Compliancedocumentationannex-ivtechnical-file

Exigences de documentation technique pour les systemes d'IA

Quelle documentation technique est requise au titre du Reglement sur l'IA de l'UE -- exigences de l'annexe IV, registres de gestion des risques, documentation de gouvernance des donnees et maintien de la conformite.

March 15, 202513 min read

La documentation technique est l'une des exigences fondamentales pour les systemes d'IA a haut risque au titre du Reglement sur l'IA de l'UE (Reglement 2024/1689). L'article 11 exige des fournisseurs qu'ils elaborent une documentation technique avant qu'un systeme d'IA a haut risque ne soit mis sur le marche ou mis en service, et qu'ils la tiennent a jour tout au long du cycle de vie du systeme. L'annexe IV precise exactement ce que cette documentation doit contenir.

Ce n'est pas une formalite. La documentation technique est le principal moyen par lequel les fournisseurs demontrent que leur systeme d'IA est conforme aux exigences du reglement. C'est ce que les organismes notifies examinent lors des evaluations de conformite par des tiers. C'est ce que les autorites de surveillance du marche demandent lors des investigations. Et c'est la base sur laquelle la declaration UE de conformite est emise.

Les organisations qui traitent la documentation technique comme une reflexion a posteriori trouveront la conformite bien plus difficile -- et couteuse -- que celles qui integrent les pratiques de documentation dans leurs flux de travail de developpement des le depart.

Ce que l'article 11 exige

L'article 11, paragraphe 1, stipule que la documentation technique d'un systeme d'IA a haut risque doit etre elaboree avant que le systeme ne soit mis sur le marche ou mis en service et doit etre tenue a jour. La documentation doit demontrer que le systeme est conforme aux exigences du chapitre III, section 2 -- couvrant la gestion des risques, la gouvernance des donnees, la transparence, le controle humain, l'exactitude, la robustesse et la cybersecurite.

L'article 11, paragraphe 2, prevoit que pour les systemes d'IA a haut risque lies a des produits couverts par la legislation d'harmonisation de l'UE existante (comme les dispositifs medicaux, les machines ou l'aviation), un seul ensemble de documentation technique peut etre elabore contenant toutes les informations requises par le Reglement sur l'IA et la legislation sectorielle pertinente.

Le principe cle est l'exhaustivite. La documentation doit etre suffisante pour qu'une autorite competente puisse evaluer si le systeme d'IA est conforme au reglement. Les lacunes dans la documentation seront traitees comme des manquements a la conformite.

Annexe IV : La liste complete de la documentation requise

L'annexe IV du Reglement sur l'IA de l'UE fournit une liste detaillee et prescriptive de ce que la documentation technique doit inclure.

1. Description generale du systeme d'IA

La documentation doit commencer par une description complete du systeme, incluant :

  • La finalite prevue du systeme d'IA
  • Le nom et la version du systeme
  • L'identite et les coordonnees du fournisseur
  • Une description de la maniere dont le systeme d'IA interagit avec le materiel ou le logiciel ne faisant pas partie du systeme d'IA lui-meme, le cas echeant
  • Les versions des logiciels ou micrologiciels pertinents et toute exigence relative aux mises a jour de version
  • Une description des formes sous lesquelles le systeme d'IA est mis sur le marche ou mis en service
  • Une description du materiel sur lequel le systeme d'IA est destine a fonctionner

La description generale doit etre redigee de maniere suffisamment claire pour qu'une personne possedant des connaissances techniques -- mais pas necessairement une expertise approfondie dans votre domaine specifique d'IA -- puisse comprendre ce que fait le systeme, comment il fonctionne et a quoi il est destine.

2. Description detaillee des elements du systeme et du processus de developpement

C'est la section la plus substantielle et elle necessite la documentation de :

  • Methodes et techniques de developpement : Les methodes et etapes effectuees pour le developpement du systeme d'IA, y compris, le cas echeant, le recours a des systemes ou outils pre-entraines fournis par des tiers
  • Specifications de conception : Les specifications de conception du systeme, a savoir la logique generale du systeme d'IA et des algorithmes, les principaux choix de conception, les hypotheses formulees et ce que le systeme est concu pour optimiser
  • Architecture du systeme : Une description de l'architecture du systeme expliquant comment les composants logiciels s'appuient les uns sur les autres
  • Ressources de calcul : Les ressources de calcul utilisees pour le developpement, l'entrainement, les tests et la validation du systeme d'IA
  • Exigences en matiere de donnees pour le deployer : Le cas echeant, les exigences en matiere de donnees en termes de fiches de donnees decrivant les methodologies et techniques d'entrainement et les jeux de donnees d'entrainement utilises

3. Donnees d'entrainement, de test et de validation

La documentation doit contenir des informations detaillees sur les donnees utilisees tout au long du cycle de vie du systeme d'IA :

  • Donnees d'entrainement : Une description des jeux de donnees d'entrainement utilises, y compris leur provenance, leur portee, leurs principales caracteristiques, la maniere dont les donnees ont ete obtenues et selectionnees, les procedures d'etiquetage et les methodologies de nettoyage des donnees
  • Donnees de test et de validation : Les procedures de test et de validation utilisees, y compris les informations sur les donnees de test et de validation utilisees, les metriques utilisees pour mesurer l'exactitude, la robustesse et la conformite aux autres exigences pertinentes, et les journaux de test et tous les rapports de test dates et signes par les personnes responsables
  • Mesures de gouvernance des donnees : Documentation des mesures prises pour se conformer aux exigences de gouvernance des donnees au titre de l'article 10, y compris la detection et l'attenuation des biais

La documentation des donnees est un domaine ou de nombreuses organisations echouent. Vous ne pouvez pas documenter retroactivement la provenance des donnees et les decisions de gouvernance. Si vous ne suivez pas ces informations pendant le developpement, vous aurez du mal a les produire plus tard. Integrez la documentation des donnees dans votre pipeline ML des le premier jour.

4. Documentation de gestion des risques

La documentation technique doit inclure une description detaillee du systeme de gestion des risques mis en oeuvre conformement a l'article 9. Cela comprend :

  • L'identification et l'analyse des risques connus et raisonnablement previsibles associes au systeme d'IA
  • L'estimation et l'evaluation des risques susceptibles d'apparaitre lorsque le systeme est utilise conformement a sa finalite prevue et dans des conditions de mauvaise utilisation raisonnablement previsible
  • L'evaluation des risques decoulant de l'analyse des donnees recueillies par le systeme de surveillance apres la mise sur le marche
  • Les mesures de gestion des risques adoptees et le raisonnement derriere leur choix
  • Une description des risques residuels et de leur acceptabilite, avec justification

5. Modifications et changements

Tout changement substantiel apporte au systeme d'IA tout au long de son cycle de vie doit etre documente. Cela inclut les changements :

  • De la finalite prevue ou du contexte de deploiement
  • Des donnees d'entrainement ou de l'architecture du modele
  • Des caracteristiques de performance du systeme
  • Du profil de risque du systeme

Le reglement exige explicitement que la documentation soit « tenue a jour » -- cela signifie que les fournisseurs doivent disposer d'un processus de mise a jour de la documentation chaque fois que des changements sont apportes.

6. Surveillance, fonctionnement et controle

La documentation doit decrire :

  • Les capacites et les limites du systeme d'IA, y compris le degre d'exactitude pour des personnes ou groupes de personnes specifiques sur lesquels le systeme est destine a etre utilise, et le niveau d'exactitude global attendu par rapport a sa finalite prevue
  • Les resultats imprevus previsibles et les sources de risques pour la sante, la securite et les droits fondamentaux
  • Les mesures de controle humain necessaires, y compris les mesures techniques mises en place pour faciliter l'interpretation des resultats du systeme d'IA par les deployers
  • Les specifications relatives aux donnees d'entree, le cas echeant

Vous peinez avec les exigences de documentation IA ?

Ctrl AI genere et maintient automatiquement la documentation de conformite a partir des metadonnees de votre systeme d'IA -- reduisant l'effort de documentation tout en assurant l'exhaustivite de l'annexe IV.

Learn About Ctrl AI

7. Informations sur l'evaluation de la conformite

La documentation technique doit egalement inclure :

  • Une description de la procedure d'evaluation de la conformite suivie
  • Lorsque le systeme a fait l'objet d'une evaluation de la conformite par un tiers, les rapports et certificats pertinents
  • La declaration UE de conformite
  • Les informations relatives au marquage CE

8. Plan de surveillance apres la mise sur le marche

Les fournisseurs doivent inclure un plan de surveillance apres la mise sur le marche dans leur documentation technique. Ce plan doit decrire comment le fournisseur collectera, documentera et analysera activement et systematiquement les donnees fournies par les deployers ou collectees par d'autres moyens, afin d'identifier tout besoin d'actions correctives ou preventives tout au long de la duree de vie du systeme.

Conseils pratiques : Construire un systeme de documentation

Commencez pendant le developpement, pas apres

Le conseil le plus important pour la documentation au titre du Reglement sur l'IA est de l'integrer a votre processus de developpement. Tenter de reconstituer la documentation technique apres la construction d'un systeme est couteux, sujet aux erreurs et souvent impossible pour certains details de provenance des donnees.

Les pratiques efficaces comprennent :

  • Journalisation automatisee : Utilisez les outils MLOps pour capturer automatiquement les parametres d'entrainement, les versions des donnees, les architectures de modeles et les metriques de performance
  • Controle de version pour la documentation : Traitez la documentation comme du code -- versionnez-la, revisez-la et suivez les changements
  • Modeles : Creez des modeles normalises qui correspondent a la structure de l'annexe IV afin que les developpeurs sachent exactement quelles informations capturer a chaque etape
  • Attribution de responsabilites : Designez des membres d'equipe specifiques comme responsables de chaque section de la documentation

Maintenez un document vivant

La documentation technique au titre du Reglement sur l'IA de l'UE n'est pas un livrable statique. Elle doit etre mise a jour chaque fois que le systeme d'IA fait l'objet de modifications substantielles. Les organisations devraient etablir :

  • Des procedures de gestion des changements qui declenchent des mises a jour de la documentation lorsque des modifications du systeme se produisent
  • Des revues periodiques pour s'assurer que la documentation reste exacte, meme en l'absence de modifications du systeme
  • Des pistes d'audit indiquant quand la documentation a ete mise a jour, par qui et en reponse a quel changement

Assurez l'accessibilite

La documentation doit etre accessible aux autorites de surveillance du marche sur demande. Le reglement precise que la documentation doit etre mise a disposition dans un delai raisonnable. En pratique, cela signifie :

  • La documentation doit etre stockee dans un systeme centralise et organise
  • Elle doit etre rapidement retrouvable -- ne dispersez pas la documentation entre de multiples referentiels, wikis et lecteurs partages sans index clair
  • Les controles d'acces doivent permettre au personnel autorise de produire la documentation sur demande

Pieges courants en matiere de documentation

Descriptions vagues du systeme. « Un systeme d'IA pour le service client » n'est pas une description suffisante. La documentation doit etre specifique sur la fonctionnalite du systeme, les decisions qu'il prend ou soutient, les donnees qu'il traite et le contexte dans lequel il opere.

Provenance des donnees manquante. Les regulateurs demanderont d'ou proviennent vos donnees d'entrainement, comment elles ont ete selectionnees, comment elles ont ete etiquetees et quelles mesures de detection des biais ont ete appliquees. « Nous avons utilise des donnees disponibles publiquement » n'est pas une reponse adequate.

Documentation obsolete. Un document techniquement parfait qui decrit la version 1.0 d'un systeme qui en est maintenant a la version 3.2 n'est pas conforme. La documentation doit refleter l'etat actuel du systeme.

Absence de registres de gestion des risques. Le systeme de gestion des risques au titre de l'article 9 doit etre documente de maniere iterative tout au long du cycle de vie. Si vous ne pouvez pas montrer comment les risques ont ete identifies, evalues et attenués, votre documentation est incomplete.

Negligence de la surveillance apres la mise sur le marche. Le plan de surveillance apres la mise sur le marche est une composante obligatoire de la documentation technique, pas une reflexion a posteriori. Il doit etre inclus avant la mise sur le marche du systeme.

Exigences de conservation et de langue

La documentation technique doit etre conservee pendant une periode de 10 ans apres la mise sur le marche ou la mise en service du systeme d'IA a haut risque.

La documentation doit etre mise a disposition dans une langue facilement comprehensible par les autorites competentes des Etats membres ou le systeme est mis sur le marche. En pratique, cela signifie generalement la langue officielle de chaque Etat membre ou le systeme est disponible, bien que le Reglement sur l'IA permette une langue unique acceptee par l'autorite competente concernee.

La periode de conservation de 10 ans est considerablement plus longue que ce que de nombreuses organisations conservent actuellement en termes de dossiers techniques. Assurez-vous que votre systeme de gestion de la documentation est concu pour un stockage et une recuperation a long terme.

Sanctions en cas de non-conformite

Le defaut de maintien d'une documentation technique adequate constitue une violation des obligations des fournisseurs au titre du Reglement sur l'IA de l'UE. La non-conformite aux exigences de l'article 11 et de l'annexe IV peut entrainer des amendes administratives pouvant atteindre 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial total, le montant le plus eleve etant retenu.

Plus concretement, une documentation inadequate fera echouer une evaluation de la conformite. Sans evaluation de la conformite, le fournisseur ne peut pas emettre de declaration UE de conformite, ce qui signifie que le systeme ne peut pas recevoir le marquage CE, ce qui signifie qu'il ne peut pas etre legalement mis sur le marche de l'UE.

Conclusion

La documentation technique n'est pas de la bureaucratie pour elle-meme -- c'est le mecanisme par lequel les fournisseurs demontrent que leur systeme d'IA est sur, equitable et conforme. Les exigences de l'annexe IV sont detaillees et exigeantes, mais elles sont aussi previsibles. Les organisations qui integrent la documentation dans leurs flux de travail de developpement des le depart trouveront la conformite gerable. Celles qui la traitent comme une adaptation retroactive la trouveront penible et couteuse.

Le moment d'etablir des pratiques de documentation est maintenant. Auditez votre documentation actuelle par rapport aux exigences de l'annexe IV, identifiez les lacunes, mettez en oeuvre des outils pour automatiser ce qui peut l'etre, et assurez-vous que vos equipes comprennent quelles informations doivent etre capturees a chaque etape du cycle de vie du systeme d'IA.

Make Your AI Auditable and Compliant

Ctrl AI provides expert-verified reasoning units with full execution traces — the infrastructure you need for EU AI Act compliance.

Explore Ctrl AI

Articles connexes

Compliance16 min read

Liste de controle de conformite au Reglement sur l'IA de l'UE pour les CTO et CIO

Liste de controle actionnable pour les dirigeants technologiques -- evaluez vos systemes d'IA, comprenez les exigences et elaborez une feuille de route de conformite au Reglement sur l'IA de l'UE avant l'echeance de 2026.

Regulation21 min read

Systemes d'IA a haut risque : Exigences completes au titre du Reglement sur l'IA de l'UE

Guide detaille des exigences relatives aux systemes d'IA a haut risque au titre du Reglement sur l'IA de l'UE -- gestion des risques, gouvernance des donnees, documentation, controle humain, exactitude et cybersecurite.

Compliance8 min read

Evaluation de la conformite au titre du Reglement sur l'IA de l'UE

Guide des procedures d'evaluation de la conformite pour les systemes d'IA a haut risque -- controle interne, evaluation par des tiers, marquage CE et declaration UE de conformite expliques.