La plupart des programmes de conformité échouent parce qu'ils restent trop longtemps au stade conceptuel. Cette checklist traduit les obligations de l'article 17 en chantiers opérationnels que les équipes produit, ingénierie et conformité peuvent exécuter concrètement. Utilisez-la comme socle programmatique, puis adaptez-la selon votre secteur et votre profil de risque.
Phase 1 : Définir le périmètre et classifier
Commencez par déterminer précisément quels systèmes et quelles versions entrent dans le périmètre des obligations applicables aux systèmes à haut risque. Ne construisez pas de contrôles pour un périmètre non défini.
La clarté des rôles est essentielle. Les obligations du fournisseur diffèrent de celles du déployeur, et la confusion des rôles reste l'une des sources de reprise de travail les plus coûteuses.
- Inventorier les systèmes d'IA et classifier leur statut de haut risque selon la finalité prévue
- Confirmer les frontières fournisseur/déployeur par produit et par scénario client
- Suivre le traitement transitoire pour les mises sur le marché antérieures et les modifications
Phase 2 : Construire la cartographie exigences-contrôles
Créez une matrice d'exigences couvrant les articles 9 à 15 ainsi que les familles de contrôles de l'article 17. Chaque exigence doit avoir un responsable désigné, une procédure opérationnelle et une définition de l'artefact de preuve associé.
Lorsque les normes harmonisées ne sont pas disponibles ou ne couvrent pas intégralement les exigences, documentez explicitement les mesures techniques alternatives et leur justification.
- Gestion des risques (article 9) intégrée aux contrôles de mise en production et de gestion des changements
- Gouvernance des données (article 10) avec logique de représentativité et de gestion des biais
- Documentation technique et préparation à la tenue des registres (articles 11-12)
- Transparence, contrôle humain et seuils de qualité (articles 13-15)
Phase 3 : Opérationnaliser les contrôles du cycle de vie
Des procédures documentées sont nécessaires mais insuffisantes. Les contrôles doivent être actifs aux étapes de conception, de test, de déploiement, de surveillance après mise sur le marché et de gestion des incidents.
Un point faible récurrent est la gouvernance des changements : les équipes suivent les changements de version mais n'évaluent pas l'impact sur la conformité selon la logique de modification substantielle de l'article 3, paragraphe 23.
- Vérification pré-déploiement avec preuves de test reproductibles
- Gouvernance des fournisseurs et des composants externes avec des contrôles proportionnés au risque
- Points de contrôle de gestion des changements déclenchant une réévaluation lorsque nécessaire
- Traçabilité reliant les versions en production à la documentation et aux preuves
Phase 4 : Développer la capacité de surveillance post-marché et de gestion des incidents
La surveillance après mise sur le marché et la préparation aux incidents graves sont les domaines où les programmes théoriques échouent en conditions réelles. Mettez en place les processus dès maintenant, pas après le lancement.
Les équipes opérationnelles devraient réaliser des exercices de simulation au moins chaque trimestre afin que les circuits d'escalade et les responsabilités de signalement ne restent pas théoriques.
- Définir les indicateurs de performance et de risque surveillés par système d'IA
- Fixer des seuils, des responsables et des délais de réponse (SLA) pour les événements indésirables
- Mettre en œuvre le tri des incidents, le signalement réglementaire et les boucles d'actions correctives
- Conserver les preuves dans un format exploitable pour les audits et les demandes des autorités
Phase 5 : Gouvernance, formation et qualité des preuves
L'efficacité du système de management de la qualité repose sur les compétences et la responsabilisation, pas uniquement sur des modèles de documents. Assurez-vous que les équipes concernées sont formées aux obligations spécifiques à leur rôle et à leur pouvoir de décision.
Pour accélérer votre mise en conformité, utilisez le guide de documentation de l'annexe IV et le référentiel d'exigences du Règlement européen sur l'IA conjointement avec cette checklist.
- Désigner les responsables et définir la gouvernance d'escalade au niveau de la direction
- Déployer des formations par rôle pour les équipes ingénierie, produit, juridique et opérations
- Réaliser des audits internes périodiques avec actions correctives et preuves de clôture
- Maintenir à jour un index de preuves consultable et présentable aux autorités de régulation
Foire aux questions
Quelle est la première action à entreprendre pour se conformer à l'article 17 ?
Définir le périmètre et les frontières de responsabilité. Sans un périmètre clair des systèmes à haut risque et des responsabilités du fournisseur, tout plan de contrôle en aval devient instable.
Faut-il attendre que toutes les normes harmonisées soient finalisées pour être conforme ?
Non. Vous devez mettre en œuvre les obligations légales de manière conforme. Les normes harmonisées facilitent les voies de présomption de conformité, mais les travaux de mise en conformité ne peuvent pas attendre leur publication complète.
Quelles preuves les auditeurs demandent-ils en premier ?
En règle générale : l'attribution des responsabilités de contrôle, les procédures opérationnelles, les artefacts de preuve liés aux versions, les registres de surveillance post-marché, les journaux de gestion des incidents et la preuve que les décisions de gouvernance sont effectivement exécutées.
Points clés à retenir
La conformité à l'article 17 relève d'une discipline de système de management, et non d'un simple jalon de projet. Les équipes qui utiliseront cette checklist comme un modèle opérationnel vivant seront mieux préparées tant pour l'échéance d'applicabilité d'août 2026 que pour le contrôle continu des autorités de surveillance.