📍82 Boulevard Haussmann, 75008 Paris

Demandez votre démo

Article 16 IA ACT : Obligations des fournisseurs de systèmes d’IA à haut risque

Table des matières

Explication de l’article

L’article 16 de l‘IA Act définit l’ensemble des obligations juridiques et organisationnelles qui incombent aux fournisseurs de systèmes d’IA à haut risque tout au long du cycle de vie du système.
Il constitue le socle opérationnel de conformité du règlement, en précisant ce que les fournisseurs doivent concrètement mettre en place pour garantir que leur système respecte les exigences des articles 8 à 15.

L’article 16 impose notamment :

  • la mise en œuvre effective de toutes les exigences techniques et organisationnelles prévues par le règlement ;
  • la responsabilité du fournisseur quant à la conformité du système avant et après sa mise sur le marché ;
  • l’obligation d’agir rapidement en cas de non-conformité ou de risque identifié.

Il ne s’agit donc pas seulement de concevoir un système conforme, mais de maintenir activement cette conformité dans le temps, y compris après le déploiement.

Notions clés à comprendre

Fournisseur : Entité qui développe/met en service le système sous son nom

Système d’IA à haut risque : Un système d’IA à haut risque est un système d’intelligence artificielle dont l’utilisation peut avoir un impact important sur la sécurité, les droits fondamentaux ou la vie des personnes. Autrement dit, ce sont des IA qui peuvent causer des dommages sérieux si elles fonctionnent mal ou sont mal utilisées

Conformité par design (by design) : Penser à toutes les règles de l’IA dès la création du système pour qu’il soit conforme dès le départ.

Actions correctives : Modifier, retirer ou rappeler un produit ou système s’il ne respecte pas les règles.

Notification risque grave : Prévenir rapidement les autorités si un système présente un danger sérieux.

Base de données UE : Inscrire certains systèmes d’IA dans une base européenne obligatoire (art. 49).

Coopération : Fournir tous les documents demandés par les autorités pour contrôler la conformité.

Marquage CE : Marque attestant que le système d’IA respecte l’ensemble des exigences applicables du règlement, condition indispensable à sa mise sur le marché dans l’UE.

Surveillance post-commercialisation : Mécanisme permanent permettant de détecter les dysfonctionnements, risques nouveaux ou dérives du système après son déploiement.

Actions correctives et mesures de retrait : Obligation d’agir sans délai lorsque le système présente un risque ou une non-conformité (correction, suspension, retrait du marché, information des autorités).

Exemple pratique

Une entreprise française crée un logiciel d’IA pour aider les banques à décider qui peut avoir un crédit.

Ce qu’elle doit faire pour gérer les risques :

  1. Vérifier que l’IA ne fait pas d’erreurs graves ou de discrimination.
  2. Mettre en place un contrôle humain pour superviser les décisions.
  3. Sécuriser les données et le système pour éviter les problèmes techniques ou les piratages.
  4. Documenter toutes ces mesures dans un plan de gestion des risques.

Si un problème apparaît (ex. l’IA discrimine certains clients) :

Corriger le logiciel rapidement.

Prévenir l’autorité française compétente (CNIL ou ACPR).

Pour être conforme à l’UE :

Enregistrer le logiciel, faire une évaluation, rédiger une déclaration CE et apposer le marquage CE. 

Vous ne connaissez pas les obligations légales des fournisseurs d’IA à haut risque ?
L’article 16 couvre toutes les obligations : conformité technique, gestion de la qualité, évaluation de conformité, marquage CE et coopération avec les autorités.
Clarifier mes obligations de fournisseur avec un expert

Texte original de l’IA Act

Article 16 – Obligations incombant aux fournisseurs de systèmes d’IA à haut risque

Les fournisseurs de systèmes d’IA à haut risque:

a)

veillent à ce que leurs systèmes d’IA à haut risque soient conformes aux exigences énoncées à la section 2;

b)

indiquent sur le système d’IA à haut risque ou, lorsque cela n’est pas possible, sur son emballage ou dans la documentation l’accompagnant, selon le cas, leur nom, raison sociale ou marque déposée, l’adresse à laquelle ils peuvent être contactés;

c)

mettent en place un système de gestion de la qualité conforme à l’article 17;

d)

assurent la conservation de la documentation visée à l’article 18;

e)

assurent la tenue des journaux générés automatiquement par leurs systèmes d’IA à haut risque, lorsque ces journaux se trouvent sous leur contrôle, conformément à l’article 19;

f)

veillent à ce que le système d’IA à haut risque soit soumis à la procédure d’évaluation de la conformité applicable visée à l’article 43, avant sa mise sur le marché ou sa mise en service;

g)

élaborent une déclaration UE de conformité conformément à l’article 47;

h)

apposent le marquage CE sur le système d’IA à haut risque ou, lorsque cela n’est pas possible, sur son emballage ou dans la documentation l’accompagnant, selon le cas, afin d’indiquer la conformité avec le présent règlement, conformément à l’article 48;

i)

respectent les obligations en matière d’enregistrement prévues à l’article 49, paragraphe 1;

j)

prennent les mesures correctives nécessaires et fournissent les informations requises à l’article 20;

k)

à la demande motivée d’une autorité nationale compétente, prouvent la conformité du système d’IA à haut risque avec les exigences énoncées à la section 2;

l)

veillent à ce que le système d’IA à haut risque soit conforme aux exigences en matière d’accessibilité conformément aux directives (UE) 2016/2102 et (UE) 2019/882.

 

Les obligations des fournisseurs d’IA à haut risque sont nombreuses et strictes. L’équipe de DPO externe de Mon Expert RGPD vous accompagne.

← Article précédent - Article 15 : Précision, robustesse et cybersécurité
Article suivant – Article 17 : Système de gestion de la qualité (QMS) →

Menu IA Act

Newsletter S'inscrire

Recevez nos derniers articles et actualités directement dans votre boîte de réception !

Votre e-mail est en sécurité 🔒. En entrant votre e-mail, vous acceptez de recevoir nos newsletter et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.