📍82 Boulevard Haussmann, 75008 Paris

Demandez votre démo

Article 17 IA ACT : Système de gestion de la qualité (QMS)

Table des matières

Explication de l’article

L’article 17 de l’IA Act impose aux fournisseurs de systèmes d’IA à haut risque de mettre en place, documenter, appliquer et maintenir un système de gestion de la qualité (QMS) couvrant l’ensemble du cycle de vie du système d’IA.

Ce système de gestion constitue la colonne vertébrale organisationnelle de la conformité à l’AI Act. Il ne s’agit pas uniquement de documents formels, mais d’un ensemble structuré de procédures, de responsabilités et de contrôles internes garantissant que toutes les exigences du règlement sont respectées de manière continue.

L’article 17 vise à assurer que la conformité n’est pas ponctuelle ou théorique, mais intégrée dans les pratiques quotidiennes de l’organisation : gouvernance, développement technique, gestion des risques, contrôle qualité, traitement des incidents et amélioration continue.

Notions clés à comprendre

Système de gestion de la qualité (QMS)
Ensemble structuré de politiques, procédures, responsabilités et ressources permettant d’assurer la conformité continue du système d’IA aux exigences réglementaires.

Approche cycle de vie
Le QMS doit couvrir toutes les phases : conception, développement, tests, mise sur le marché, surveillance post-commercialisation et mise à jour.

Responsabilités organisationnelles
Définition claire des rôles (direction, équipes techniques, conformité, juridique, sécurité) et des circuits de décision.

Traçabilité et documentation
Capacité à démontrer à tout moment que les obligations du règlement sont respectées, notamment en cas de contrôle par une autorité compétente.

Amélioration continue
Le QMS doit être révisé régulièrement pour intégrer les retours d’expérience, incidents, évolutions technologiques ou réglementaires.

Contenu du QMS (inspiré de l’annexe VII et des pratiques ISO) :

  • Politique qualité et objectifs de conformité IA.
  • Organisation interne, rôles et responsabilités (y compris « responsable conformité IA »).
  • Gestion de la conception/développement (revues de code, validation, tests).
  • Gestion des données (collecte, qualité, biais, sécurité).
  • Gestion des risques (art. 9) et surveillance post‑marché.
  • Gestion des incidents graves et des non‑conformités.
  • Processus de documentation et d’archivage.

Proportionnalité : Le QMS doit être adapté à la taille de l’organisation (PME vs grands groupes) tout en couvrant tous les éléments requis.

Exemple pratique

Une entreprise développe un système d’IA destiné à présélectionner des candidats.

Conformément à l’article 17, elle doit mettre en place un système de gestion de la qualité comprenant notamment :

  • une procédure documentée de conception et de validation du modèle ;
  • un processus de vérification des données d’entraînement (qualité, biais, représentativité) ;
  • une organisation claire des responsabilités (équipe data, conformité, direction) ;
  • un mécanisme de remontée et de traitement des incidents (plaintes, erreurs, biais détectés) ;
  • une revue périodique du système pour vérifier qu’il reste conforme à l’IA Act.

Si un biais discriminatoire est détecté après le déploiement, le QMS doit permettre d’identifier rapidement la cause, de corriger le modèle et de documenter les actions correctives.

Vous ne savez pas comment mettre en place un système de gestion de la qualité pour votre IA ?
L’article 17 impose un système complet documenté couvrant tout le cycle de vie : risques, données, incidents et surveillance post-commercialisation.
Créer mon système qualité avec un expert

Texte original de l’IA Act

Article 17 – Système de gestion de la qualité

1.   Les fournisseurs de systèmes d’IA à haut risque mettent en place un système de gestion de la qualité garantissant le respect du présent règlement. Ce système est documenté de manière méthodique et ordonnée sous la forme de politiques, de procédures et d’instructions écrites, et comprend au moins les aspects suivants:

a)

une stratégie de respect de la réglementation, notamment le respect des procédures d’évaluation de la conformité et des procédures de gestion des modifications apportées aux systèmes d’IA à haut risque;

b)

des techniques, procédures et actions systématiques destinées à la conception des systèmes d’IA à haut risque ainsi qu’au contrôle et à la vérification de cette conception;

c)

des techniques, procédures et actions systématiques destinées au développement des systèmes d’IA à haut risque ainsi qu’au contrôle et à l’assurance de leur qualité;

d)

des procédures d’examen, de test et de validation à exécuter avant, pendant et après le développement du système d’IA à haut risque, ainsi que la fréquence à laquelle elles doivent être réalisées;

e)

des spécifications techniques, notamment des normes, à appliquer et, lorsque les normes harmonisées pertinentes ne sont pas appliquées intégralement, ou ne couvrent pas toutes les exigences pertinentes énoncées à la section 2, les moyens à utiliser pour faire en sorte que le système d’IA à haut risque satisfasse auxdites exigences;

f)

les systèmes et procédures de gestion des données, notamment l’acquisition, la collecte, l’analyse, l’étiquetage, le stockage, la filtration, l’exploration, l’agrégation, la conservation des données et toute autre opération concernant les données qui est effectuée avant la mise sur le marché ou la mise en service de systèmes d’IA à haut risque et aux fins de celles-ci;

g)

le système de gestion des risques prévu à l’article 9;

h)

l’élaboration, la mise en œuvre et le fonctionnement d’un système de surveillance après commercialisation conformément à l’article 72;

i)

les procédures relatives au signalement d’un incident grave conformément à l’article 73;

j)

la gestion des communications avec les autorités nationales compétentes, les autres autorités compétentes, y compris celles fournissant ou facilitant l’accès aux données, les organismes notifiés, les autres opérateurs, les clients ou d’autres parties intéressées;

k)

les systèmes et procédures de conservation de tous les documents et informations pertinents;

l)

la gestion des ressources, y compris les mesures liées à la sécurité d’approvisionnement;

m)

un cadre de responsabilisation définissant les responsabilités de l’encadrement et des autres membres du personnel en ce qui concerne tous les aspects énumérés dans le présent paragraphe.

2.   La mise en œuvre des aspects visés au paragraphe 1 est proportionnée à la taille de l’organisation du fournisseur. Les fournisseurs respectent, en tout état de cause, le degré de rigueur et le niveau de protection requis afin de garantir que leurs systèmes d’IA à haut risque sont conformes au présent règlement.

3.   Les fournisseurs de systèmes d’IA à haut risque qui sont soumis à des obligations relatives aux systèmes de gestion de la qualité, ou liées à l’exercice d’une fonction équivalente en vertu de la législation sectorielle pertinente de l’Union peuvent inclure les aspects énumérés au paragraphe 1 dans les systèmes de gestion de la qualité conformément à ladite législation.

4.   Si les fournisseurs sont des établissements financiers soumis à des exigences relatives à leur gouvernance, à leurs dispositifs ou à leurs processus internes prévues par la législation de l’Union sur les services financiers, la conformité avec les règles relatives à leur gouvernance, à leurs dispositifs ou à leurs processus internes prévues dans la législation pertinente de l’Union sur les services financiers vaut respect de l’obligation de mettre en place un système de gestion de la qualité, à l’exception du paragraphe 1, points g), h) et i) du présent article. À cette fin, toute norme harmonisée visée à l’article 40 est prise en considération.

Perspectives avec d’autres textes 

Perspective européenne

Lien avec le droit européen existant. L’article 17 s’inscrit dans la continuité :

  • des systèmes de management de la qualité prévus par les règlements produits (ex. dispositifs médicaux, machines),
  • des principes de gouvernance introduits par le RGPD (responsabilisation, documentation, accountability).

Il matérialise une approche européenne fondée sur la prévention des risques par l’organisation interne, plutôt que sur la seule sanction a posteriori.

Perspective française

En droit français, cette logique fait écho :

  • aux exigences de contrôle interne et de conformité (compliance),
  • aux obligations de traçabilité et de gestion des risques prévues par le Code de commerce,
  • aux pratiques recommandées par la CNIL en matière de gouvernance des systèmes d’IA.

Le QMS devient ainsi un outil central de preuve de diligence raisonnable en cas de contrôle ou de contentieux.

Mettre en place un système de gestion de la qualité complet pour votre IA peut sembler complexe. L’équipe de DPO externe de Mon Expert RGPD vous accompagne.

← Article précédent - Article 16 : Obligations des fournisseurs de systèmes d’IA à haut risque
Article suivant – Article 18 : Conservation des documents→

Menu IA Act

Newsletter S'inscrire

Recevez nos derniers articles et actualités directement dans votre boîte de réception !

Votre e-mail est en sécurité 🔒. En entrant votre e-mail, vous acceptez de recevoir nos newsletter et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.