Modèle EU AI Act Article 17 QMS (Système de gestion de la qualité pour l'IA à haut risque)
Télécharger un modèle pratique Quality Management System (QMS) aligné sur EU AI Act Article 17. Conçu pour la construction d'équipes ou la fourniture de systèmes d'IA à haut risque.
Ce n'est pas "la poésie conformité". Il s'agit d'une structure QMS qui fonctionne : politiques, procédures, dossiers et indices qui rendent l'évaluation de la conformité et les audits survivables.
Échantillon fictif. Pas un conseil juridique.
Article 17 QMS n'est pas un classeur. C'est votre système d'exploitation
Un système de gestion de la qualité est comment vous prouvez (à nouveau) que vous:
- Construisez ce que vous avez dit.
- le contrôle change quand la réalité bouge,
- surveiller le comportement réel après la sortie,
- et peut expliquer ce qui s'est passé quand quelque chose tourne mal.
Si votre système d'IA est à haut risque, Article 17 dit efficacement : vous ne pouvez pas improviser.
prEN 18286 est le projet de norme "comment faire Article 17"
Si vous construisez un EU AI Act QMS aujourd'hui, vous continuerez à voir ce mot-clé.
prEN 18286: Système de gestion de la qualité de l'intelligence artificielle à des fins réglementaires EU AI Act
Il s'agit d'un projet de norme européenne visant à rendre opérationnelle Article 17 en exigences auditables QMS, tout au long du cycle de vie de l'IA.
Implication pratique: avant même que le prEN 18286 ne devienne final, c'est déjà façonner comment les gens parlent de Article 17 (et comment les auditeurs s'attendent à ce que votre QMS regarde).
Cette page (et le modèle) est structurée de sorte que vous pouvez cartographier proprement les éléments Article 17 QMS (a-m) et les obligations liées comme la gestion des risques, la surveillance post-commercialisation et la déclaration d'incident grave.
Ce que vous obtenez
Deux artefacts : un pack de gabarit Article 17 QMS rempli, et une exportation Evidence Room désinfectée montrant à quoi ressemble « auditor-grade ».
Paquet modèle QMS (ZIP)
- Un schéma manuel QMS cartographié à Article 17(1)a)-(m)
- Politiques et procédures à remplir pour le contrôle du cycle de vie, la gouvernance des données, la gestion des risques, la surveillance après la mise en marché, la déclaration des incidents
- Documents et formulaires requis : examen de la gestion, vérification interne, demande de changement, AAC, examen des fournisseurs
- Contrôle des documents cuits au four (propriétaire, approuvé, historique de révision, date de révision)
- Points de preuve par clause (réclamation -> artefact -> système d'enregistrement -> preuve d'intégrité)
Échantillon Evidence Room Exportation (PDF)
- QMS politiques, procédures et instructions de travail (exemple)
- Manifeste de preuves avec hashs par artefact (preuves d'intégrité)
- Extraits de contrôle du changement (ce qui a changé, qui a approuvé, ce qui a été testé)
- Rapport de suivi et d'échantillonnage (qualité + quasi-mauvaises politiques)
- Dossiers de décision sur la surveillance humaine (pistes de révision)
- Extrait de la vérification interne et extrait de l'examen de la gestion
- Dossier de l'exercice de gestion des incidents (exercice de table)
Article 17 QMS: les 13 éléments requis (a-m)
Cliquez sur n'importe quel élément pour voir ce que les vérificateurs des preuves attendent habituellement.
Chaque élément doit avoir un propriétaire, une procédure documentée et des enregistrements opérationnels. Cliquez pour voir les preuves attendues.
Ce qu'exige Article 17 (et ce que veulent habituellement les vérificateurs des preuves)
La loi énumère 13 éléments QMS (a-m). L'astuce ne les énumère pas. L'astuce est de prouver qu'ils existent comme des processus répétables avec des enregistrements.
Preuve à conserver
- Cartographie Conformité + énoncé de portée
- Procédure de contrôle des modifications et seuils de "modification des matériaux"
- Dossiers d'approbation des rejets
Construire un QMS qui ne pourrit pas
Un QMS meurt quand il devient « quelque chose que nous avons écrit une fois ». Gardez-le en vie avec des déclencheurs et une cadence explicites.
PLAN
Définir le périmètre & les contrôles
Définir objectifs, processus et ressources nécessaires.
Actions clés
- Définir clairement le périmètre QMS
- Fixer posture de risque et objectifs qualité
- Assigner les owners des contrôles
- Définir les déclencheurs de mise à jour
Définissez les déclencheurs de mise à jour dès le départ : changements modèle/prompt/outils/données, résultats du monitoring, incidents et changements fournisseurs.
Playbook d'implémentation
Cinq étapes pour construire un QMS qui fonctionne réellement.
Définir la portée avec une clarté douloureuse
- Qu'est-ce que le système d'IA à haut risque?
- Où sont ses limites (modèle, workflow, données, UI, examinateurs humains, fournisseurs)?
- Qui est le fournisseur vs le déployeur vs importer/distributor (le cas échéant)?
Choisir une structure qui correspond à la façon dont les ingénieurs fonctionnent réellement
- Garder les politiques courtes (principes + règles obligatoires).
- Mettre le "comment" dans les procédures et les instructions de travail.
- Utilisez forms/records pour forcer la répétabilité.
Décider les déclencheurs de mise à jour avant
- Le modèle change (poids, fournisseur, version, paramètres de décodage)
- Prompts/tools/agents changement important
- Changement des pipelines de données
- La surveillance constate une dérive ou des erreurs systématiques
- Incidents survenus (ou regroupement de quasi-incidents)
- Changement de fournisseur (modèle API, hébergement, fournisseurs d'annotation)
Exécutez des audits internes comme vous le pensez
- Audit du processus, pas seulement du document
- Non-conformité des registres
- Suivre les mesures correctives et la vérification
Traiter la surveillance post-commercialisation comme le rythme cardiaque QMS
- Si la surveillance n'est pas liée à l'examen de gestion et à l'ACAP, le QMS est décoratif
La façon dont Article 17 QMS échoue habituellement dans la vie réelle
- "Nous avons un QMS doc" (mais pas de dossiers, pas de cadence, pas de propriétaires)
- La gestion du changement existe pour le code, mais pas pour les pipelines prompts/models/data
- La surveillance existe, mais elle n'alimente pas l'examen des risques ni les mesures correctives
- La déclaration des incidents est définie, mais personne ne l'a pratiquée (aucun exercice)
- La preuve est diffusée sur 12 outils sans intégrité ni traçabilité
Chaîne de données probantes (QMS -> dossiers -> intégrité -> vérification)
Les auditeurs ne veulent pas seulement le document QMS. Ils veulent la preuve qu'il fonctionne (les dossiers) et la preuve que les dossiers sont dignes de confiance (intégrité).
Les auditeurs veulent prouver que votre QMS tourne (enregistrements) et que ces enregistrements sont fiables (preuves d’intégrité).
Transformer les opérations en éléments de preuve prêts à être vérifiés
KLA Digital peut vous aider à maintenir une Article 17 QMS provable en continu.
- Gouvernance: les points de contrôle en tant que code mettent en pause des étapes risquées pour l'examen humain
- Mesure: Contrôles d'échantillonnage accuracy/grounding et quasi-mauvaises politiques
- Prouvez : Dossier d'audit hash-chained, append-only + Evidence Room export bundles records avec des preuves d'intégrité
Notre conviction assumée: l'Europe rivalise en expédiant rapidement des agents d'IA, sans perdre de probabilité lorsque le régulateur vient frapper.
Générer une exportation Evidence Room comme un paquet signé:
# Evidence Room export as PDF (example) kla export evidence --tenant $KLA_TENANT_ID --days 30 --format pdf # Filter by framework or controls kla export evidence --tenant $KLA_TENANT_ID --frameworks "EU AI Act" --format pdf
FAQ
Est-ce que Article 17 QMS est nécessaire pour tous les systèmes d'IA?
L'Article 17 s'applique aux fournisseurs de systèmes d'IA à haut risque au titre du EU AI Act.
Pouvons-nous réutiliser le travail ISO 9001 ou ISO/IEC 42001?
Souvent oui. De nombreuses équipes intègrent Article 17 dans un système de gestion de la qualité existant. Cependant, vous devez explicitement couvrir les éléments de la Loi sur l'IA et conserver des preuves.
Où se situe le prEN 18286?
prEN 18286 est un projet de norme européenne axé sur une QMS à des fins réglementaires. Il est explicitement pertinent pour Article 17 et aura probablement une incidence sur les attentes des vérificateurs.
Quel "grand" devrait être notre QMS ?
De taille droite pour votre organisation, mais pas vague. Le minimum est bon; les contrôles manquants ne l'est pas. Votre QMS devrait être assez petit pour courir et assez strict pour prouver.
Que devons-nous préparer avant l'évaluation de la conformité?
Au minimum : énoncé de la portée, QMS manual/policies/procedures, dossiers démontrant l'exploitation (approbations de changement, tests/validation, examens de surveillance, vérifications internes, examens de gestion) et une histoire de traçabilité pour l'intégrité des preuves.
Ressources connexes
Raccourcis pour les équipes d'approvisionnement, d'ingénierie et de risque.
Livre blanc sur la sécurité
Une vue d'ensemble des contrôles et de la posture pour les achats PDF.
Démo d'exportation des preuves
Voir comment les exportations sont générées à partir de preuves de l'exécution.
Vous voulez le pack modèle complet QMS?
Obtenez le pack Article 17 complet (politiques, procédures, dossiers et indicateurs de preuve) ainsi qu'une passerelle axée sur la préparation à l'évaluation de la conformité et la cartographie prEN 18286.