L'essentiel en 30 secondes
- L'EU AI Act impose une supervision humaine pour tout système d'IA à haut risque (Article 14 du Règlement (UE) 2024/1689).
- Le déployeur doit confier cette supervision à des personnes compétentes, formées et dotées de l'autorité nécessaire (Art. 26, §2).
- La documentation technique et la journalisation des décisions sont obligatoires (Art. 11 et Art. 12).
- L'AI Act Service Desk de la Commission publie des ressources de conformité (ai-act-service-desk.ec.europa.eu).
- Les sanctions atteignent 3 % du chiffre d'affaires mondial pour la non-conformité d'un système à haut risque, avec un plafond adapté aux PME (Art. 99).
1. Comprendre les exigences légales
La supervision humaine n'est pas une bonne pratique facultative. C'est une obligation juridique pour les systèmes d'IA à haut risque.
Un système est classé « à haut risque » selon deux voies (Art. 6). Première voie : il sert de composant de sécurité d'un produit déjà réglementé (machines, dispositifs médicaux, jouets). Seconde voie : il figure dans les cas d'usage listés à l'Annexe III (recrutement, scoring de crédit, accès aux services essentiels, biométrie).
Pour ces systèmes, l'Article 14 exige une supervision humaine « effective » pendant toute la période d'utilisation. Le texte officiel demande que le système soit conçu pour permettre à une personne physique de comprendre ses capacités, de surveiller son fonctionnement et d'intervenir ou d'interrompre son exécution.
Le déployeur — c'est-à-dire la PME qui utilise le système — porte une obligation distincte. L'Art. 26, §2, impose de confier la supervision à des personnes disposant de « la compétence, la formation et l'autorité nécessaires ».
Enfin, la traçabilité est double. La documentation technique doit décrire les mesures de supervision (Art. 11 et Annexe IV). Les journaux d'événements doivent être conservés automatiquement (Art. 12).
| Exigence | Article | Qui est responsable |
|---|---|---|
| Classification haut risque | Art. 6 + Annexe III | Fournisseur, vérifié par le déployeur |
| Conception permettant la supervision | Art. 14 | Fournisseur |
| Affectation de superviseurs compétents | Art. 26, §2 | Déployeur (la PME) |
| Documentation des mesures | Art. 11, Annexe IV | Fournisseur, complété par le déployeur |
| Journalisation automatique | Art. 12 | Fournisseur, exploité par le déployeur |
Pour situer ces obligations dans le paysage réglementaire global, consultez notre guide pilier AI Act pour les PME françaises.
2. Méthodologies techniques de supervision
La supervision humaine s'appuie sur des dispositifs techniques concrets. Trois piliers structurent une surveillance efficace.
Surveillance des performances en temps réel. Le superviseur suit des indicateurs clés : taux de confiance des prédictions, dérive du modèle, distribution des données d'entrée. Une dérive signale que le modèle rencontre des cas éloignés de son entraînement.
Alertes automatiques sur anomalies. Des seuils déclenchent une notification quand une métrique sort de sa plage attendue. Exemple : un taux de rejet de crédit qui double en une semaine sans changement de politique.
Audit régulier des décisions. Un échantillon de décisions est réexaminé par un humain. L'objectif est de détecter les biais systématiques que les métriques agrégées masquent.
| Méthode | Fréquence type | Signal recherché |
|---|---|---|
| Monitoring temps réel | Continu | Dérive, pics d'anomalies |
| Alertes sur seuils | Automatique | Dépassement de bornes définies |
| Audit d'échantillon | Hebdomadaire à mensuel | Biais, erreurs récurrentes |
| Revue de sécurité | Trimestrielle | Robustesse, cybersécurité (Art. 15) |
Ces méthodes alimentent la surveillance après commercialisation prévue à l'Art. 72, qui impose au fournisseur un suivi actif du système déployé.
3. Cadre organisationnel
La technique ne suffit pas. La supervision exige une organisation claire.
Définir les rôles. Chaque système à haut risque doit avoir un superviseur désigné, un suppléant et un responsable d'escalade. Sans nom précis, la responsabilité se dilue.
Formaliser la décision humaine. Le superviseur doit pouvoir contredire la sortie de l'IA. On distingue trois modèles d'intervention.
| Modèle | Description | Cas d'usage adapté |
|---|---|---|
| Human-in-the-loop | Validation humaine avant chaque décision | Décisions à fort impact (santé, justice) |
| Human-on-the-loop | Surveillance continue, intervention possible | Systèmes temps réel à volume élevé |
| Human-in-command | Autorité de désactiver le système | Supervision stratégique globale |
Gérer les incidents. Un circuit de remontée relie le superviseur au responsable de conformité, puis à la direction. Ce circuit conditionne le respect des délais de signalement (Art. 73).
Structurez votre supervision humaine sans repartir de zéro
Le pack documentaire regulia inclut les modèles de procédure de supervision, la matrice des rôles et le registre de décisions, alignés sur l'Article 14.
Découvrir le pack complet4. Formation et compétences
L'Art. 26, §2, lie explicitement la supervision à la compétence. Un superviseur non formé ne remplit pas l'obligation légale.
Le programme de formation couvre trois axes. D'abord, les risques spécifiques du système supervisé : biais connus, limites d'entraînement, cas d'échec. Ensuite, la maîtrise des outils de surveillance et des tableaux de bord. Enfin, les procédures de décision et d'escalade.
La CNIL publie des fiches pratiques IA qui cadrent les attentes en matière de formation et de gouvernance. Consultez notre page sources pour les liens directs vers ces ressources officielles.
La mise à jour est essentielle. Un modèle évolue, ses risques aussi. Une révision annuelle du socle de formation constitue un minimum raisonnable [à vérifier selon le niveau de risque du système].
- Formation initiale avant toute prise de fonction de superviseur
- Mise à niveau à chaque évolution majeure du modèle
- Revue annuelle documentée des compétences
- Traçabilité des formations dans le dossier de conformité
Pour clarifier le vocabulaire technique employé ici, le glossaire regulia définit les termes clés de l'AI Act.
5. Outils et technologies
Les PME n'ont pas besoin d'infrastructures lourdes. Elles ont besoin d'outils proportionnés à leur risque.
Systèmes d'alerte et de surveillance. Ils captent les métriques du modèle et déclenchent des notifications. Des solutions open source (Grafana, Prometheus) suffisent souvent pour démarrer.
Tableaux de bord de performance. Ils agrègent les indicateurs dans une vue unique, lisible par un superviseur non technicien.
Outils de documentation et de reporting. Ils centralisent journaux, décisions et rapports pour répondre à une demande d'autorité.
| Besoin | Type d'outil | Exemple de solution |
|---|---|---|
| Collecte de métriques | Monitoring | Prometheus, solutions cloud du fournisseur |
| Visualisation | Tableau de bord | Grafana, outils intégrés |
| Journalisation (Art. 12) | Logging | Journaux système horodatés |
| Reporting réglementaire | Documentation | Registre structuré, gabarits |
L'AI Act Service Desk de la Commission européenne met à disposition des ressources d'orientation et des outils de conformité (ai-act-service-desk.ec.europa.eu). Vérifiez toujours la disponibilité et la portée exacte de chaque outil avant de vous y appuyer [à vérifier].
6. Documentation et reporting
La documentation transforme une pratique invisible en preuve opposable. Sans trace, la conformité n'existe pas aux yeux de l'autorité.
Journal de supervision. Il consigne qui a supervisé, quand, quelles anomalies ont été détectées et quelles actions ont suivi. Ce journal complète la journalisation automatique de l'Art. 12.
Rapports périodiques. Ils synthétisent l'activité de supervision pour la direction et, sur demande, pour l'autorité de surveillance du marché.
Archivage. Les décisions et actions doivent être conservées. La durée de conservation des journaux suit les exigences de l'Art. 12 et de la réglementation sectorielle applicable.
| Document | Contenu minimal | Fréquence |
|---|---|---|
| Journal de supervision | Superviseur, horodatage, anomalie, action | Continu |
| Rapport de synthèse | Indicateurs, incidents, décisions notables | Mensuel ou trimestriel |
| Dossier de conformité | Documentation technique, formations, audits | Tenu à jour en continu |
7. Gestion des incidents
Un incident IA n'est pas un simple bug. C'est un événement qui peut engager la responsabilité de la PME.
La procédure suit quatre étapes ordonnées.
- Détection et qualification. Le superviseur identifie l'anomalie et évalue sa gravité.
- Investigation. L'équipe analyse la cause racine : donnée aberrante, dérive du modèle, usage détourné.
- Correction et prévention. Une action corrective immédiate est appliquée, puis une mesure préventive durable.
- Communication. Les parties internes sont informées ; en cas d'incident grave, l'autorité est notifiée.
L'Art. 73 impose au fournisseur de signaler les incidents graves aux autorités de surveillance du marché. Le texte prévoit un signalement « immédiatement après » l'établissement du lien de causalité, et au plus tard dans un délai encadré par le règlement [à vérifier : délais précis selon la nature de l'incident, Art. 73].
Le déployeur qui constate un incident grave doit en informer le fournisseur et, le cas échéant, l'autorité. Une chaîne de communication définie à l'étape organisationnelle (section 3) évite tout dépassement de délai.
8. Audit et conformité
L'audit ferme la boucle. Il vérifie que la supervision fonctionne réellement, pas seulement sur le papier.
Audit interne régulier. La PME contrôle elle-même la tenue des journaux, la compétence des superviseurs et l'efficacité des alertes. Un rythme trimestriel est une base fréquemment retenue [à vérifier selon le risque].
Vérification par les autorités. Les autorités de surveillance du marché peuvent demander l'accès à la documentation et aux journaux. Un dossier de conformité à jour raccourcit ces contrôles.
Amélioration continue. Chaque audit produit des actions correctives, réintégrées dans le processus. La conformité n'est pas un état figé mais un cycle.
| Type de contrôle | Auteur | Objectif |
|---|---|---|
| Audit interne | PME | Vérifier l'efficacité opérationnelle |
| Contrôle marché | Autorité nationale | Vérifier la conformité légale |
| Revue d'amélioration | Responsable conformité | Corriger et prévenir |
Le non-respect de ces obligations expose la PME à des sanctions. Pour la non-conformité d'un système à haut risque, l'amende atteint 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu (Art. 99, §4). Le seuil supérieur de 35 millions d'euros ou 7 % vise les pratiques interdites de l'Art. 5. Pour les PME et jeunes entreprises, c'est le montant le plus bas qui s'applique (Art. 99, §6).
Le détail du barème et un calculateur figurent dans notre article dédié aux sanctions et amendes de l'AI Act pour les PME.
Passez de la théorie à un dossier de conformité prêt à présenter
regulia rassemble journaux de supervision, procédures d'incident et grille d'audit dans un pack aligné sur les Articles 14, 26 et 99. Prêt pour un contrôle.
Obtenir le pack de conformitéFAQ
Quels systèmes d'IA nécessitent une supervision humaine ?
Les systèmes classés à haut risque au sens de l'Art. 6 : composants de sécurité de produits réglementés, ou cas d'usage listés à l'Annexe III (recrutement, crédit, biométrie, accès aux services essentiels). La PME doit d'abord vérifier si son système entre dans ces catégories. Les ressources de l'AI Act Service Desk aident à cette qualification.
Quelle est la fréquence requise pour la supervision humaine ?
L'Art. 14 exige une supervision « effective » pendant toute l'utilisation. En pratique, elle est continue pour les systèmes temps réel et périodique pour les traitements par lots. La fréquence des audits doit être proportionnée au niveau de risque. Fixez-la dans votre procédure interne et documentez-la.
Comment former les superviseurs en IA ?
La formation couvre les risques du système, les outils de surveillance et les procédures de décision (exigence de compétence, Art. 26, §2). Les fiches pratiques de la CNIL fournissent un cadre de référence. Prévoyez une mise à jour au moins annuelle et conservez la preuve des formations dans votre dossier de conformité.
Quelles sont les conséquences d'une non-conformité ?
La non-conformité d'un système à haut risque expose à une amende de 15 M€ ou 3 % du chiffre d'affaires mondial (Art. 99, §4). Les autorités de surveillance du marché peuvent aussi exiger le retrait ou la mise en conformité du système. Pour les PME, le plafond retenu est le montant le plus bas (Art. 99, §6).
Où trouver des outils de supervision pour les PME ?
L'AI Act Service Desk de la Commission propose des ressources de conformité. Des outils open source comme Prometheus et Grafana permettent une surveillance proportionnée. Vérifiez la portée exacte de tout outil tiers avant de l'intégrer à votre dispositif réglementaire.
Sources officielles
- Règlement (UE) 2024/1689 (EU AI Act) — texte de référence : ai-act-service-desk.ec.europa.eu
- Voir aussi notre page sources consolidée et le glossaire regulia
Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.