Évaluation de la conformité de l'IA dans le cadre de la loi européenne sur l'IA : Un guide pratique pour la conformité des systèmes d'IA à haut risque
%20(1).png)
DPO Consulting Rejoint Grant Thornton
La loi européenne sur l'IA établit un cadre basé sur les risques pour l'intelligence artificielle. Pour les organisations qui développent, déploient ou intègrent des systèmes d'IA à haut risque, l'une des obligations de conformité les plus importantes est l'évaluation de la conformité de l'IA.
Une évaluation de la conformité de l'IA est le processus par lequel un fournisseur démontre qu'un système d'IA à haut risque est conforme aux exigences obligatoires de la loi européenne sur l'IA avant sa mise sur le marché ou sa mise en service. Il ne s'agit pas d'un simple exercice de liste de contrôle. Il exige des preuves que le système a été conçu, testé, documenté, gouverné et surveillé conformément à la réglementation.
Pour les équipes juridiques, les RSSI, les chefs de produit, les responsables de la conformité et les dirigeants, la compréhension de l'évaluation de la conformité est essentielle. Elle détermine si un système d'IA peut légalement entrer sur le marché de l'UE, si un marquage CE peut être apposé, si un organisme notifié doit être impliqué, et comment la conformité continue doit être maintenue après le déploiement.
En vertu de la loi européenne sur l'IA, l'évaluation de la conformité est le processus de démonstration qu'un système d'IA à haut risque est conforme aux exigences définies pour de tels systèmes. Ces exigences couvrent l'ensemble du cycle de vie du système d'IA : conception, données, développement, validation, déploiement, surveillance et actions correctives.
En termes pratiques, une évaluation de la conformité répond à une question centrale : le fournisseur peut-il prouver que le système d'IA est sûr, robuste, transparent, correctement documenté, soumis à une surveillance humaine et contrôlé tout au long de son cycle de vie ?
Cette preuve ne se limite pas à une note juridique. Elle repose sur la documentation technique, un système de gestion de la qualité, des registres de gestion des risques, des preuves de gouvernance des données, des résultats de tests, des journaux, des mesures de cybersécurité, des instructions d'utilisation, des dispositifs de surveillance post-commercialisation et, le cas échéant, l'implication d'un organisme notifié.
L'évaluation de la conformité est donc un mécanisme à la fois juridique et opérationnel. Elle transforme les exigences de la loi sur l'IA en preuves qui peuvent être examinées par les autorités, les clients, les auditeurs, les organismes notifiés et les autorités de surveillance du marché.
Tous les systèmes d'IA ne nécessitent pas une évaluation de la conformité en vertu de la loi européenne sur l'IA. Cette obligation s'applique aux systèmes d'IA à haut risque.
Un système peut être à haut risque dans deux situations principales.
Premièrement, un système d'IA peut être à haut risque lorsqu'il s'agit d'un produit, ou d'un composant de sécurité d'un produit, couvert par la législation d'harmonisation de l'UE énumérée à l'annexe I de la loi sur l'IA, et lorsque ce produit nécessite une évaluation de la conformité par un tiers. Ceci est pertinent pour des secteurs tels que les dispositifs médicaux, les machines, les jouets, les ascenseurs, l'aviation, les véhicules et d'autres catégories de produits réglementés.
Deuxièmement, un système d'IA peut être à haut risque lorsqu'il relève de l'un des cas d'utilisation énumérés à l'annexe III. Ces domaines comprennent la biométrie, les infrastructures critiques, l'éducation et la formation professionnelle, l'emploi et la gestion des travailleurs, l'accès aux services publics et privés essentiels, l'application de la loi, la migration et le contrôle des frontières, l'administration de la justice et les processus démocratiques.
Cependant, la classification doit être traitée avec prudence. Tout outil d'IA utilisé dans une organisation sensible n'est pas automatiquement à haut risque. L'objectif visé du système, son impact réel sur les individus et le champ d'application de l'article 6 doivent être évalués. Dans certains cas de l'annexe III, une exemption peut être disponible lorsque le système ne présente pas de risque significatif d'atteinte à la santé, à la sécurité ou aux droits fondamentaux, mais cette position doit être documentée et n'est pas disponible lorsque le système effectue un profilage des personnes physiques.
Avant de préparer une évaluation de la conformité, les organisations devraient donc confirmer trois points : si l'outil est un système d'IA, s'il est à haut risque, et si l'organisation agit en tant que fournisseur, déployeur, importateur, distributeur ou fabricant de produits.
L'évaluation de la conformité de l'IA est la porte d'entrée pour l'accès au marché des systèmes d'IA à haut risque. Un fournisseur ne peut pas simplement déclarer qu'un système est digne de confiance. Il doit être en mesure de démontrer la conformité aux exigences de la loi sur l'IA avant que le système ne soit mis sur le marché ou mis en service.
Pour les entreprises, l'évaluation a plusieurs conséquences pratiques. Elle oblige les équipes à documenter comment le système a été conçu, comment les risques ont été identifiés, comment les données ont été sélectionnées et contrôlées, comment les performances ont été testées, comment la surveillance humaine fonctionne, et comment les incidents seront gérés après le déploiement.
Cela crée également des conséquences commerciales. Les clients, les équipes d'approvisionnement, les investisseurs et les partenaires commerciaux demanderont de plus en plus de preuves de conformité à la Loi sur l'IA. Pour les systèmes d'IA à haut risque, un dossier de conformité insuffisant peut retarder le lancement d'un produit, bloquer les acquisitions, créer un risque contractuel ou entraîner une exposition réglementaire.
Une évaluation de conformité robuste n'est donc pas seulement une obligation réglementaire. C'est aussi un atout de confiance.
Pour réussir une évaluation de conformité de l'IA, un système d'IA à haut risque doit satisfaire aux exigences du chapitre III, section 2 de la Loi sur l'IA.
La première exigence est la gestion des risques. Les fournisseurs doivent établir un système continu de gestion des risques qui identifie, évalue et atténue les risques pour la santé, la sécurité et les droits fondamentaux. Il ne s'agit pas d'un exercice ponctuel avant le lancement. Le système doit fonctionner tout au long du cycle de vie du système d'IA.
La deuxième exigence est la gouvernance des données. Lorsque des données sont utilisées pour l'entraînement, la validation ou les tests, les fournisseurs doivent mettre en œuvre des pratiques appropriées de gouvernance et de gestion des données. Cela inclut une attention particulière à la pertinence, la représentativité, les erreurs, l'exhaustivité, les biais et les caractéristiques spécifiques du contexte d'utilisation prévu.
La troisième exigence est la documentation technique. Le fournisseur doit tenir à jour une documentation qui permet aux autorités et, le cas échéant, aux organismes notifiés d'évaluer si le système est conforme à la Loi sur l'IA. Cette documentation doit décrire l'objectif prévu du système, sa conception, son processus de développement, les données, les modèles, les tests, les performances, la gestion des risques et les mesures de surveillance.
La quatrième exigence est la tenue de registres. Les systèmes d'IA à haut risque doivent permettre la journalisation des événements afin qu'ils puissent être tracés, investigués et surveillés, en tenant compte de l'objectif prévu du système.
La cinquième exigence est la transparence et les instructions d'utilisation. Les utilisateurs doivent recevoir des informations claires leur permettant de comprendre les capacités, les limites, les performances attendues du système, les mesures de surveillance humaine et les conditions d'utilisation.
La sixième exigence est la surveillance humaine. Le système doit être conçu de manière à ce que des personnes physiques puissent superviser efficacement son fonctionnement, comprendre ses résultats le cas échéant, détecter les anomalies, intervenir ou arrêter le système si nécessaire.
La dernière exigence est la précision, la robustesse et la cybersécurité. Le système doit atteindre un niveau de performance approprié, résister aux erreurs et aux tentatives malveillantes de modifier son utilisation ou ses résultats, et rester fiable tout au long de son cycle de vie.
L'article 43 de la Loi sur l'IA définit les procédures d'évaluation de la conformité pour les systèmes d'IA à haut risque. C'est là que de nombreux résumés de la réglementation deviennent imprécis, car la procédure applicable dépend du type de système d'IA à haut risque.
Pour les systèmes d'IA à haut risque énumérés au point 1 de l'annexe III, qui concerne la biométrie, le fournisseur peut utiliser le contrôle interne ou une évaluation de conformité impliquant un organisme notifié, selon que des normes harmonisées ou des spécifications communes ont été appliquées. Lorsque les normes harmonisées n'existent pas, ne sont pas entièrement appliquées ou sont restreintes, le recours à un organisme notifié peut être requis.
Pour les systèmes d'IA à haut risque énumérés aux points 2 à 8 de l'annexe III, la voie générale est la procédure de contrôle interne en vertu de l'annexe VI. Cela signifie que, pour de nombreux systèmes d'IA à haut risque autonomes, le fournisseur effectue l'évaluation de conformité en interne, sans l'implication d'un organisme notifié.
Pour les systèmes d'IA à haut risque couverts par la législation d'harmonisation de l'UE énumérée à l'annexe I, l'évaluation de conformité suit la procédure sectorielle de produit pertinente. Dans ce cas, les exigences de la Loi sur l'IA sont intégrées dans le cadre existant d'évaluation de la conformité des produits, et les organismes notifiés impliqués en vertu de cette législation sectorielle peuvent évaluer la conformité aux exigences spécifiques à l'IA.
Cette distinction est cruciale. Les organisations ne devraient pas supposer que chaque système d'IA à haut risque nécessite un organisme notifié externe. Elles ne devraient pas non plus supposer que le contrôle interne signifie un processus léger ou informel. Le contrôle interne exige toujours un dossier de conformité complet, un système de gestion de la qualité, une documentation technique, des preuves de gestion des risques et une déclaration de conformité UE défendable.
La procédure de contrôle interne est la voie d'évaluation de la conformité la plus courante pour de nombreux systèmes d'IA à haut risque en vertu de l'annexe III.
Dans le cadre de cette procédure, le fournisseur vérifie en interne que le système d'IA est conforme à la Loi sur l'IA. Le fournisseur doit examiner la documentation technique, s'assurer que le système de gestion de la qualité est en place, vérifier que le processus de conception et de développement correspond à la documentation, et confirmer que le système satisfait aux exigences applicables.
Si le résultat est positif, le fournisseur établit une déclaration UE de conformité et appose le marquage CE lorsque cela est requis.
Le fait que le fournisseur réalise l'évaluation en interne ne doit pas être mal interprété. Le contrôle interne n'est pas une auto-certification sans preuve. Il s'agit d'une évaluation juridique et technique structurée qui doit résister à l'examen réglementaire. Si la documentation est faible, le processus de gestion des risques superficiel ou les tests incomplets, l'évaluation interne de la conformité ne sera pas robuste.
Un organisme notifié est un organisme d'évaluation de la conformité indépendant désigné en vertu des règles de l'UE. Son rôle est d'examiner le système de gestion de la qualité et la documentation technique lorsque la loi sur l'IA ou la législation pertinente sur les produits exige son implication.
Cette voie est particulièrement pertinente pour certains systèmes biométriques relevant de l'annexe III point 1 et pour les systèmes d'IA intégrés dans des produits déjà soumis à une évaluation de la conformité par un tiers en vertu de la législation sectorielle sur les produits.
L'organisme notifié peut examiner le système de gestion de la qualité du fournisseur, la documentation technique, les preuves de test et les processus de conformité. Si le système est conforme, il délivre le certificat pertinent, qui étaye la déclaration UE de conformité et le marquage CE du fournisseur.
Pour les fournisseurs, cette voie nécessite une planification supplémentaire. L'engagement d'un organisme notifié peut affecter les délais du projet, les normes de documentation, la stratégie de test, la planification de la mise sur le marché des produits et le budget réglementaire. Il doit donc être anticipé dès le début du cycle de développement.
La documentation technique est l'un des livrables les plus importants de l'évaluation de la conformité de l'IA. C'est la base de preuves qui permet à un tiers de comprendre comment le système fonctionne, ce qu'il est censé faire, quels risques il crée et comment ces risques sont contrôlés.
Un dossier technique solide doit expliquer l'objectif prévu du système, son architecture, le processus de développement, les données utilisées, les métriques de performance, la stratégie de validation, le processus de gestion des risques, les mesures de surveillance humaine, les capacités de journalisation, les contrôles de cybersécurité et le plan de surveillance post-commercialisation.
Pour de nombreuses organisations, le principal défi ne sera pas de comprendre que la documentation est requise. Ce sera de collecter des preuves auprès de multiples équipes : produit, science des données, juridique, confidentialité, cybersécurité, qualité, ingénierie, approvisionnement et propriétaires d'entreprise.
C'est pourquoi l'évaluation de la conformité doit être intégrée à la gouvernance de l'IA dès le début. Reconstituer le dossier technique après le développement est souvent plus coûteux, moins précis et moins défendable.
La loi sur l'IA exige des fournisseurs de systèmes d'IA à haut risque qu'ils établissent un système de gestion de la qualité. Ce système est la colonne vertébrale organisationnelle de la conformité à l'IA.
Il doit couvrir la stratégie de conformité réglementaire, les contrôles de conception, les procédures de développement, les tests, la validation, la gestion des données, la gestion des risques, la surveillance post-commercialisation, la gestion des incidents, les actions correctives, le contrôle de la documentation et la gestion des fournisseurs.
En pratique, le système de gestion de la qualité relie la conformité à la loi sur l'IA aux cadres de gouvernance existants tels que ISO 9001, ISO/IEC 27001, ISO/IEC 42001, les cadres de sécurité des produits, la gouvernance de la cybersécurité et la conformité au RGPD.
Pour les organisations opérant déjà dans des secteurs réglementés, l'objectif ne devrait pas être de créer une bureaucratie parallèle de conformité à l'IA. L'objectif devrait être d'intégrer les exigences de la loi sur l'IA dans les processus existants de qualité, de confidentialité, de sécurité et de gouvernance des produits.
Une fois l'évaluation de la conformité achevée avec succès, le fournisseur doit établir une déclaration UE de conformité. Cette déclaration atteste que le système d'IA à haut risque est conforme aux exigences applicables de la loi sur l'IA.
Le fournisseur doit également apposer le marquage CE sur le système d'IA à haut risque. Pour les systèmes d'IA numériques, la loi sur l'IA autorise l'utilisation d'un marquage CE numérique, à condition qu'il soit facilement accessible.
Lorsqu'un organisme notifié est intervenu, le marquage CE doit inclure le numéro d'identification de l'organisme notifié, le cas échéant. Lorsque le système d'IA est également soumis à d'autres législations de l'UE exigeant le marquage CE, le marquage CE doit refléter la conformité avec les règles applicables pertinentes.
Cette étape ne doit pas être traitée comme une simple formalité. La déclaration de conformité UE et le marquage CE sont le résultat visible du processus de conformité. Ils ne doivent être délivrés que lorsque les preuves sous-jacentes sont complètes et fiables.
Les systèmes d'IA évoluent. Les modèles peuvent être réentraînés, les ensembles de données mis à jour, les fonctionnalités étendues, les interfaces modifiées ou les cas d'utilisation élargis. En vertu de l'AI Act, un système d'IA à haut risque ayant déjà fait l'objet d'une évaluation de la conformité doit subir une nouvelle évaluation de la conformité s'il est substantiellement modifié.
Une modification substantielle peut inclure un changement affectant la finalité prévue, les performances, le profil de risque ou la conformité avec l'AI Act. Cependant, les changements qui ont été prédéterminés par le fournisseur au moment de l'évaluation initiale de la conformité et documentés dans la documentation technique peuvent ne pas constituer une modification substantielle, en particulier pour les systèmes conçus pour continuer à apprendre après le déploiement.
Cela rend la gestion du changement essentielle. Les fournisseurs devraient définir, avant le lancement, quelles mises à jour sont attendues, comment elles seront testées, comment elles seront documentées et quand une nouvelle évaluation de la conformité sera déclenchée.
Sans un processus clair de gestion du changement, les organisations risquent de déployer des mises à jour qui invalident leur évaluation initiale.
La conformité ne s'arrête pas lorsque le système d'IA est mis sur le marché ou mis en service. Les fournisseurs de systèmes d'IA à haut risque doivent établir un système de surveillance post-commercialisation.
Ce système doit collecter, documenter et analyser de manière active et systématique les données pertinentes sur les performances du système d'IA tout au long de son cycle de vie. L'objectif est de confirmer que le système continue de se conformer à l'AI Act et de détecter les risques, les anomalies, la dégradation des performances, les biais, les utilisations abusives ou les comportements inattendus.
Le plan de surveillance post-commercialisation doit faire partie de la documentation technique. Il doit définir ce qui sera surveillé, quels indicateurs seront utilisés, à quelle fréquence les examens auront lieu, qui est responsable, quels seuils déclenchent une escalade et comment les actions correctives seront mises en œuvre.
Pour les systèmes d'IA intégrés dans des produits déjà soumis à des obligations de surveillance post-commercialisation sectorielles, l'AI Act permet un alignement avec les systèmes existants, à condition que le niveau de protection reste équivalent.
L'AI Act exige également des fournisseurs de systèmes d'IA à haut risque qu'ils signalent les incidents graves aux autorités de surveillance du marché compétentes.
Un incident grave peut impliquer un décès, un préjudice grave pour la santé, une perturbation grave et irréversible d'une infrastructure critique, une violation des droits fondamentaux ou un préjudice grave aux biens ou à l'environnement, selon les circonstances.
Le délai général est un signalement immédiat dès qu'un lien de causalité, ou une probabilité raisonnable d'un tel lien, a été établi, et en tout état de cause au plus tard 15 jours après que le fournisseur ou, le cas échéant, le déployeur a eu connaissance de l'incident grave. Des délais plus courts s'appliquent dans certains cas, notamment en cas d'infractions généralisées et de décès.
Cette exigence devrait être intégrée dans le cadre de réponse aux incidents de l'organisation. Le signalement des incidents liés à l'IA devrait être lié à la réponse aux incidents de cybersécurité, au signalement de la sécurité des produits, aux procédures de violation de données, à l'escalade juridique et à la gestion de crise.
Une évaluation pratique de la conformité en matière d'IA devrait commencer bien avant le lancement sur le marché.
La première étape consiste à confirmer si le système relève du champ d'application de l'AI Act et s'il est qualifié de haut risque. Cela nécessite d'analyser la finalité prévue, le rôle de l'organisation, la catégorie pertinente de l'annexe I ou de l'annexe III, et toute exemption possible.
La deuxième étape consiste à identifier la voie d'évaluation de la conformité applicable en vertu de l'article 43. L'organisation doit déterminer si la procédure de contrôle interne s'applique, si un organisme notifié est requis, ou si le système relève d'un cadre de conformité des produits existant.
La troisième étape consiste à constituer le dossier de conformité. Cela comprend la documentation technique, les registres de gestion des risques, les preuves du système de gestion de la qualité, la documentation sur la gouvernance des données, les preuves de test, les instructions d'utilisation, les mesures de surveillance humaine, la stratégie de journalisation, les preuves de cybersécurité et le plan de surveillance post-commercialisation.
La quatrième étape consiste à combler les lacunes avant l'évaluation finale. Cela peut nécessiter des tests supplémentaires, une meilleure documentation, une surveillance renforcée, des modifications des données d'entraînement, des instructions d'utilisation plus précises, une journalisation améliorée ou des contrats fournisseurs mis à jour.
La cinquième étape consiste à réaliser l'évaluation de la conformité, à établir la déclaration de conformité UE et à apposer le marquage CE, le cas échéant.
Enfin, le fournisseur doit maintenir une conformité continue par le biais de la surveillance, du signalement des incidents, des actions correctives et d'une réévaluation en cas de modifications substantielles.
Le premier défi est la classification. De nombreuses organisations ne savent pas si leur système d'IA est à haut risque, si elles sont un fournisseur ou un déployeur, et si une exemption de l'annexe III peut être invoquée. Cette incertitude peut retarder les projets et entraîner des décisions internes incohérentes.
Le deuxième défi est la documentation. Les équipes de développement d'IA travaillent souvent de manière itérative, tandis que l'évaluation de la conformité exige des preuves structurées. Si la documentation n'est pas intégrée au processus de développement, sa reconstitution ultérieure peut être difficile.
Le troisième défi est la gouvernance des données. Les systèmes d'IA à haut risque exigent des preuves que les données d'entraînement, de validation et de test ont été gérées de manière appropriée. C'est particulièrement complexe lorsque les données proviennent de tiers, de sources publiques, de systèmes hérités ou de contextes sensibles.
Le quatrième défi est la surveillance humaine. De nombreuses organisations décrivent l'examen humain en termes généraux, mais la loi sur l'IA exige une surveillance significative. L'organisation doit définir qui supervise le système, ce qu'ils peuvent comprendre, quand ils interviennent et comment leur intervention est documentée.
Le cinquième défi est le contrôle du cycle de vie. Les systèmes d'IA évoluent avec le temps. Sans surveillance post-commercialisation et gestion du changement, le système peut s'éloigner de sa position de conformité initiale.
L'évaluation de la conformité de l'IA ne doit pas être gérée de manière isolée. La plupart des systèmes d'IA à haut risque traitent des données personnelles, des informations confidentielles ou des données commerciales sensibles. Beaucoup s'appuient également sur des infrastructures cloud, des API, des modèles tiers, des pipelines de données et des chaînes d'approvisionnement complexes.
Cela signifie que la conformité à la loi sur l'IA doit être alignée sur le RGPD, la cybersécurité, la sécurité des produits, les achats et la gestion des risques fournisseurs.
Une analyse d'impact relative à la protection des données (AIPD) peut être requise lorsque le système d'IA traite des données personnelles d'une manière qui crée des risques élevés pour les individus. Les contrôles de cybersécurité peuvent devoir aborder l'intégrité du modèle, les attaques adverses, l'empoisonnement des données, le contrôle d'accès, la journalisation et la résilience. Les contrats fournisseurs peuvent devoir attribuer la responsabilité de la gestion des données, de la documentation, des mises à jour de modèles, de la notification d'incidents et du soutien à l'audit.
Une approche intégrée évite la duplication et crée une position de conformité plus solide.
DPO Consulting aide les organisations à se préparer à l'évaluation de la conformité de l'IA en vertu de la loi européenne sur l'IA en traduisant les exigences réglementaires en contrôles pratiques de gouvernance, de documentation et opérationnels.
Notre soutien peut inclure la qualification du système d'IA, la classification des risques élevés, l'analyse de la voie de l'article 43, l'évaluation des lacunes, l'examen de la documentation technique, le soutien au système de gestion de la qualité, l'évaluation de la gouvernance des données, la documentation sur la surveillance humaine, la conception de la surveillance post-commercialisation, les procédures de signalement des incidents, l'examen des fournisseurs et l'alignement avec le RGPD.
Nous aidons également les organisations à préparer des feuilles de route de préparation à la loi sur l'IA, à former les équipes juridiques, de conformité, de produit et techniques, et à coordonner avec les organismes notifiés lorsque l'évaluation par un tiers est requise.
L'objectif n'est pas seulement de réussir une évaluation de la conformité. Il s'agit de construire des systèmes d'IA qui sont juridiquement solides, techniquement robustes, opérationnellement contrôlés et dignes de confiance pour les clients, les utilisateurs et les régulateurs.
L'évaluation de la conformité de l'IA est l'un des mécanismes de conformité centraux de la loi européenne sur l'IA. Pour les systèmes d'IA à haut risque, elle détermine si le système peut être légalement mis sur le marché de l'UE ou mis en service.
Le processus exige bien plus qu'un examen juridique final. Il nécessite une classification précoce, une documentation robuste, une gestion des risques, une gouvernance des données, un système de gestion de la qualité, une surveillance humaine, une cybersécurité, une surveillance post-commercialisation et un contrôle clair des modifications.
Les organisations qui se préparent tôt seront mieux placées pour respecter les délais réglementaires, rassurer les clients, soutenir les acquisitions et déployer des systèmes d'IA en toute confiance. En vertu de la loi européenne sur l'IA, l'évaluation de la conformité ne doit pas être considérée uniquement comme un obstacle réglementaire, mais comme un moyen structuré de prouver que l'IA à haut risque est sûre, responsable et digne de confiance.
Une évaluation de la conformité de l'IA est le processus par lequel un fournisseur démontre qu'un système d'IA à haut risque est conforme aux exigences obligatoires de la loi européenne sur l'IA. Elle est requise avant que le système ne soit mis sur le marché ou mis en service.
Seuls les systèmes d'IA à haut risque nécessitent une évaluation de la conformité en vertu de la loi sur l'IA. Ceux-ci incluent certains systèmes d'IA énumérés à l'annexe III et certains systèmes d'IA qui sont des produits ou des composants de sécurité de produits couverts par la législation d'harmonisation de l'UE énumérés à l'annexe I.
Non. De nombreux systèmes d'IA à haut risque de l'annexe III suivent la procédure de contrôle interne sans l'implication d'un organisme notifié. Un organisme notifié peut être requis pour certains systèmes biométriques ou lorsque le système d'IA est intégré dans un produit soumis à une évaluation de la conformité par une tierce partie sectorielle.
La procédure de contrôle interne est une voie d'évaluation de la conformité où le fournisseur vérifie la conformité en interne, sur la base de la documentation technique, de la gestion de la qualité, de la gestion des risques et des preuves de conformité aux exigences de la loi sur l'IA. Elle n'implique pas d'organisme notifié, mais elle doit être entièrement documentée et défendable.
Les documents clés comprennent la documentation technique, les preuves du système de gestion de la qualité, le dossier de gestion des risques, les registres de gouvernance des données, les preuves de test et de validation, les instructions d'utilisation, la documentation sur la surveillance humaine, la stratégie de journalisation, les preuves de cybersécurité et le plan de surveillance post-commercialisation.
Une nouvelle évaluation de la conformité est requise lorsqu'un système d'IA à haut risque déjà évalué subit une modification substantielle. Les modifications qui étaient prédéterminées et documentées dans la documentation technique initiale peuvent ne pas constituer une modification substantielle.
Après une évaluation de la conformité réussie, le fournisseur établit une déclaration de conformité UE et appose le marquage CE sur le système d'IA à haut risque. Pour les systèmes numériques, le marquage CE peut être numérique s'il est facilement accessible.
Non. Les fournisseurs de systèmes d'IA à haut risque doivent maintenir une surveillance post-commercialisation et signaler les incidents graves lorsque cela est requis. La conformité doit être maintenue tout au long du cycle de vie du système d'IA.
Les entreprises devraient commencer par établir un inventaire de l'IA, classer les systèmes en vertu de l'AI Act, identifier les rôles de fournisseur et de déployeur, déterminer la procédure de l'article 43, préparer la documentation technique, renforcer la gouvernance des données, concevoir une supervision humaine et intégrer la surveillance post-commercialisation dans leur cadre de gouvernance de l'IA.
Investir dans les efforts de conformité au RGPD peut peser lourdement sur les grandes entreprises ainsi que sur les petites et moyennes entreprises (PME). Le recours à une ressource ou à une assistance externe peut alléger la charge d'un audit interne pour l'ensemble des entreprises et alléger la pression sur les finances, les capacités technologiques et l'expertise de l'entreprise.
Les auditeurs externes et les partenaires experts tels que DPO Consulting sont bien placés pour aider les organisations à gérer efficacement la nature complexe des audits du RGPD. Ces professionnels formés agissent comme une extension de votre équipe, aidant à rationaliser les processus d'audit, à identifier les domaines à améliorer, à mettre en œuvre les changements nécessaires et à garantir la conformité au RGPD.
Confier le bon partenaire offre l'avantage de l'impartialité et du respect des normes du secteur et permet de débloquer une multitude de ressources telles que des informations spécifiques au secteur, ce qui se traduit par des évaluations impartiales et une conformité réussie. Travailler avec DPO Consulting se traduit par un gain de temps précieux et allège la charge de travail du personnel interne, tout en réduisant considérablement les coûts de l'entreprise.
RGPD et conformité
DPO et représentation externalisés
Formation et assistance
.svg)
.png)
.png)
