrire les caractéristiques du système, les données d'entraînement et ses limites.
- La conservation de la documentation court sur 10 ans après la mise sur le marché [à vérifier — Art. 18 du Règlement (UE) 2024/1689].
- Tout incident grave doit être notifié sans délai aux autorités, dans les fenêtres prévues par l'Art. 73 (15 jours pour les cas standards, 2 à 10 jours pour les cas les plus sérieux) [à vérifier].
- Les sanctions atteignent 35 M€ ou 7 % du chiffre d'affaires mondial (Art. 99).
- Pour une PME française, l'enjeu prioritaire est la traçabilité documentaire, plus que la complexité technique.
Vous concevez, entraînez ou commercialisez un système d'IA classé haut risque. À ce titre, vous devenez fournisseur au sens du Règlement (UE) 2024/1689. Cette qualification déclenche treize blocs d'obligations regroupés aux Articles 16 à 25. Cet article les présente, secteur par secteur, avec ce qu'une PME doit concrètement mettre en place.
Pour situer ces obligations dans l'écosystème global du règlement, vous pouvez consulter le pilier AI Act pour les PME françaises. Si la question financière vous préoccupe, l'analyse des sanctions et amendes Article 99 chiffre l'exposition réelle.
1. Obligation 1 : Documentation technique détaillée (Art. 16)
L'Article 16 du Règlement (UE) 2024/1689 impose au fournisseur de constituer une documentation technique exhaustive avant la mise sur le marché du système d'IA. Cette documentation suit le contenu prescrit à l'Annexe IV du règlement [à vérifier].
Trois blocs sont attendus :
- Caractéristiques techniques : architecture du modèle, paramètres, performances mesurées, métriques de précision et de robustesse.
- Données d'entraînement : provenance, méthodologie de constitution du jeu de données, traitements appliqués, mesures de qualité.
- Limites connues : faiblesses identifiées, scénarios d'échec, populations sous-représentées, cas d'usage non recommandés.
Pour une PME, le piège classique est la documentation reconstituée a posteriori. La traçabilité doit être organisée dès la phase de conception. Un référentiel partagé entre l'équipe data, le DPO et la direction technique constitue le socle minimal.
2. Obligation 2 : Évaluation des risques (Art. 17)
L'Article 17 du Règlement (UE) 2024/1689 prévoit la mise en place d'un système de gestion de la qualité, dans lequel s'inscrit l'évaluation des risques [à vérifier — Art. 17].
L'évaluation porte sur trois dimensions :
| Dimension | Risques à analyser | Référentiel utile |
|---|---|---|
| Droits fondamentaux | Vie privée, non-discrimination, dignité | Charte des droits fondamentaux UE |
| Sécurité technique | Robustesse, intégrité, disponibilité | ISO/IEC 27001:2022 |
| Gestion du risque IA | Identification, traitement, suivi | ISO/IEC 23894:2023 |
Documentez les mesures d'atténuation associées à chaque risque. Le standard ISO/IEC 42001:2023 (système de management de l'IA) offre une grille cohérente avec l'AI Act et facilite l'audit ultérieur.
3. Obligation 3 : Documentation de conformité (Art. 18)
L'Article 18 impose au fournisseur de conserver la documentation technique, la déclaration UE de conformité et les autres pièces démontrant la conformité, pendant 10 ans après la mise sur le marché du système d'IA [à vérifier — durée 10 ans, Art. 18].
Trois points concrets :
- La documentation doit être mise à jour à chaque modification substantielle du système.
- Elle doit rester accessible aux autorités compétentes sur simple demande.
- La cessation d'activité du fournisseur ne fait pas disparaître l'obligation : un repreneur ou un mandataire doit assurer la continuité.
Pour une PME, le réflexe à acquérir est l'archivage versionné. Un dossier de conformité figé à chaque release majeure, signé numériquement, évite toute contestation.
4. Obligation 4 : Mesures de sécurité (Art. 19)
L'Article 19 traite de la tenue des journaux automatiquement générés par les systèmes d'IA à haut risque [à vérifier — Art. 19]. La sécurité opérationnelle est, plus largement, un thème transverse aux Articles 9 (gestion des risques), 15 (exactitude, robustesse, cybersécurité) et 19.
Trois axes à couvrir :
- Mesures techniques : chiffrement des données au repos et en transit, contrôle d'accès, authentification forte, journalisation immuable.
- Mesures organisationnelles : politique de sécurité écrite, sensibilisation du personnel, gestion des habilitations, revue périodique.
- Évaluation régulière : tests d'intrusion, audits internes, indicateurs de sécurité suivis trimestriellement.
L'articulation avec la directive NIS 2 et le RGPD doit être pensée en amont. Une PME en secteur réglementé (santé, finance) cumule plusieurs régimes.
5. Obligation 5 : Notification des incidents (Art. 20)
L'Article 20 du Règlement (UE) 2024/1689 impose au fournisseur d'engager les actions correctives nécessaires et d'informer les autorités lorsque le système d'IA n'est plus conforme ou présente un risque [à vérifier — Art. 20].
Les délais de notification d'incident grave sont précisés à l'Article 73 du règlement et varient selon la nature de l'événement [à vérifier — Art. 73] :
| Type d'incident | Délai indicatif | Destinataires |
|---|---|---|
| Atteinte généralisée et grave | 2 jours | Autorité de surveillance du marché |
| Décès ou atteinte sérieuse à la santé | 10 jours | Autorité de surveillance du marché |
| Autre incident grave | 15 jours | Autorité de surveillance du marché |
Attention à ne pas confondre ces délais avec la fenêtre de 72 heures du RGPD (Article 33), applicable aux violations de données à caractère personnel. Les deux régimes peuvent se cumuler. Le glossaire précise les définitions.
Pack documentaire fournisseur haut risque
Vous êtes fournisseur d'un système d'IA classé haut risque et vous devez produire la documentation Articles 16 à 25 ? regulia met à disposition un pack de modèles structurés, alignés sur l'Annexe IV et ISO/IEC 42001:2023, pour gagner plusieurs semaines de rédaction.
Demander le pack6. Obligation 6 : Interdiction de certaines techniques (Art. 21)
L'Article 21 du Règlement (UE) 2024/1689 organise la coopération avec les autorités compétentes [à vérifier — Art. 21]. Les interdictions de pratiques d'IA, quant à elles, figurent à l'Article 5 du règlement et concernent notamment :
- la notation sociale par les autorités publiques ;
- la manipulation comportementale exploitant des vulnérabilités ;
- la catégorisation biométrique pour inférer la race, les opinions politiques, la religion ou l'orientation sexuelle ;
- l'identification biométrique à distance en temps réel dans l'espace public, sauf exceptions strictes.
Un fournisseur de système haut risque doit s'assurer que son produit ne franchit pas la ligne rouge de l'Article 5. Une revue juridique de cas d'usage est conseillée avant le marquage CE.
7. Obligation 7 : Obligation de transparence (Art. 22)
L'Article 22 traite des mandataires établis dans l'Union, lorsque le fournisseur est établi hors UE [à vérifier — Art. 22]. Les obligations de transparence à proprement parler sont posées par les Articles 13 (transparence à destination des déployeurs) et 50 (transparence à destination des personnes exposées) du règlement.
Le fournisseur doit notamment :
- fournir une notice d'utilisation claire, concise et exhaustive ;
- préciser les finalités prévues du système et les usages non recommandés ;
- décrire les caractéristiques, capacités et limites de performance ;
- indiquer les mesures de supervision humaine intégrées (Art. 14).
La transparence n'est pas un exercice de communication. Elle conditionne la responsabilité du déployeur et engage la responsabilité du fournisseur en cas d'omission.
8. Obligation 8 : Obligation d'information aux utilisateurs (Art. 23)
L'Article 23 vise les importateurs de systèmes d'IA à haut risque, qui doivent vérifier la conformité avant mise sur le marché [à vérifier — Art. 23]. Du côté de l'information des utilisateurs finaux, le fournisseur reste responsable des contenus diffusés au travers du déployeur.
Les éléments à communiquer :
- les risques résiduels identifiés, en langage accessible ;
- les mesures de sécurité mises en œuvre par défaut ;
- les droits exerçables, en particulier ceux issus du RGPD (accès, rectification, opposition, effacement) ;
- les finalités de traitement et la base légale, le cas échéant.
L'information ne se résume pas à des CGU. Une PME a tout intérêt à produire un document court (2 à 4 pages) lisible par un non-spécialiste, en complément des conditions contractuelles.
9. Obligation 9 : Obligation de mise à jour (Art. 24)
L'Article 24 concerne les obligations des distributeurs [à vérifier — Art. 24]. L'obligation de maintenance et de mise à jour du système, elle, découle des Articles 9 (gestion continue du risque), 15 (cybersécurité) et 72 (surveillance post-commercialisation).
Trois axes opérationnels :
- Corriger les défauts et vulnérabilités identifiés, sans délai disproportionné.
- Intégrer les nouvelles connaissances scientifiques et techniques pertinentes pour la sécurité du système.
- Informer les déployeurs et utilisateurs des mises à jour à impact significatif sur la performance ou la sécurité.
L'absence de processus formel de gestion des versions devient rapidement un point bloquant en cas d'audit. Mettre en place un journal des modifications, lié à l'évaluation des risques, est indispensable.
10. Obligation 10 : Obligation de coopération (Art. 25)
L'Article 25 du Règlement (UE) 2024/1689 traite des responsabilités au long de la chaîne de valeur de l'IA [à vérifier — Art. 25]. La coopération avec les autorités compétentes est principalement organisée par l'Article 21 du règlement.
En pratique, le fournisseur doit :
- répondre aux demandes d'information de l'autorité de surveillance du marché et, en France, de la CNIL pour les aspects relevant du RGPD ;
- fournir les pièces nécessaires aux audits et inspections ;
- accorder, le cas échéant, l'accès aux jeux de données, aux modèles et aux journaux générés par le système ;
- contribuer aux initiatives volontaires (codes de conduite, bacs à sable réglementaires).
Pour une PME, le bon réflexe est de centraliser un point de contact unique « AI Act », doublé d'un suppléant.
11. Obligation 11 : Obligation de notification des modifications (Art. 25)
Les modifications substantielles d'un système d'IA à haut risque entraînent généralement la nécessité de procéder à une nouvelle évaluation de conformité (Art. 43) [à vérifier]. Le fournisseur doit donc :
- qualifier la modification (substantielle vs non substantielle) selon les critères du règlement et des lignes directrices de la Commission ;
- mettre à jour la déclaration UE de conformité et la documentation technique ;
- notifier les déployeurs des changements impactant l'usage prévu ou les risques résiduels.
Une grille interne de qualification des modifications, validée par le responsable conformité, sécurise la décision.
12. Obligation 12 : Obligation de notification des risques émergents (Art. 25)
Au-delà des incidents avérés, le fournisseur doit anticiper les risques émergents. Cette obligation s'articule avec la surveillance post-commercialisation prévue à l'Article 72 du règlement [à vérifier].
Trois actions à formaliser :
- une veille technique et scientifique sur les vulnérabilités et biais nouvellement identifiés dans la classe de modèles utilisée ;
- un canal de remontée d'information depuis les déployeurs et les utilisateurs finaux ;
- la mise en place de mesures correctives proportionnées, documentées et tracées.
La notification aux autorités intervient dès lors qu'un risque grave est caractérisé, sans attendre la matérialisation d'un incident.
13. Obligation 13 : Obligation de notification des violations de données (Art. 25)
Une violation de données à caractère personnel reste régie au premier chef par l'Article 33 du RGPD, qui impose une notification à la CNIL dans un délai de 72 heures après en avoir pris connaissance.
Le cumul avec l'AI Act se présente ainsi :
| Cadre | Événement déclencheur | Délai | Autorité |
|---|---|---|---|
| RGPD Art. 33 | Violation de données personnelles | 72 h | CNIL |
| AI Act Art. 73 | Incident grave lié au système d'IA | 2 à 15 j [à vérifier] | Autorité surveillance du marché |
| AI Act Art. 26 (déployeur) | Dysfonctionnement constaté | Sans délai | Fournisseur et autorité |
Une procédure unique de gestion d'incident, qui aiguille selon le qualifiant juridique, évite la double erreur : notifier trop tard ou notifier au mauvais destinataire. Le détail des sources officielles est rassemblé sur la page sources.
Auditer votre conformité fournisseur
regulia propose un diagnostic de conformité aux Articles 16 à 25 du Règlement (UE) 2024/1689, avec restitution écrite et plan d'action priorisé pour PME et ETI françaises.
Demander un diagnosticFAQ
Quelles sont les sanctions pour non-conformité avec l'AI Act ?
Les sanctions financières prévues à l'Article 99 du Règlement (UE) 2024/1689 atteignent 35 M€ ou 7 % du chiffre d'affaires annuel mondial pour les violations des pratiques interdites (Art. 5), et jusqu'à 15 M€ ou 3 % du chiffre d'affaires pour les manquements aux obligations des Articles 16 et suivants [à vérifier — Art. 99]. Pour les PME et start-ups, le règlement prévoit l'application du montant le plus faible entre le pourcentage et la valeur absolue.
Comment les PME peuvent-elles se conformer aux obligations de l'AI Act ?
Une PME peut s'appuyer sur les fiches pratiques de la CNIL, les ressources de l'AI Act Service Desk de la Commission européenne et les guides sectoriels (Cigref janvier 2025, Numeum mars 2025). L'adoption d'un référentiel comme ISO/IEC 42001:2023 facilite la démarche. Un accompagnement par un conseil juridique reste recommandé pour les arbitrages sensibles.
Quelles sont les principales obligations pour les fournisseurs d'IA haut-risque ?
Le bloc principal porte sur la documentation technique (Art. 16, Annexe IV), le système de gestion de la qualité (Art. 17), la conservation documentaire (Art. 18), la tenue des journaux (Art. 19), les actions correctives et la notification (Art. 20) et la coopération avec les autorités (Art. 21). S'y ajoutent les obligations transversales sur la gestion des risques (Art. 9), la qualité des données (Art. 10) et la supervision humaine (Art. 14).
Quel est le délai pour notifier les incidents graves ?
Les délais figurent à l'Article 73 du règlement : 2 jours en cas d'atteinte généralisée et grave, 10 jours pour les atteintes sérieuses à la santé ou décès, 15 jours pour les autres incidents graves [à vérifier]. Ce régime est distinct du délai de 72 heures du RGPD applicable aux violations de données personnelles.
Quelles techniques sont interdites pour les systèmes d'IA haut-risque ?
Les pratiques interdites figurent à l'Article 5 du règlement et non à l'Article 21. Elles concernent notamment la notation sociale, la manipulation exploitant des vulnérabilités, la catégorisation biométrique sensible et l'identification biométrique à distance en temps réel dans l'espace public, sauf exceptions strictes. Un fournisseur de système haut risque doit s'assurer que son produit ne tombe pas dans ces catégories interdites.
Sources officielles
- Règlement (UE) 2024/1689 — texte consolidé
- EUR-Lex — version officielle UE
- CNIL — fiches pratiques IA
- AI Act Service Desk — Commission européenne
- ISO/IEC 42001:2023 — Système de management de l'IA
- ISO/IEC 23894:2023 — Gestion du risque IA
- ISO/IEC 27001:2022 — Sécurité de l'information
Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.