L'essentiel en 30 secondes - L'Annexe IV du Règlement (UE) 2024/1689 détaille le contenu de la documentation technique imposée par l'Article 11. - L'obligation vise les fournisseurs de systèmes d'IA à haut risque définis à l'Article 6 et à l'Annexe III. - Le dossier couvre conception, données d'entraînement, métriques, gestion des risques et surveillance post-marché. - Les PME et startups peuvent transmettre une version simplifiée prévue à l'Article 11(1), deuxième alinéa. - Une documentation incomplète expose à des sanctions jusqu'à 15 M€ ou 3 % du chiffre d'affaires mondial (Article 99(4)). - Modèles, FAQ et fiches sont accessibles en français via le service desk de la Commission et la CNIL.
1. Qu'est-ce que l'Annexe IV de l'AI Act ?
L'Annexe IV du Règlement (UE) 2024/1689 énumère les rubriques que tout fournisseur d'un système d'IA à haut risque doit faire figurer dans sa documentation technique. Elle prend appui sur l'Article 11 du Règlement (UE) 2024/1689, qui rend ce dossier obligatoire avant la mise sur le marché ou la mise en service.
Cette documentation poursuit trois finalités. Elle prouve la conformité aux exigences du chapitre III. Elle alimente l'évaluation de conformité par un organisme notifié quand celle-ci est requise. Elle donne aux autorités de surveillance une base d'audit en cas de contrôle.
L'Annexe IV ne s'applique pas aux systèmes d'IA à risque limité ou minimal. Pour eux, seules s'appliquent les obligations de transparence (Art. 50) ou les codes de conduite volontaires (Art. 95). Pour situer votre cas dans l'ensemble du règlement, consultez notre guide général sur l'AI Act pour les PME françaises.
| Niveau de risque | Documentation technique exigée | Base juridique |
|---|---|---|
| Inacceptable | Système interdit, pas de documentation possible | Art. 5 |
| Haut risque (Annexe III) | Dossier complet selon l'Annexe IV | Art. 11 |
| Risque limité (chatbots, deepfakes) | Information utilisateur uniquement | Art. 50 |
| Risque minimal | Aucune obligation, code de conduite volontaire | Art. 95 |
2. Obligations des fournisseurs à haut risque
Le fournisseur — au sens de l'Article 3(3) du règlement — est l'entité qui développe ou fait développer un système d'IA et le met sur le marché de l'Union sous son nom. Cette qualité déclenche l'application de l'Article 11.
Trois obligations s'imposent à ce fournisseur :
- Constituer la documentation technique avant la mise sur le marché.
- La maintenir à jour pendant toute la durée de vie du système.
- La conserver à la disposition des autorités nationales pendant dix ans après la mise sur le marché (Art. 18).
Ces obligations s'appliquent que le fournisseur soit une multinationale ou une PME française de quinze salariés. Le statut de PME ne supprime pas l'obligation : il en allège le format, comme nous le voyons en section 4.
Le déployeur — celui qui utilise le système — n'a pas à constituer cette documentation. Il doit en revanche conserver les journaux générés par le système (Art. 26(6)) et coopérer avec le fournisseur en cas d'incident grave.
3. Contenu obligatoire de la documentation technique
L'Annexe IV liste neuf rubriques. Chacune doit figurer dans le dossier, même brièvement, sous peine de non-conformité.
| Rubrique Annexe IV | Contenu attendu |
|---|---|
| 1. Description générale | Finalité, version, interactions avec d'autres systèmes |
| 2. Description détaillée | Méthodes de conception, choix techniques, architecture |
| 3. Surveillance et contrôle | Capacités, limites de précision, supervision humaine prévue |
| 4. Données et gouvernance | Origine, jeux d'entraînement, validation, biais identifiés |
| 5. Évaluation des risques | Cartographie, mesures de mitigation, risques résiduels |
| 6. Modifications | Politique de versionnage et de mise à jour du système |
| 7. Normes appliquées | Normes harmonisées ou spécifications techniques utilisées |
| 8. Déclaration de conformité UE | Référence à la déclaration prévue à l'Article 47 |
| 9. Plan post-marché | Surveillance après commercialisation, incidents graves |
La rubrique 4 — données — est souvent sous-estimée par les PME. Elle exige de tracer l'origine des jeux d'entraînement, leur représentativité, les opérations de nettoyage et les biais détectés. La CNIL en a fait l'un de ses points d'audit prioritaires dans ses fiches pratiques publiées en 2024.
La rubrique 9 — plan post-marché — se prépare en amont mais s'exécute après le lancement. Elle décrit comment vous remonterez les incidents graves dans les délais de l'Article 73, soit quinze jours en règle générale et deux jours pour les incidents les plus graves.
4. Format simplifié pour les PME et startups
Le législateur européen a prévu un allègement spécifique. L'Article 11(1), deuxième alinéa, autorise les PME, startups incluses, à fournir « les éléments de la documentation technique spécifiés à l'annexe IV sous une forme simplifiée ». La Commission est mandatée pour publier un formulaire simplifié type, qui servira de référence aux autorités nationales.
| Critère | PME au sens de l'AI Act | Source |
|---|---|---|
| Effectif | < 250 salariés | Recommandation 2003/361/CE |
| Chiffre d'affaires | ≤ 50 M€ | Recommandation 2003/361/CE |
| Bilan total | ≤ 43 M€ | Recommandation 2003/361/CE |
La simplification ne porte pas sur le fond — toutes les rubriques restent dues — mais sur la forme. Un tableau synthétique de deux pages peut suffire pour la rubrique 2, là où une multinationale produira une note technique de cinquante pages.
Le format simplifié n'exonère pas de la rigueur. Si votre dossier omet la traçabilité des données ou la cartographie des risques, l'autorité considérera l'obligation comme non remplie. Pour une vue détaillée du barème de sanctions, voyez notre article sur les sanctions et amendes AI Act pour les PME.
Vous lancez un système d'IA à haut risque ?
regulia met à votre disposition un pack documentaire pré-rempli, calé sur les neuf rubriques de l'Annexe IV et conforme au format simplifié pour PME.
Demander le pack Annexe IV5. Conséquences de la non-conformité
Les sanctions de l'AI Act figurent à l'Article 99. Trois plafonds existent selon la nature du manquement.
| Manquement | Plafond standard | Base |
|---|---|---|
| Pratiques interdites (Art. 5) | 35 M€ ou 7 % CA mondial | Art. 99(3) |
| Manquement aux obligations fournisseur (dont Art. 11 / Annexe IV) | 15 M€ ou 3 % CA mondial | Art. 99(4) |
| Information incorrecte fournie aux autorités | 7,5 M€ ou 1 % CA mondial | Art. 99(5) |
Pour une PME ou une startup, l'Article 99(6) plafonne au plus bas des deux montants — ce qui rend la sanction proportionnée à la taille. Une PME à 4 M€ de chiffre d'affaires risque donc 3 % de ce CA, soit 120 000 €, plutôt que 15 M€.
Aux sanctions administratives s'ajoutent :
- Le retrait du marché du système concerné par l'autorité de surveillance (Art. 79).
- L'obligation de notifier les déployeurs et utilisateurs déjà raccordés.
- Un risque réputationnel auprès des clients B2B, qui exigent de plus en plus la documentation Annexe IV dans leurs appels d'offres.
L'autorité française désignée se structure encore : la coordination est portée par la DGE, avec la CNIL en chef de file pour la dimension données. Les premières sanctions sont attendues à compter du 2 août 2026, date d'entrée en application des règles haut risque.
6. Étapes pratiques pour se conformer
La construction d'un dossier Annexe IV se planifie sur plusieurs mois. Voici une feuille de route opérationnelle pour une PME française.
- Qualifier votre système. Vérifiez s'il tombe dans l'Annexe III (huit domaines : biométrie, infrastructures critiques, éducation, emploi, services essentiels, application des lois, migration, justice). Si oui, vous êtes haut risque, sauf exception de l'Article 6(3).
- Désigner un responsable conformité. Une personne — DPO, RSSI, IA Lead — pilote le dossier. Sans porteur identifié, le dossier ne se construit pas.
- Cartographier les rubriques. Pour chacune des neuf rubriques de l'Annexe IV, identifiez l'élément de preuve existant et l'écart à combler.
- Formaliser la gouvernance des données. Tracez l'origine, la représentativité, les biais. C'est l'angle d'attaque le plus fréquent des autorités.
- Structurer la gestion des risques. Suivez la méthodologie ISO/IEC 23894:2023, alignée sur l'Article 9 du règlement.
- Rédiger la documentation au format simplifié PME. Visez clarté et synthèse plutôt qu'exhaustivité bavarde.
- Faire relire le dossier. Par votre conseil juridique, votre DPO, ou un organisme notifié si une évaluation tierce est requise.
- Mettre en place le plan post-marché. Notifications d'incidents, journalisation, mise à jour continue du dossier.
Cette feuille s'imbrique avec un système de management ISO/IEC 42001:2023, qui formalise la gouvernance globale de l'IA dans l'entreprise et facilite la production des preuves attendues par l'Annexe IV.
7. Trois exemples de documentation technique
Pour rendre concrets les principes ci-dessus, voici trois cas typiques de PME françaises confrontées à l'Annexe IV.
Exemple 1 : Outil de tri de CV pour cabinet de recrutement
Système classé haut risque au titre de l'Annexe III, point 4(a) — emploi. La documentation Annexe IV doit détailler :
- Description générale : finalité, langues supportées, types de poste couverts.
- Données d'entraînement : provenance des CV, base RGPD invoquée, anonymisation, répartition genre / âge / origine.
- Évaluation des risques : biais discriminatoires testés, métriques d'équité retenues, seuils d'alerte.
- Supervision humaine : règle d'intervention d'un recruteur avant toute décision finale (Art. 14).
Exemple 2 : Logiciel de scoring crédit pour PME fintech
Annexe III, point 5(b) — accès aux services essentiels. Rubriques sensibles :
- Données : qualité des historiques de remboursement, traitement des données manquantes, équilibrage par catégorie d'emprunteur.
- Performance : taux de faux positifs, taux de faux négatifs, calibration sur sous-populations.
- Plan post-marché : suivi des décisions contestées, incidents graves notifiés à l'ACPR le cas échéant.
Exemple 3 : Aide à la décision médicale
Annexe III dans la mesure où le dispositif est un dispositif médical au sens du Règlement (UE) 2017/745. Convergence forte avec la documentation MDR existante. La rubrique « normes appliquées » mentionnera ISO 14971 (gestion des risques médicaux) en plus d'ISO/IEC 23894 et ISO/IEC 42001.
Pour des définitions précises des termes employés ici — fournisseur, déployeur, organisme notifié, mise sur le marché —, reportez-vous à notre glossaire AI Act.
8. Ressources utiles pour les PME françaises
Plusieurs ressources publiques fiables existent pour bâtir votre documentation Annexe IV. Aucune ne remplace une lecture directe du règlement, mais toutes en facilitent l'application.
| Ressource | Usage | Format |
|---|---|---|
| Service desk de la Commission | Questions juridiques, modèles à venir | Web, gratuit |
| Fiches CNIL « IA » | Application RGPD/AI Act, recommandations sectorielles | PDF, FR |
| Norme ISO/IEC 42001:2023 | Système de management de l'IA | Payant |
| Norme ISO/IEC 23894:2023 | Gestion des risques liés à l'IA | Payant |
| Guide Cigref AI Act 2025 | Vision DSI grandes entreprises adaptable PME | PDF, FR |
| Guide Numeum AI Act 2025 | Vision éditeurs de logiciels et ESN | PDF, FR |
Pour la liste consolidée des sources que regulia exploite article par article, consultez notre page sources. Et pour replacer cette obligation dans le panorama global du règlement, revenez au pilier AI Act PME France.
Démarrer votre dossier Annexe IV en 5 jours
Le pack regulia inclut les modèles des neuf rubriques, un guide de complétion en français, et la feuille de route adaptée aux PME françaises.
Recevoir le pack documentaireFAQ
Quels systèmes sont concernés par l'Annexe IV ?
L'Annexe IV s'applique exclusivement aux systèmes d'IA à haut risque définis à l'Article 6 et à l'Annexe III du Règlement (UE) 2024/1689. Les systèmes à risque limité (chatbots, deepfakes) ou minimal ne sont pas concernés et relèvent d'obligations distinctes (Art. 50 ou codes de conduite Art. 95).
Quelle documentation technique faut-il préparer ?
Le dossier couvre les neuf rubriques listées à l'Annexe IV : description générale, description détaillée, surveillance, données et gouvernance, gestion des risques, modifications, normes appliquées, déclaration de conformité UE, plan de surveillance post-marché. L'ensemble doit refléter l'état réel du système et être maintenu à jour pendant dix ans après la mise sur le marché.
Quelles sanctions en cas de documentation manquante ou trompeuse ?
L'Article 99(4) prévoit jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial pour les manquements aux obligations fournisseur, dont l'Article 11. Pour une PME, l'Article 99(6) plafonne au plus bas des deux montants. S'ajoutent retrait du marché et notification aux déployeurs.
Comment savoir si mon système est à haut risque ?
Croisez votre cas d'usage avec les huit domaines de l'Annexe III, puis vérifiez si l'exception de l'Article 6(3) s'applique (rôle accessoire, tâche procédurale étroite, absence de profilage). Le service desk européen propose un outil de classification, et la CNIL publie des fiches pratiques sectorielles.
Existe-t-il des allègements pour les PME ?
Oui. L'Article 11(1), deuxième alinéa, autorise les PME et startups à présenter la documentation Annexe IV sous une forme simplifiée. La Commission a mandat pour publier un formulaire type. L'allègement porte sur la forme — toutes les rubriques restent dues sur le fond.
Sources officielles
- Texte consolidé AI Act — artificialintelligenceact.eu
- Règlement (UE) 2024/1689 — EUR-Lex
- CNIL — page AI Act
- Service desk AI Act — Commission européenne
Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.