TL;DR — L'essentiel en 30 secondes
- L'Article 14 du Règlement (UE) 2024/1689 impose une supervision humaine intégrée par conception pour tout système d'IA à haut risque, dès la phase de développement.
- Trois moments de contrôle sont obligatoires : avant le déploiement, pendant l'exécution, après la production de résultats (Art. 14, par. 4).
- Les PME doivent identifier des superviseurs compétents, documenter leurs prérogatives et garantir leur capacité à interrompre le système.
- Le manquement à l'Article 14 expose à des sanctions pouvant atteindre 15 millions d'euros ou 3 % du chiffre d'affaires mondial (Art. 99, par. 4).
- La CNIL et l'AI Office EU publient des fiches pratiques pour calibrer la supervision selon le secteur d'activité.
- Quatre étapes opérationnelles permettent à une PME de bâtir sa supervision : cartographie, conception, formation, audit.
1. Contexte juridique : l'Article 14 de l'AI Act
L'Article 14 du Règlement (UE) 2024/1689 s'applique exclusivement aux systèmes d'IA classés à haut risque selon l'Article 6 et l'Annexe III. Pour une PME française, cela vise par exemple un logiciel de tri de CV, un outil de scoring de crédit ou un dispositif de diagnostic médical.
La logique du texte : un système d'IA à haut risque ne peut fonctionner sans qu'un être humain conserve la capacité de comprendre, surveiller et reprendre la main. La Commission européenne parle de « human oversight by design » — la supervision n'est pas une option ajoutée à la fin, elle structure le produit.
L'Article 14, par. 1 dispose que les systèmes à haut risque doivent être « conçus et développés, y compris avec des outils d'interface homme-machine appropriés, de manière à pouvoir être effectivement supervisés par des personnes physiques pendant leur période d'utilisation ».
Trois secteurs concentrent l'essentiel des cas d'usage pour les PME :
| Secteur | Exemple de système d'IA à haut risque | Référence AI Act |
|---|---|---|
| Santé | Aide au diagnostic radiologique | Annexe III, point 5 (b) |
| Ressources humaines | Tri automatisé de candidatures | Annexe III, point 4 (a) |
| Services financiers | Scoring de solvabilité particuliers | Annexe III, point 5 (b) |
| Éducation | Évaluation automatisée d'élèves | Annexe III, point 3 (a) |
| Justice et administration | Aide à la décision juridictionnelle | Annexe III, point 8 (a) |
Les obligations s'appliquent au fournisseur du système (celui qui le développe) et au déployeur (celui qui l'utilise). Une PME peut endosser l'un, l'autre ou les deux rôles. La distinction conditionne l'étendue exacte des mesures à mettre en place. Pour le détail des seuils et obligations transverses, consultez notre guide pillar AI Act PME France.
2. Les trois phases de supervision humaine requises
L'Article 14, par. 4 énumère cinq capacités que la supervision humaine doit garantir. Pour les structurer opérationnellement, regulia recommande de les organiser en trois phases temporelles.
2.1 Avant l'exécution : validation et paramétrage
Avant qu'un système d'IA traite une donnée réelle, le superviseur humain doit pouvoir :
- Vérifier que les entrées sont conformes au cadre prévu (qualité, format, représentativité).
- Comprendre les capacités et limites du système (Art. 14, par. 4 (a)).
- Activer ou désactiver les fonctions optionnelles.
- Valider les seuils de décision et les niveaux de confiance.
Cette phase requiert une documentation accessible : notice technique, fiche système, registre des modèles utilisés.
2.2 Pendant l'exécution : surveillance active
Le superviseur doit conserver une vue temps réel sur le fonctionnement :
- Détecter les anomalies, dérives ou biais (Art. 14, par. 4 (b)).
- Rester conscient du « risque de biais d'automatisation » — la tendance humaine à faire confiance par défaut à une recommandation algorithmique (Art. 14, par. 4 (b)).
- Interpréter les sorties du système, notamment les niveaux d'incertitude.
2.3 Après l'exécution : intervention et révision
Une fois le résultat produit, la supervision continue :
- Décider de ne pas suivre la recommandation ou d'annuler la décision (Art. 14, par. 4 (d)).
- Interrompre le système via un bouton d'arrêt ou une procédure équivalente (Art. 14, par. 4 (e)).
- Tracer les interventions pour audit ultérieur.
| Phase | Question clé | Documentation associée |
|---|---|---|
| Avant | Le système est-il prêt et bien configuré ? | Fiche de pré-déploiement |
| Pendant | Le système fonctionne-t-il dans son enveloppe attendue ? | Journaux d'événements |
| Après | La décision finale est-elle pertinente ? | Registre d'intervention humaine |
3. Obligations spécifiques pour les PME
L'AI Act prévoit des aménagements pour les PME (Art. 62), mais aucune dérogation à l'Article 14. La supervision humaine s'impose quelle que soit la taille de l'entreprise dès lors qu'un système à haut risque est déployé.
Concrètement, une PME française doit :
- Identifier nommément les personnes en charge de la supervision dans le registre interne d'IA.
- S'assurer qu'elles disposent du niveau de compétence requis (Art. 14, par. 4) : compréhension métier, lecture des sorties du système, autorité hiérarchique pour interrompre.
- Allouer le temps et les ressources nécessaires à l'exercice effectif de la supervision — un superviseur surchargé ou non formé ne remplit pas le critère.
- Mettre à disposition les outils techniques : interface de monitoring, accès aux logs, bouton d'arrêt accessible.
- Documenter l'organisation dans une procédure interne, intégrée au système de gestion de la qualité prévu à l'Article 17.
Pour les déployeurs (Art. 26, par. 2), l'obligation est complétée : la PME doit confier la supervision à des personnes physiques disposant « de la compétence, de la formation et de l'autorité nécessaires », et leur fournir le soutien nécessaire.
Vous déployez un système d'IA à haut risque ?
regulia met à disposition un pack documentaire prêt à l'emploi : registre de supervision, fiches de poste superviseur, procédure d'arrêt d'urgence, journal d'interventions. Conformité Article 14 + Article 26 traçable en moins d'une journée.
Demander le pack supervision humaine4. Risques et sanctions pour non-conformité
L'Article 99 du Règlement (UE) 2024/1689 structure le régime de sanctions en trois paliers. L'Article 14 relève du palier intermédiaire (Art. 99, par. 4) : les obligations applicables aux fournisseurs et déployeurs de systèmes à haut risque.
| Manquement | Montant maximal | Référence |
|---|---|---|
| Pratiques interdites (Art. 5) | 35 M€ ou 7 % du CA mondial | Art. 99, par. 3 |
| Manquement Art. 14, 16, 26 (haut risque) | 15 M€ ou 3 % du CA mondial | Art. 99, par. 4 |
| Information inexacte aux autorités | 7,5 M€ ou 1 % du CA mondial | Art. 99, par. 5 |
Pour les PME et les jeunes entreprises, l'Article 99, par. 6 prévoit que l'amende est plafonnée au montant le plus bas entre le pourcentage et la somme forfaitaire — un correctif important par rapport au régime appliqué aux grandes entreprises. Le détail du régime de sanctions est exposé dans notre article dédié sanctions AI Act et amendes pour PME.
Au-delà de l'amende, les conséquences opérationnelles d'un défaut de supervision sont multiples :
- Retrait du marché par l'autorité de surveillance (Art. 79).
- Obligation de mise en conformité dans un délai imposé.
- Perte de la conformité CE et impossibilité de commercialiser le système.
- Responsabilité civile en cas de préjudice causé par une décision automatisée mal supervisée.
- Atteinte réputationnelle, notamment sur les marchés sensibles (santé, RH, finance).
5. Outils et méthodologies pratiques
Quatre familles d'outils permettent à une PME de structurer sa supervision humaine sans réinventer la roue.
5.1 Référentiels normatifs
- ISO/IEC 42001:2023 — système de management de l'IA. Le chapitre 8 fournit des contrôles directement applicables à la supervision humaine.
- ISO/IEC 23894:2023 — gestion des risques liés à l'IA. Utile pour identifier les scénarios où la supervision est critique.
- ISO/IEC 27001:2022 — sécurité de l'information. Encadre la traçabilité des interventions.
5.2 Documentation type
| Document | Objet | Fréquence de mise à jour |
|---|---|---|
| Fiche système d'IA | Décrire capacités, limites, seuils | À chaque évolution du modèle |
| Registre des superviseurs | Identifier les personnes habilitées | Trimestrielle |
| Journal d'intervention humaine | Tracer chaque décision de supervision | Continue |
| Procédure d'arrêt | Décrire la chaîne de décision en cas d'incident | Annuelle |
| Plan de formation | Garantir la compétence des superviseurs | Annuelle |
5.3 Outils techniques
Une interface de monitoring est requise (Art. 14, par. 4 (b)). Pour une PME, plusieurs approches existent :
- Tableau de bord intégré au système (à exiger du fournisseur).
- Plateforme tierce de model monitoring (MLflow, Evidently, Arize — non exhaustif).
- Solution maison avec exports CSV horodatés et revue hebdomadaire pour les systèmes à faible volumétrie.
5.4 Compétences à acquérir
L'Article 4 du Règlement impose la « maîtrise de l'IA » (AI literacy) pour tout personnel impliqué. Un superviseur doit comprendre :
- Le périmètre fonctionnel du système.
- Les indicateurs de performance et de dérive.
- Les biais probables et leurs signaux faibles.
- La procédure d'escalade.
Le glossaire regulia recense les termes utiles à la formation interne.
6. Cas d'étude : supervision dans le secteur de la santé
Une PME française de 80 salariés commercialise un logiciel d'aide à la détection de lésions sur imagerie médicale. Le système est classé haut risque au titre de l'Annexe III, point 5, et relève également du Règlement (UE) 2017/745 sur les dispositifs médicaux.
Cartographie des supervisons
| Phase | Acteur | Action concrète |
|---|---|---|
| Avant | Radiologue | Vérifie la qualité de l'image et le bon paramétrage du protocole |
| Pendant | Radiologue | Lit la zone surlignée par l'IA et le score de confiance |
| Après | Radiologue + médecin référent | Décide ou non de suivre la suggestion, motive la décision dans le compte rendu |
| Hors flux | Responsable qualité | Audit mensuel des cas où la suggestion IA a été écartée |
Mécanisme d'intervention : le radiologue peut désactiver la couche IA pour un cas donné via un bouton de l'interface. Le système ne déclenche aucune action automatique : il propose, l'humain dispose.
Risque de biais d'automatisation : l'éditeur formera les radiologues à examiner systématiquement les zones non surlignées par l'IA pour détecter les faux négatifs. Une métrique de « taux de désaccord » est suivie pour s'assurer que les utilisateurs gardent leur esprit critique.
Ce schéma se transpose, avec des ajustements, à un système de scoring crédit (avec un chargé clientèle comme superviseur) ou à un outil de tri de CV (avec un recruteur formé).
7. Ressources pour les PME
Plusieurs ressources gratuites peuvent être mobilisées avant d'investir dans un accompagnement payant.
- Fiches pratiques CNIL : la CNIL publie 13 fiches dédiées à l'IA, dont plusieurs abordent la supervision humaine et la documentation associée.
- AI Act Service Desk : portail de la Commission européenne avec FAQ, outils d'auto-évaluation et points de contact nationaux.
- Guide Cigref AI Act (janvier 2025) — perspective grands comptes mais grilles transposables.
- Guide Numeum AI Act (mars 2025) — orientation éditeurs et ESN.
- ISO/IEC 42001:2023 — disponible sur le site ISO, à acquérir auprès de l'AFNOR pour la version française.
Pour la cartographie des autorités sectorielles compétentes (ACPR pour la finance, ANSM pour la santé, ARCEP pour les télécoms), consultez la page sources officielles regulia.
8. Échéancier d'implémentation
Le calendrier d'application de l'AI Act est échelonné. Pour l'Article 14, les obligations applicables aux systèmes à haut risque entrent en vigueur le 2 août 2026 pour la majorité des cas (Art. 113), avec une extension au 2 août 2027 pour les systèmes intégrés à des produits déjà couverts par une législation d'harmonisation.
Voici un plan d'action sur 18 mois pour une PME qui démarre.
| Mois | Étape | Livrable |
|---|---|---|
| M1-M2 | Cartographier les systèmes d'IA déployés ou en projet | Registre interne d'IA |
| M3 | Qualifier le niveau de risque selon l'Annexe III | Tableau de classification |
| M4-M5 | Identifier les rôles de supervision | Fiches de poste superviseur |
| M6-M7 | Concevoir l'interface et les mécanismes d'arrêt | Spécification fonctionnelle |
| M8-M9 | Rédiger la documentation Article 14 | Pack documentaire |
| M10-M11 | Former les superviseurs | Attestations de formation |
| M12 | Audit interne blanc | Rapport d'écarts |
| M13-M15 | Corriger les écarts | Plan d'action soldé |
| M16-M18 | Audit final et préparation marquage CE si fournisseur | Déclaration de conformité |
Une PME qui démarre tard peut compresser ce calendrier, mais la formation des superviseurs et la collecte des preuves d'intervention exigent du temps réel — il n'y a pas de raccourci possible.
Besoin d'un échéancier personnalisé ?
regulia construit pour vous un plan de conformité Article 14 adapté à votre secteur, votre taille et votre maturité IA. Pack complet : registre, procédures, fiches de poste, formation des superviseurs, modèle de journal d'intervention.
Obtenir mon plan de conformitéFAQ — Article 14 et supervision humaine
Quels systèmes d'IA sont concernés par l'Article 14 ?
L'Article 14 s'applique aux systèmes d'IA à haut risque listés à l'Annexe III du Règlement (UE) 2024/1689 et à ceux qui sont intégrés comme composants de sécurité de produits déjà régulés (Art. 6). Cela inclut notamment les outils RH automatisés, le scoring crédit aux particuliers, les dispositifs médicaux assistés par IA, certains systèmes éducatifs et les outils d'aide à la décision judiciaire ou administrative.
Quelles sont les sanctions pour non-conformité ?
Le défaut de supervision humaine relève de l'Article 99, par. 4. L'amende peut atteindre 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu — sauf pour les PME, qui bénéficient du plafond le plus bas selon l'Article 99, par. 6. Le retrait du marché et l'engagement de la responsabilité civile s'ajoutent au risque financier.
Comment documenter la supervision humaine ?
La documentation doit couvrir cinq volets : identification des superviseurs, description des mécanismes techniques (interface, arrêt), procédure d'intervention, plan de formation, journal d'intervention horodaté. La forme n'est pas imposée par l'AI Act, mais ISO/IEC 42001:2023 et les fiches pratiques de la CNIL fournissent des trames utilisables.
Quelle est la différence entre supervision et contrôle ?
La supervision humaine au sens de l'Article 14 est une fonction continue, intégrée à la conception du système, qui s'exerce avant, pendant et après l'exécution. Le contrôle ponctuel ne suffit pas : l'AI Act exige que le superviseur conserve à tout moment la possibilité d'interrompre le système (Art. 14, par. 4 (e)) et la conscience du risque de biais d'automatisation (Art. 14, par. 4 (b)).
Où trouver des ressources pratiques pour les PME ?
Trois ressources de référence : les fiches pratiques de la CNIL (cnil.fr), l'AI Act Service Desk de la Commission européenne, et la norme ISO/IEC 42001:2023. Pour les définitions de termes, le glossaire regulia constitue un point d'entrée francophone. Les autorités sectorielles compétentes sont listées dans nos sources officielles.
Sources officielles
- Règlement (UE) 2024/1689 — texte officiel sur EUR-Lex
- Texte consolidé de l'AI Act
- AI Act Service Desk — Commission européenne
- CNIL — fiches pratiques IA
- ISO/IEC 42001:2023 — Artificial Intelligence Management System (AFNOR / ISO)
- ISO/IEC 23894:2023 — Information technology — Artificial intelligence — Guidance on risk management
Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.