Article 9 AI Act : système de gestion des risques cycle de vie pour les PME

Q: Quelles sont les principales obligations de l'article 9 pour une PME ?

Une PME doit mettre en place un système de gestion des risques (SGR) pour chaque IA de risque élevé qu'elle développe ou utilise. Cela inclut l'identification des risques, la mise en place de mesures d'atténuation, la documentation et la mise à jour régulière du SGR. Les sanctions pour non-conformité peuvent être importantes, jusqu'à 7% du chiffre d'affaires mondial.

Q: Quels sont les risques liés à une non-conformité avec l'article 9 ?

Les sanctions pour non-conformité avec l'AI Act peuvent atteindre 7% du chiffre d'affaires mondial pour les infractions répétées (art. 64, paragraphe 1). Pour les PME, cela peut représenter des millions d'euros. En plus des amendes, les entreprises peuvent faire l'objet de procédures judiciaires et de restrictions d'exportation.

Q: Comment les PME peuvent-elles se conformer avec des ressources limitées ?

Les PME peuvent adopter une approche progressive : commencer par cartographier leurs IAs de risque élevé, puis mettre en place les processus clés (identification des risques, mesures d'atténuation) avant de documenter et former le personnel. Le service desk européen et la CNIL offrent des guides spécifiques aux PME pour optimiser les ressources.

Q: Quelle documentation est requise pour prouver la conformité ?

Les PME doivent tenir des registres détaillés des risques identifiés, des preuves des mesures d'atténuation appliquées, des rapports d'audit internes et externes, et des plans de formation. Toute documentation doit être conservée pendant 5 ans minimum (art. 9, paragraphe 3).

Q: Quelles sont les étapes pour mettre en place un SGR conforme ?

Les étapes clés sont : 1) Cartographier les IAs de risque élevé, 2) Identifier les risques spécifiques, 3) Mettre en place des mesures d'atténuation, 4) Documenter les processus, 5) Former le personnel, 6) Mettre en place des mécanismes de surveillance, et 7) Réaliser des audits réguliers pour améliorer le système.

TL;DR — L'essentiel en 30 secondes

L'Article 9 du Règlement (UE) 2024/1689 impose aux fournisseurs d'IA à haut risque de mettre en place un système de gestion des risques (SGR) couvrant tout le cycle de vie du système.
Le SGR doit identifier, évaluer, atténuer et documenter les risques de manière itérative et continue.
La documentation produite alimente directement la documentation technique exigée à l'Article 11 et les obligations de surveillance post-commercialisation (Article 72).
Les sanctions pour non-conformité aux exigences applicables aux systèmes à haut risque peuvent atteindre 15 M€ ou 3 % du chiffre d'affaires mondial annuel (Art. 99).
La CNIL publie des fiches pratiques pour cadrer l'analyse des risques côté RGPD.
L'AI Office EU met à disposition un service desk dédié aux PME pour faciliter la mise en conformité.

1. Contexte réglementaire : l'Article 9 de l'AI Act

L'Article 9 du Règlement (UE) 2024/1689 — connu sous le nom d'AI Act — constitue la pierre angulaire des obligations qui pèsent sur les fournisseurs de systèmes d'IA classés à haut risque. Il définit le périmètre, la nature et la finalité du système de gestion des risques (SGR) à déployer avant la mise sur le marché.

Les systèmes d'IA à haut risque sont listés à l'Annexe III du Règlement. Ils couvrent notamment :

les logiciels de recrutement et de tri de candidatures (Annexe III, point 4) ;
les systèmes d'évaluation de la solvabilité ou de scoring de crédit (Annexe III, point 5) ;
les systèmes utilisés dans l'éducation, l'accès aux services essentiels, la justice ou la gestion des infrastructures critiques.

Pour ces systèmes, l'Article 9 impose explicitement « un système de gestion des risques » couvrant l'ensemble du cycle de vie du système d'IA à haut risque. L'obligation pèse en priorité sur le fournisseur — celui qui développe et met sur le marché — mais les déployeurs (utilisateurs professionnels) doivent collaborer étroitement, notamment au titre de l'Article 26.

Vous découvrez le sujet ? Commencez par notre panorama complet AI Act et PME françaises avant de poursuivre.

2. Qu'est-ce qu'un système de gestion des risques (SGR) pour l'IA ?

Un SGR n'est pas un simple document. C'est un processus itératif et planifié qui s'exécute en continu pendant toute la durée de vie du système d'IA. L'Article 9, paragraphe 2, le décrit comme un cycle structuré comportant :

l'identification et l'analyse des risques connus et raisonnablement prévisibles que le système peut faire peser sur la santé, la sécurité et les droits fondamentaux ;
l'estimation et l'évaluation des risques qui peuvent émerger lors de l'utilisation conforme à la destination prévue, ainsi que dans des conditions de mauvaise utilisation raisonnablement prévisible ;
l'évaluation d'autres risques pouvant survenir sur la base de l'analyse des données collectées via le système de surveillance après commercialisation (Art. 72) ;
l'adoption de mesures appropriées et ciblées de gestion des risques.

L'objectif est triple : garantir la conformité réglementaire, protéger les personnes affectées et fournir une traçabilité auditable aux autorités de surveillance du marché.

Le SGR alimente plusieurs autres briques documentaires : la documentation technique (Art. 11), la déclaration de conformité UE (Art. 47), les logs (Art. 12), et la notice d'utilisation transmise au déployeur (Art. 13).

3. Les 4 piliers de l'Article 9 : exigences clés

Le texte de l'Article 9 peut se lire à travers quatre piliers opérationnels que toute PME fournisseur doit maîtriser.

Pilier	Exigence Article 9	Livrable attendu
Identification	Recenser tous les risques prévisibles	Cartographie des risques signée et datée
Atténuation	Concevoir et tester des mesures correctives	Plan d'actions techniques et organisationnelles
Information	Fournir aux déployeurs les éléments nécessaires	Notice d'utilisation + documentation technique
Surveillance	Réviser le SGR en continu	Procès-verbaux de revue, journaux d'incidents

L'Article 9, paragraphe 5, précise que les mesures retenues doivent éliminer ou réduire les risques « autant que techniquement possible », puis prévoir des mesures d'atténuation pour les risques résiduels qui ne peuvent pas être supprimés. Le fournisseur ne peut pas se contenter de signaler un risque : il doit prouver qu'il a tout fait pour le neutraliser.

Cette logique rejoint la philosophie de la norme ISO/IEC 42001:2023 (système de management de l'IA), qui constitue le référentiel privilégié pour structurer un SGR auditable.

4. Cycle de vie de l'IA : couverture obligatoire du SGR

L'Article 9, paragraphe 2, le martèle : le SGR couvre « l'ensemble du cycle de vie » du système d'IA. Cette exigence dépasse largement la phase de développement.

Phase du cycle	Actions SGR	Documents produits
Conception	Analyse des cas d'usage, identification des données sensibles	Note de cadrage, analyse d'impact
Développement	Sélection des jeux de données, tests adverses, évaluation des biais	Rapports de tests, registre de versions
Validation pré-marché	Évaluation de la conformité, tests en conditions réelles	Dossier technique, déclaration UE
Mise sur le marché	Notice d'utilisation, formation des déployeurs	Manuel utilisateur, supports de formation
Exploitation	Surveillance, logs, gestion des incidents	Journaux, tickets, rapports d'incidents
Mises à jour	Réévaluation des risques à chaque évolution substantielle	Avenants au dossier technique
Fin de vie	Décommissionnement, archivage, notification	Procès-verbal de retrait

Une PME qui développe par exemple un outil de tri automatisé de CV doit donc rejouer son analyse de risques à chaque mise à jour du modèle, à chaque modification des données d'entraînement, et à chaque changement réglementaire (par exemple une décision du Conseil constitutionnel ou une recommandation CNIL).

Auditez votre conformité Article 9 en 24 h

regulia propose un pack documentaire SGR conforme à l'Article 9 et alignement ISO/IEC 42001:2023, prêt à adapter à votre cas d'usage.

Demander le pack SGR Article 9

5. Documentation et enregistrement : preuves nécessaires

La documentation est l'épine dorsale du SGR. Sans preuves écrites, datées et accessibles, la conformité ne peut être démontrée à l'autorité nationale compétente.

L'Article 9 doit se lire en miroir de l'Article 11 (documentation technique), de l'Article 12 (tenue de registres / logs automatiques) et de l'Article 18 (conservation de la documentation).

L'Article 18 fixe une durée de conservation de 10 ans à compter de la mise sur le marché ou de la mise en service du système d'IA à haut risque. Cette obligation s'applique à la documentation technique, à la documentation du système qualité (Art. 17) et aux décisions des organismes notifiés.

Documents minimaux à conserver :

la cartographie initiale des risques et ses révisions successives ;
les rapports de tests (robustesse, précision, cybersécurité au titre de l'Art. 15) ;
la trace écrite des choix d'atténuation et des risques résiduels acceptés ;
les procès-verbaux des revues périodiques de SGR ;
les journaux d'incidents et les notifications transmises aux autorités au titre de l'Article 73 (incidents graves).

Pour comprendre l'articulation de ces obligations avec le risque financier, consultez notre analyse complète des sanctions AI Act pour les PME.

6. Formation et compétences : ressources humaines

L'Article 4 du Règlement impose une obligation transversale de maîtrise de l'IA (AI literacy) aux fournisseurs et déployeurs. Cette exigence s'applique au personnel qui développe, utilise ou surveille les systèmes d'IA, à proportion de son rôle et de son niveau d'exposition.

Côté SGR, trois profils sont incontournables dans une PME :

un responsable conformité IA (souvent rattaché au DPO ou au RSSI), garant du processus global ;
une équipe technique formée aux tests adverses, à l'évaluation des biais et à la cybersécurité des modèles ;
un référent métier capable de qualifier les usages réels et les dérives potentielles.

Les compétences clés à acquérir couvrent : sécurité des données (croisement avec ISO/IEC 27001:2022), éthique de l'IA, méthodologies d'évaluation des biais, et lecture critique des sorties d'un modèle.

Un budget formation est à prévoir dès la première année. Sans personnel formé, le SGR reste un document théorique — et l'autorité de surveillance pourra constater une non-conformité matérielle, indépendamment du dossier produit.

7. Évaluation des risques : méthodologie et outils

Aucune méthodologie unique n'est imposée par l'AI Act. Le fournisseur choisit son cadre, à condition que celui-ci permette de répondre aux exigences de l'Article 9. Trois référentiels font consensus.

Référentiel	Apport pour le SGR	Statut
ISO/IEC 42001:2023	Système de management de l'IA, gouvernance, rôles	Norme certifiable
ISO/IEC 23894:2023	Lignes directrices de management des risques IA	Norme guide
Fiches pratiques CNIL	Cadrage RGPD + IA, base légale, droits des personnes	Lignes directrices régulateur

La méthodologie type comprend :

Analyse des données d'entrée : qualité, représentativité, biais historiques.
Tests de robustesse : performance en conditions dégradées, attaques adverses.
Évaluation de l'équité : audit des biais sur variables sensibles (genre, origine, âge).
Tests d'explicabilité : capacité du système à justifier ses décisions.
Tests d'utilisation détournée : simulation des cas de mauvaise utilisation raisonnablement prévisible.

Exemple concret : pour un logiciel de scoring de crédit, l'évaluation doit mesurer le taux de refus différentiel par catégorie socio-démographique, comparer la performance sur des jeux de données représentatifs, et documenter les seuils retenus.

Le vocabulaire technique de référence est disponible dans notre glossaire AI Act.

8. Mises à jour et améliorations : processus de maintenance

Le SGR est vivant. L'Article 9, paragraphe 2, impose explicitement une révision « systématique » du système de gestion des risques.

Trois déclencheurs imposent une réévaluation :

une modification substantielle du système d'IA au sens de l'Art. 3, point 23 (réentraînement majeur, ajout de fonctionnalités, changement d'architecture) ;
un incident grave notifié au titre de l'Article 73 ;
une évolution réglementaire (acte délégué, décision d'une autorité, jurisprudence pertinente).

Bonnes pratiques de maintenance pour une PME :

planifier une revue annuelle obligatoire du SGR, avec procès-verbal signé par la direction ;
relier le SGR au système qualité (Art. 17) pour bénéficier d'une logique d'amélioration continue ;
maintenir un registre central des incidents internes, même non graves, pour détecter les signaux faibles ;
intégrer les retours du système de surveillance post-commercialisation (Art. 72) dans le processus de revue.

L'absence de mise à jour documentée constitue, en cas de contrôle, un motif suffisant pour conclure à une défaillance du SGR.

9. Coûts et ressources pour les PME : estimation et priorités

Le coût d'un SGR conforme dépend de la complexité du système d'IA et du niveau initial de maturité de l'entreprise. Les ordres de grandeur ci-dessous sont indicatifs [à vérifier selon le contexte de chaque PME].

Poste	Estimation an 1	Estimation an 2+
Audit et cartographie initiale	8 000 € — 25 000 €	3 000 € — 8 000 €
Outillage technique (tests, monitoring)	10 000 € — 40 000 €	5 000 € — 15 000 €
Formation du personnel	3 000 € — 12 000 €	1 500 € — 5 000 €
Documentation et templates	2 000 € — 10 000 €	500 € — 2 000 €
Audit externe ou organisme notifié	Variable selon Annexe VII	Variable

Pour optimiser le budget, une PME peut s'appuyer sur :

le service desk AI Act de la Commission européenne, gratuit et orienté PME ;
les fiches pratiques CNIL sur l'IA, qui couvrent l'articulation RGPD/AI Act ;
les bacs à sable réglementaires prévus à l'Article 57, qui permettent de tester un système d'IA sous supervision avant mise sur le marché ;
les packs documentaires mutualisés, qui réduisent le coût marginal de mise en conformité.

Priorisation recommandée : commencer par les systèmes à plus fort impact client (décisions individuelles automatisées), puis étendre progressivement aux usages internes.

Estimez votre budget conformité en 5 minutes

regulia met à disposition un outil de chiffrage et des modèles de SGR adaptés à la taille de votre PME et à votre secteur d'activité.

Obtenir mon estimation personnalisée

10. Conclusion : mise en œuvre progressive pour les PME

L'Article 9 n'impose pas un Big Bang. Il impose une démarche structurée, traçable et soutenable. Pour une PME, la mise en œuvre se planifie en quatre étapes.

Cartographier : identifier précisément les systèmes d'IA à haut risque utilisés, développés ou déployés. S'appuyer sur l'Annexe III et sur les exclusions de l'Article 6, paragraphe 3.
Structurer les processus clés : mettre en place l'identification, l'évaluation, l'atténuation et la documentation des risques. Aligner sur ISO/IEC 42001:2023.
Documenter et former : produire la documentation technique (Art. 11), former le personnel à la maîtrise de l'IA (Art. 4), tenir les registres.
Auditer et améliorer : organiser une revue annuelle, intégrer les retours de la surveillance post-commercialisation, ajuster le SGR à chaque modification substantielle.

La conformité à l'Article 9 n'est pas qu'une obligation juridique. Elle constitue aussi un avantage commercial : les grands donneurs d'ordre exigent désormais cette documentation dans leurs appels d'offres, et la maturité IA devient un critère de sélection fournisseur.

L'ensemble des sources officielles citées dans cet article est consolidé sur notre page sources et références AI Act.

FAQ — Questions fréquentes sur l'Article 9

Quelles sont les principales obligations de l'Article 9 pour une PME ?

Une PME fournisseur doit mettre en place un système de gestion des risques (SGR) pour chaque système d'IA à haut risque qu'elle développe. Ce SGR couvre tout le cycle de vie : identification des risques, mesures d'atténuation, documentation, formation et révisions périodiques. Les déployeurs PME ont des obligations connexes au titre de l'Article 26.

Quels sont les risques liés à une non-conformité avec l'Article 9 ?

Le non-respect des exigences applicables aux systèmes d'IA à haut risque (dont l'Article 9) est sanctionné au titre de l'Article 99 du Règlement (UE) 2024/1689. Les amendes peuvent atteindre 15 000 000 € ou 3 % du chiffre d'affaires mondial annuel total, le montant le plus élevé étant retenu. Les autorités peuvent en outre imposer le retrait du marché du système concerné.

Comment les PME peuvent-elles se conformer avec des ressources limitées ?

Une approche progressive est recommandée. Commencer par cartographier les IA à haut risque, mobiliser les fiches pratiques CNIL et le service desk AI Act, mutualiser les outils documentaires, et envisager le recours aux bacs à sable réglementaires (Art. 57). Les packs documentaires préétablis permettent d'éviter de partir de zéro.

Quelle documentation est requise pour prouver la conformité ?

La cartographie des risques, les rapports de tests, les preuves d'atténuation, les procès-verbaux de revue de SGR, les journaux d'incidents, et la documentation technique de l'Article 11. La durée de conservation est de 10 ans à compter de la mise sur le marché (Art. 18).

Quelles sont les étapes pour mettre en place un SGR conforme ?

Sept étapes structurantes : 1) cartographier les IA à haut risque ; 2) identifier les risques spécifiques ; 3) définir et tester les mesures d'atténuation ; 4) documenter les processus et les choix ; 5) former le personnel concerné ; 6) déployer la surveillance post-commercialisation ; 7) réviser annuellement le SGR et après chaque modification substantielle.

Sources officielles

Règlement (UE) 2024/1689 — texte officiel EUR-Lex
AI Act Service Desk — Commission européenne (ressources PME)
CNIL — fiches pratiques sur l'intelligence artificielle
CNIL — site institutionnel
ISO/IEC 42001:2023 — Information technology — Artificial intelligence — Management system
ISO/IEC 23894:2023 — Information technology — Artificial intelligence — Guidance on risk management
ISO/IEC 27001:2022 — Information security management systems

Disclaimer. Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.