📍82 Boulevard Haussmann, 75008 Paris

Demandez votre démo

Article 9 IA ACT : Système de gestion des risques

Table des matières

Explication de l’article

L’article 6 de l‘IA ACT impose aux fournisseurs de systèmes d’IA à haut risque de mettre en place un système de gestion des risques tout au long du cycle de vie du système, afin de garantir la sécurité, la fiabilité et le respect des droits fondamentaux.

Principes clés :

Système de gestion des risques continu 

  • La gestion des risques est un processus permanent, pas seulement une étape avant la mise sur le marché.
  • Les risques doivent être réévalués et les mesures ajustées au fur et à mesure que le système évolue et que de nouvelles données sont collectées.

Étapes essentielles de la gestion des risques

  • Identification et analyse des risques : repérer tous les risques potentiels liés à l’utilisation du système d’IA.
  • Estimation et évaluation des risques : déterminer la probabilité et la gravité de chaque risque.
  • Mesures de mitigation : adopter des solutions pour réduire les risques identifiés à un niveau acceptable.
  • Vérification des risques résiduels : s’assurer que les risques restant après mitigation sont acceptables et documentés.

Documentation et traçabilité

  • Toutes les étapes de la gestion des risques doivent être documentées et maintenues à jour.
  • La documentation permet de démontrer la conformité en cas de contrôle par les autorités compétentes.

Évolution continue

  • Le système de gestion des risques doit s’adapter aux changements du système, à son environnement et aux nouvelles données collectées pendant son utilisation.

L’article 9 instaure un processus robuste de gestion des risques pour les systèmes d’IA à haut risque, garantissant que les fournisseurs prennent en compte les dangers potentiels de manière proactive et continue, et puissent démontrer la conformité de leurs systèmes tout au long de leur cycle de vie.

Notions clés à comprendre

Système de gestion des risques (Risk Management System) : Processus obligatoire pour les fournisseurs de systèmes d’IA à haut risque. Doit être continu, itératif et documenté tout au long du cycle de vie du système.

Cycle de vie du système : comprend toutes les étapes depuis le développement, le déploiement, l’exploitation et la maintenance jusqu’à la fin de vie du système.

Identification et analyse des risques :  repérage de tous les risques potentiels pouvant affecter :

  • La santé et la sécurité des personnes,
  • Les droits fondamentaux,
  • La fiabilité et la performance du système.

Estimation et évaluation des risques : détermination de :

  • La probabilité d’occurrence de chaque risque,
  • La gravité potentielle des conséquences.

Cette étape sert à prioriser les risques les plus critiques.

Mesures de mitigation : actions ou contrôles mis en place pour réduire les risques identifiés à un niveau acceptable. Peut inclure : modifications techniques, contrôles humains, protocoles de sécurité ou limitations d’usage.

Risques résiduels : risques restant après application des mesures de mitigation.

Doivent être acceptables et documentés dans le système de gestion des risques.

Documentation et traçabilité : Toutes les étapes de gestion des risques doivent être enregistrées et conservées, permettant de démontrer la conformité.

Évolution continue / réévaluation : les risques doivent être réévalués régulièrement en fonction :

  • Des nouvelles données,
  • Des changements dans l’environnement du système,
  • Des mises à jour ou modifications du système.

Exemple pratique

Une entreprise européenne développe un système d’IA pour le recrutement à haut risque, qui analyse les CV et les vidéos d’entretiens pour recommander des candidats. Ce système est classé à haut risque selon l’Annexe III.

Application de l’article 9 :

Mise en place du système de gestion des risques

Le fournisseur établit un processus de gestion des risques documenté, couvrant tout le cycle de vie du système : développement, déploiement, exploitation et maintenance.

La gestion des risques est définie comme un processus continu et itératif, avec des révisions régulières.

Identification et analyse des risques

Le fournisseur identifie les risques potentiels :

  • Biais algorithmique pouvant discriminer certains candidats,
  • Faux positifs ou négatifs dans l’évaluation des CV ou des entretiens,
  • Atteinte à la confidentialité des données personnelles des candidats.

Estimation et évaluation des risques

Chaque risque est évalué selon sa probabilité et sa gravité.

Exemples : le biais algorithmique est jugé à haute probabilité et de fort impact pour la non-discrimination.

Mesures de mitigation

  • Ajustements des algorithmes pour réduire les biais.
  • Validation humaine des recommandations avant décision finale.
  • Protocoles de sécurité renforcés pour protéger les données personnelles.

Évaluation des risques résiduels

Les risques restant après mitigation sont analysés pour vérifier qu’ils sont acceptables et documentés dans le système de gestion des risques.

Documentation et traçabilité

Toutes les étapes (identification, évaluation, mesures de mitigation) sont consignées et conservées pour démontrer la conformité en cas de contrôle par la CNIL ou une autre autorité compétente.

Réévaluation continue

À chaque mise à jour du système ou nouveau flux de données, les risques sont réévalués et les mesures ajustées.

Exemples : ajustement des modèles d’IA pour refléter l’évolution des profils de candidats et des critères de recrutement.

L’article 9 oblige le fournisseur à adopter une gestion proactive et continue des risques, garantissant que le système d’IA reste fiable, sûr et conforme aux droits fondamentaux tout au long de son cycle de vie.

Avez-vous identifié et maîtrisé les risques liés à votre système d’IA ?
L’article 9 de l'IA Act impose une gestion continue des risques tout au long du cycle de vie du système d’IA.
Mettre en place une gestion des risques avec un expert

Texte original de l’IA Act

Article 9 – Système de gestion des risques

1. Un système de gestion des risques est établi, mis en œuvre, documenté et tenu à jour en ce qui concerne les systèmes d’IA à haut risque.

2. Ce système de gestion des risques s’entend comme étant un processus itératif continu qui est planifié et se déroule sur l’ensemble du cycle de vie d’un système d’IA à haut risque et qui doit périodiquement faire l’objet d’un examen et d’une mise à jour méthodiques. Il comprend les étapes suivantes : 

a) l’identification et l’analyse des risques connus et raisonnablement prévisibles que le système d’IA à haut risque peut poser pour la santé, la sécurité ou les droits fondamentaux lorsque le système d’IA à haut risque est utilisé conformément à sa destination;

b) l’estimation et l’évaluation des risques susceptibles d’apparaître lorsque le système d’IA à haut risque est utilisé conformément à sa destination et dans des conditions de mauvaise utilisation raisonnablement prévisible;

c) l’évaluation d’autres risques susceptibles d’apparaître, sur la base de l’analyse des données recueillies au moyen du système de surveillance après commercialisation visé à l’article 72;

d) l’adoption de mesures appropriées et ciblées de gestion des risques, conçues pour répondre aux risques identifiés en vertu du point a).

3. Les risques visés au présent article ne concernent que ceux qui peuvent être raisonnablement atténués ou éliminés dans le cadre du développement ou de la conception du système d’IA à haut risque, ou par la fourniture d’informations techniques appropriées.

4. Les mesures de gestion des risques visées au paragraphe 2, point d), tiennent dûment compte des effets et de l’interaction possibles résultant de l’application combinée des exigences énoncées dans la présente section, en vue de prévenir les risques plus efficacement tout en parvenant à un bon équilibre dans le cadre de la mise en œuvre des mesures visant à répondre à ces exigences.

5. Les mesures de gestion des risques visées au paragraphe 2, point d), sont telles que le risque résiduel pertinent associé à chaque danger ainsi que le risque résiduel global lié aux systèmes d’IA à haut risque sont jugés acceptables.

Pour déterminer les mesures de gestion des risques les plus adaptées, il convient de veiller à:

a) éliminer ou réduire les risques identifiés et évalués conformément au paragraphe 2 autant que la technologie le permet grâce à une conception et à un développement appropriés du système d’IA à haut risque;

b) mettre en œuvre, le cas échéant, des mesures adéquates d’atténuation et de contrôle répondant aux risques impossibles à éliminer;

c) fournir aux déployeurs les informations requises conformément à l’article 13 et, éventuellement, une formation.

En vue de l’élimination ou de la réduction des risques liés à l’utilisation du système d’IA à haut risque, il est dûment tenu compte des connaissances techniques, de l’expérience, de l’éducation et de la formation pouvant être attendues du déployeur, ainsi que du contexte prévisible dans lequel le système est destiné à être utilisé.

6. Les systèmes d’IA à haut risque sont soumis à des essais afin de déterminer les mesures de gestion des risques les plus appropriées et les plus ciblées. Les essais garantissent que les systèmes d’IA à haut risque fonctionnent de manière conforme à leur destination et qu’ils sont conformes aux exigences énoncées dans la présente section.

7. Les procédures d’essai peuvent comprendre des essais en conditions réelles conformément à l’article 60.

8. Les tests des systèmes d’IA à haut risque sont effectués, selon les besoins, à tout moment pendant le processus de développement et, en tout état de cause, avant leur mise sur le marché ou leur mise en service. Les tests sont effectués sur la base d’indicateurs et de seuils probabilistes préalablement définis, qui sont adaptés à la destination du système d’IA à haut risque.

9. Lors de la mise en œuvre du système de gestion des risques prévu aux paragraphes 1 à 7, les fournisseurs prennent en considération la probabilité que, compte tenu de sa destination, le système d’IA à haut risque puisse avoir une incidence négative sur des personnes âgées de moins de 18 ans et, le cas échéant, sur d’autres groupes vulnérables.

10. En ce qui concerne les fournisseurs de systèmes d’IA à haut risque qui sont soumis à des exigences concernant les processus internes de gestion des risques en vertu d’autres dispositions pertinentes du droit de l’Union, les aspects présentés aux paragraphes 1 à 9 peuvent faire partie des procédures de gestion des risques établies conformément à ladite législation, ou être combinées à celles-ci.

Perspectives avec d’autres textes

Perspectives européennes

EDPB – Opinion on Risk Management and GDPR

L’EDPB fournit des clarifications sur la façon d’intégrer les obligations de l’article 9 avec les DPIA (Data Protection Impact Assessment) du RGPD.

Cette intégration permet aux fournisseurs de systèmes d’IA à haut risque de combiner gestion des risques techniques et conformité à la protection des données personnelles.

AI Act Service Desk – Risk Management Template

La Commission européenne propose des modèles téléchargeables pour documenter le système de gestion des risques selon l’article 9.

Ces modèles sont adaptés par secteur (recrutement, finance, santé, justice, etc.), facilitant la mise en conformité des fournisseurs.

Gérer les risques liés à votre IA peut être complexe.. L’équipe de DPO externe de Mon Expert RGPD vous accompagne.

← Article précédent - Article 8 : Conformité aux exigences
Article suivant – Article 10 : Données et gouvernance des données →

Menu IA Act

Besoin d’aide pour cet article ?

Comprendre les obligations liées à cet article et éviter les erreurs.

Échanger avec un expert

🔓 Échange confidentiel – Sans engagement

Newsletter S'inscrire

Recevez nos derniers articles et actualités directement dans votre boîte de réception !

Votre e-mail est en sécurité 🔒. En entrant votre e-mail, vous acceptez de recevoir nos newsletter et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.