Article 72 AI Act : plan de monitoring post-mise sur le marché pour les PME

Q: Quel est le délai minimum pour mettre en place un plan de monitoring ?

Les PME doivent déployer un plan de monitoring dès la mise sur le marché de leur système d'IA de haut risque. La surveillance doit commencer immédiatement et se poursuivre au moins 6 mois après le déploiement, avec des audits annuels obligatoires.

Q: Quelles sont les conséquences d'une non-conformité pour une PME ?

Les sanctions peuvent atteindre 7% du chiffre d'affaires annuel (Article 63 AI Act). Pour les systèmes de haut risque, des amendes jusqu'à 35 millions d'euros sont prévues. La CNIL peut également imposer des mesures correctives urgentes.

Q: Dois-je engager un expert pour le monitoring ?

Pour les PME, une approche proportionnelle est recommandée. Si les ressources internes sont insuffisantes, un expert externe peut être nécessaire pour les audits techniques ou les tests de conformité. L'ISO 42001:2023 conseille une évaluation des compétences internes avant de recourir à des tiers.

Q: Quels indicateurs clés dois-je surveiller ?

Surveillez les indicateurs de performance (ex: précision des prédictions), de sécurité (ex: temps de réponse aux anomalies), et d'impact sociétal (ex: biais détectés). La CNIL recommande également de suivre les temps de résolution des incidents et la conformité aux droits des personnes.

Q: Comment documenter le monitoring pour une PME ?

Documentez les procédures de surveillance, les indicateurs suivis, les résultats des audits et les actions correctives. Utilisez des outils simples comme des tableaux de bord numériques. La CNIL préconise un registre des anomalies avec date, gravité et mesures prises.

L'essentiel en 30 secondes

L'Article 72 du Règlement (UE) 2024/1689 impose aux fournisseurs de systèmes d'IA à haut risque un plan de surveillance après commercialisation (post-market monitoring).
Le plan doit être proportionné à la nature du système et documenté avant la mise sur le marché.
Les PME bénéficient de modalités allégées prévues à l'Art. 72(1) et à l'Art. 62, mais l'obligation reste entière.
Les incidents graves doivent être signalés sous 15 jours (Art. 73), 2 jours en cas d'atteinte aux droits fondamentaux.
Le non-respect expose à des amendes jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial (Art. 99).
Un acte d'exécution de la Commission fixera le modèle type du plan avant le 2 février 2026 [à vérifier].

1. Contexte réglementaire : l'obligation de l'Article 72

L'Article 72 du Règlement (UE) 2024/1689, dit EU AI Act, structure la surveillance des systèmes d'IA après leur mise sur le marché. Cette obligation cible les fournisseurs de systèmes classés à haut risque au titre de l'Annexe III du règlement.

L'objectif est précis : détecter en continu les dérives de performance, les biais émergents et les risques pour la santé, la sécurité ou les droits fondamentaux. La conformité initiale ne suffit plus. Elle doit être prouvée tout au long du cycle de vie du système.

L'Art. 72(1) dispose que le fournisseur établit un système de surveillance « proportionné à la nature des technologies d'intelligence artificielle et aux risques du système d'IA à haut risque ». Pour les PME françaises, cette proportionnalité est une porte d'entrée concrète à exploiter.

Qui est concerné dans une PME ?

Acteur	Obligation Art. 72	Périmètre
Fournisseur (développeur ou intégrateur sous sa marque)	Plan complet + signalement Art. 73	Conception, déploiement, suivi
Déployeur (utilisateur professionnel)	Coopération + journaux Art. 26	Usage opérationnel
Distributeur / importateur	Information du fournisseur en cas d'anomalie	Chaîne de valeur
Mandataire UE (si fournisseur hors UE)	Conservation du plan 10 ans	Représentation

Une PME qui développe un outil de scoring RH ou un assistant médical est fournisseur au sens de l'Art. 3(3). Une PME qui se contente d'utiliser ChatGPT pour rédiger ses offres est déployeur au sens de l'Art. 3(4). Les deux régimes ne se confondent pas.

Pour un panorama complet des obligations applicables aux PME, consultez notre guide AI Act pour les PME françaises.

2. Contenu essentiel du plan de monitoring

Le plan post-MoM n'est pas un document générique. Il doit décrire comment le fournisseur collecte, analyse et exploite les données opérationnelles pour évaluer la conformité continue avec les exigences du Chapitre III du règlement.

Composantes minimales attendues

Description du système surveillé : version, périmètre d'usage prévu, classification haut risque, identifiants techniques.
Indicateurs clés : précision, taux de faux positifs/négatifs, latence, dérive des données (data drift), stabilité du modèle.
Sources de données de surveillance : logs applicatifs, retours utilisateurs, signalements internes, indicateurs métier.
Méthodes d'analyse : fréquence, seuils d'alerte, responsables désignés.
Procédures correctives : mise à jour modèle, retrait temporaire, communication aux déployeurs.
Mécanisme de signalement : circuit interne et liaison avec l'autorité de surveillance (en France, la CNIL pour l'essentiel des cas civils, secteur par secteur sinon).
Documentation associée : registre des incidents, journal des versions, preuves d'audit.

L'Art. 72(2) précise que le plan « est documenté dans la documentation technique visée à l'Annexe IV ». Il fait donc partie intégrante du dossier de conformité présenté lors d'un contrôle.

Distinction entre monitoring continu et audit ponctuel

Dimension	Monitoring continu (Art. 72)	Audit annuel
Fréquence	Permanente (logs, alertes)	Périodique
Acteur	Équipe IA / DPO interne	Tiers indépendant ou interne formel
Objectif	Détecter les dérives	Valider la conformité globale
Sortie	Tableau de bord opérationnel	Rapport formel daté et signé
Trigger	Seuils automatiques	Calendrier ou incident grave

Les deux dispositifs sont complémentaires. Le monitoring détecte, l'audit certifie.

3. Exigences spécifiques pour les PME

L'AI Act prévoit explicitement un régime adapté aux petites structures. L'Art. 62 demande aux États membres et au Bureau de l'IA de mettre à disposition des canaux d'information dédiés et un accès prioritaire aux bacs à sable réglementaires (Art. 57).

Proportionnalité concrète

Pour une PME, la proportionnalité signifie trois choses :

Réduire le volume documentaire sans réduire la traçabilité. Un fichier de suivi structuré peut suffire si les preuves sont datées et conservées.
Concentrer les ressources sur les risques critiques. Un système de tri de CV nécessite un suivi des biais protégés (genre, âge, origine). Un assistant rédactionnel interne nécessite un suivi des fuites de données.
Mutualiser quand c'est possible. La norme ISO/IEC 42001:2023 prévoit explicitement des contrôles graduables selon la taille de l'organisation.

Tableau de proportionnalité indicatif

Taille PME	Fréquence revue indicateurs	Audit externe	Outillage minimal
10-49 salariés	Trimestrielle	Optionnel sauf secteur régulé	Tableur structuré + logs
50-99 salariés	Mensuelle	Recommandé tous les 2 ans	Outil de MLOps simple
100-250 salariés	Mensuelle + alertes temps réel	Annuel	Plateforme MLOps + GRC

Ces ordres de grandeur reflètent une lecture proportionnée du règlement et ne sont pas des seuils légaux [à vérifier auprès du Bureau de l'IA].

La CNIL, dans ses fiches pratiques IA, insiste sur l'idée que la qualité prime sur la quantité documentaire. Une PME n'a pas besoin de cent pages de plan. Elle a besoin d'un plan qu'elle exécute réellement.

Modèle de plan post-MoM prêt à l'emploi

regulia met à disposition un pack documentaire Article 72 adapté aux PME : trame de plan, registre des incidents, modèle de signalement Art. 73 et matrice de KPI par secteur.

Demander le pack documentaire Article 72

4. Durée et fréquence du monitoring

L'Article 72 n'impose pas une durée fixe unique. Il exige que le monitoring couvre toute la durée de vie du système d'IA à haut risque, depuis sa mise sur le marché jusqu'à son retrait définitif.

Repères opérationnels

Période minimale active : tant que le système est commercialisé et utilisé en production.
Conservation des logs : au moins 6 mois (Art. 12 et Art. 19), souvent étendue à la durée d'utilisation pour les usages critiques.
Conservation de la documentation technique : 10 ans après la mise sur le marché (Art. 18).
Audits internes : fréquence à définir, l'usage retient un rythme annuel minimal pour les systèmes haut risque.
Revues de plan : à chaque modification substantielle du système (nouvelle version, changement de dataset d'entraînement, élargissement d'usage).

Événements déclencheurs d'une mise à jour du plan

Événement	Action attendue
Incident grave (Art. 3(49))	Signalement Art. 73 + revue du plan
Nouvelle version majeure du modèle	Réévaluation conformité + nouveau plan
Changement de finalité ou de population cible	Reclassification + nouveau plan
Publication d'une norme harmonisée nouvelle	Alignement progressif documenté
Alerte du Bureau de l'IA ou d'une autorité	Réponse documentée dans le délai imposé

La règle est simple : tant que le système vit, le plan vit avec lui.

5. Outils et méthodologies recommandés

L'Art. 72 ne prescrit pas d'outil. Il prescrit un résultat : une capacité de surveillance fiable, traçable et exploitable. Le choix des outils relève de la PME, en cohérence avec ses moyens.

Trois approches selon la maturité

Approche 1 — PME peu outillée - Tableur structuré avec logs d'exécution exportés - Registre des incidents au format CSV ou wiki interne - Réunion mensuelle de revue avec compte-rendu signé

Approche 2 — PME en croissance - Outil de MLOps (MLflow, DVC, Weights & Biases) pour le suivi des versions - Outil de monitoring applicatif (Grafana, Datadog) pour les métriques opérationnelles - Procédure documentée dans une plateforme GRC légère

Approche 3 — PME mature ou secteur régulé - Plateforme intégrée de gouvernance IA alignée ISO/IEC 42001:2023 - Tests de robustesse et fairness automatisés (ex. Fairlearn, AIF360) - Audit externe annuel pour les systèmes Annexe III

Méthodologies de référence

ISO/IEC 42001:2023 : système de management de l'IA, clause 9 (évaluation des performances) et clause 10 (amélioration continue).
ISO/IEC 23894:2023 : gestion des risques liés à l'IA.
ISO/IEC 27001:2022 : sécurité de l'information, indispensable pour la protection des logs.
NIST AI RMF 1.0 : référentiel volontaire, utile pour structurer la fonction Manage.

Ces référentiels ne sont pas obligatoires, mais leur adoption documentée constitue un gain probatoire majeur en cas de contrôle.

6. Documentation et rapporting

La documentation est le cœur de la preuve. Sans elle, le plan n'existe pas juridiquement.

Pièces minimales à produire et conserver

Plan de surveillance post-commercialisation signé et versionné.
Registre des indicateurs : valeurs mesurées, seuils, dates.
Registre des incidents : description, gravité, mesures correctives, date de résolution.
Rapports périodiques de surveillance : trimestriels ou annuels selon la taille.
Preuves de communication : notifications aux déployeurs, signalements aux autorités.
Documentation technique Annexe IV mise à jour.

Mécanisme de signalement (Art. 73)

L'Article 73 du Règlement (UE) 2024/1689 distingue plusieurs délais selon la nature de l'incident :

Type d'incident	Délai de signalement	Autorité
Incident grave standard	15 jours après prise de connaissance	Autorité de surveillance du marché
Atteinte généralisée aux droits fondamentaux	2 jours	Autorité compétente
Décès	10 jours	Autorité compétente
Infrastructure critique perturbée	Immédiat	Autorité compétente

Ces délais sont impératifs. Un retard injustifié peut être interprété comme un manquement autonome à l'Art. 73, en plus du manquement éventuel à l'Art. 72.

Articulation avec le RGPD

Si l'incident implique des données personnelles, l'obligation de notification CNIL sous 72 heures prévue à l'article 33 du RGPD s'ajoute, sans s'y substituer. Les deux régimes coexistent.

7. Exemples concrets pour les PME

Cas 1 — PME de 45 salariés, chatbot de support client

Un éditeur SaaS déploie un chatbot basé sur un modèle de langage fine-tuné. Le système n'est pas listé en Annexe III, donc pas à haut risque. L'Art. 72 ne s'applique pas en tant que tel, mais l'Art. 50 sur la transparence oui.

Bonne pratique volontaire : suivi mensuel des hallucinations, des fuites de données et des taux d'escalade vers un humain. Documentation légère mais traçable.

Cas 2 — PME de 80 salariés, outil de tri de CV

Le système relève de l'Annexe III, point 4(a) : recrutement. L'Art. 72 s'applique pleinement.

Plan post-MoM minimal : - KPI : taux de sélection par genre, âge, origine perçue (proxies analysés trimestriellement) - KPI : taux de plaintes candidats - Trigger : écart > 10 % entre groupes protégés déclenche une revue - Documentation : rapport annuel + registre des plaintes - Revue : audit externe biais tous les 24 mois

Cas 3 — PME de 200 salariés, dispositif d'aide au diagnostic médical

Système Annexe III, point 5(a) ET dispositif médical au sens du Règlement (UE) 2017/745. Double régime.

Plan post-MoM renforcé : - Articulation avec le plan de surveillance après commercialisation MDR (Art. 83 MDR) - Indicateurs cliniques + indicateurs IA (performance, dérive) - Signalement ANSM ET autorité AI Act - Audit externe annuel obligatoire en pratique - Conservation 15 ans (régime MDR plus strict que régime AI Act)

Pour anticiper les conséquences financières d'un manquement, voir notre dossier sanctions et amendes AI Act pour les PME.

8. Sanctions et responsabilités

Le manquement à l'Article 72 entre dans le régime de l'Art. 99 du Règlement (UE) 2024/1689.

Plafonds applicables

Type de manquement	Plafond amende
Pratiques interdites (Art. 5)	35 M€ ou 7 % du CA annuel mondial
Manquement aux obligations fournisseur haut risque (dont Art. 72)	15 M€ ou 3 % du CA annuel mondial
Fourniture d'informations inexactes aux autorités	7,5 M€ ou 1 % du CA annuel mondial

L'Art. 99(6) précise que pour les PME et les start-up, le montant le plus bas entre la valeur fixe et le pourcentage du CA s'applique. C'est un correctif important : une PME française réalisant 5 M€ de CA verra le plafond ramené à 150 000 € pour un manquement à l'Art. 72 (3 % de 5 M€), et non à 15 M€.

Responsabilités internes

Dirigeant : responsabilité ultime de la conformité de l'entreprise.
DPO : information et alerte si données personnelles concernées (RGPD art. 39).
Responsable technique IA : exécution opérationnelle du plan.
Conseil d'administration : supervision si la structure le prévoit.

L'absence de plan post-MoM documenté est l'un des manquements les plus simples à constater pour une autorité. Un contrôle peut se limiter à demander le plan, son journal d'exécution et le registre des incidents.

Impact sur la certification

Une certification ISO/IEC 42001:2023 sans plan de monitoring opérationnel est techniquement impossible : la clause 9 du référentiel impose une mesure continue. Un manquement à l'Art. 72 fragilise donc à la fois la conformité réglementaire et la position commerciale de la PME face à ses clients exigeants.

Auditez votre conformité Article 72 en 20 minutes

regulia propose un diagnostic gratuit de votre dispositif de monitoring post-mise sur le marché : analyse de votre plan actuel, identification des écarts, recommandations priorisées.

Demander mon diagnostic gratuit

FAQ

Quel est le délai minimum pour mettre en place un plan de monitoring ?

Le plan doit exister avant la mise sur le marché du système d'IA à haut risque. Il fait partie de la documentation technique exigée à l'Annexe IV. Pour les systèmes haut risque, les obligations deviennent applicables à compter du 2 août 2026, avec un délai étendu pour certains systèmes intégrés à des produits régulés (jusqu'au 2 août 2027). La conservation des logs et de la documentation court ensuite pendant toute la vie du système et jusqu'à 10 ans après son retrait.

Quelles sont les conséquences d'une non-conformité pour une PME ?

L'Art. 99(4) prévoit une amende jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu — sauf pour les PME et start-up, pour lesquelles l'Art. 99(6) impose au contraire le montant le plus bas. S'ajoutent des mesures correctives, le retrait possible du marché et un impact réputationnel. La CNIL et les autorités sectorielles (ACPR, ANSM, ARCEP, ARCOM) peuvent agir selon le secteur concerné.

Dois-je engager un expert pour le monitoring ?

Pas systématiquement. L'Art. 72 demande une surveillance proportionnée. Pour les systèmes à risque modéré et les PME outillées en interne, un dispositif maison peut suffire. Pour les systèmes critiques (santé, justice, accès aux services essentiels), un audit externe périodique est fortement recommandé. L'ISO/IEC 42001:2023 invite à formaliser une matrice de compétences avant de décider.

Quels indicateurs clés dois-je surveiller ?

Trois familles à minima : performance (précision, rappel, F1-score, dérive), sécurité et robustesse (taux d'erreur en production, temps de récupération après incident, tentatives d'attaque adversariale), droits fondamentaux (biais entre groupes protégés, taux de réclamation, recours humains exercés). La sélection précise dépend du cas d'usage et doit être justifiée dans le plan.

Comment documenter le monitoring pour une PME ?

Trois principes : traçabilité (chaque mesure datée et attribuable), reproductibilité (méthode décrite assez précisément pour qu'un tiers puisse la rejouer), proportionnalité (volume documentaire adapté au risque). Un tableau de bord exporté mensuellement, un registre des incidents structuré et un rapport annuel signé constituent un socle solide pour la plupart des PME. Voir le glossaire regulia pour les définitions techniques.

Sources officielles

Règlement (UE) 2024/1689 — texte intégral sur EUR-Lex
Bureau de l'IA — AI Act Service Desk de la Commission européenne
CNIL — systèmes d'intelligence artificielle, fiches pratiques
CNIL — loi numérique et IA
ISO/IEC 42001:2023 — Information technology — Artificial intelligence — Management system (norme payante, ISO)
ISO/IEC 23894:2023 — Information technology — Artificial intelligence — Guidance on risk management
Cigref — Guide AI Act janvier 2025 [à vérifier]
Numeum — Guide AI Act mars 2025 [à vérifier]

Pour approfondir le cadre général, consultez notre pilier AI Act PME France et notre page de sources officielles.

Avertissement. Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.