Annexe IV

L'annexe IV du EU AI Act définit la documentation technique complète que les fournisseurs de systèmes d'IA à haut risque doivent créer et tenir à jour. Cette documentation sert de base probante pour l'évaluation de la conformité, en démontrant aux autorités et aux organismes notifiés qu'un système d'IA respecte toutes les exigences applicables. L'annexe IV n'est pas un simple inventaire de documents à produire : elle exige des preuves que des processus, des contrôles et des garde-fous spécifiques ont effectivement été mis en œuvre dans le développement et l'exploitation du système.

La documentation technique doit inclure plusieurs grandes sections. Description générale : une vue d'ensemble du but prévu du système d'IA, de la manière dont il interagit avec le matériel et les logiciels, des versions logicielles pertinentes, des formes sous lesquelles le système est mis sur le marché et des utilisateurs visés. Informations détaillées sur le développement : description de l'architecture du système, des ressources de calcul utilisées, des spécifications de conception, des méthodologies de développement et des choix de conception clés, y compris la justification des techniques et solutions retenues. Documentation de gestion des risques : preuves de la mise en œuvre du système de gestion des risques, incluant l'identification, l'analyse, l'évaluation et les mesures d'atténuation tout au long du cycle de vie. Gouvernance des données : informations détaillées sur les jeux de données d'entraînement, de validation et de test, notamment les processus de collecte, les opérations de préparation, les hypothèses sur ce que les données mesurent, l'évaluation de la disponibilité et de l'adéquation des données, et les mesures pour détecter et traiter les biais. Tests et validation : métriques utilisées pour mesurer la précision, la robustesse et la conformité, procédures et résultats de test, mesures de cybersécurité et solutions adoptées pour satisfaire les exigences. Surveillance et journalisation : description des capacités de journalisation (exigences de l'article 12), plans de surveillance après commercialisation et mécanismes de capture du comportement du système et des interventions humaines.

Le défi de l'annexe IV n'est pas seulement le volume de documentation, mais sa qualité. Les auditeurs et organismes notifiés qui examinent des dossiers au titre de l'annexe IV cherchent des preuves que les contrôles existent et fonctionnent, et non de simples assertions. Cela signifie que la documentation technique doit être reliée à des artefacts vérifiables : résultats de test réels, journaux d'audit effectifs, évaluations des risques authentiques qui ont influencé les décisions de conception. Les organisations qui traitent l'annexe IV comme un exercice documentaire déconnecté de l'ingénierie auront des difficultés lors de l'évaluation de la conformité, lorsque les examinateurs chercheront le lien entre les déclarations et la réalité.

Commencez par réaliser une analyse d'écart entre vos pratiques actuelles et les exigences de l'annexe IV. La plupart des organisations disposent déjà d'une certaine documentation technique, mais elle est rarement structurée pour satisfaire des exigences réglementaires. Les lacunes typiques incluent : une documentation insuffisante de la provenance des données d'entraînement et du prétraitement, peu de preuves de tests de biais et de mesures d'atténuation, une traçabilité manquante entre les décisions de gestion des risques et l'implémentation technique, et une journalisation inadéquate qui ne capture pas les informations attendues par les auditeurs. Construire la documentation de l'annexe IV a posteriori est extrêmement difficile ; la meilleure approche consiste à intégrer la capture de preuves dans vos workflows de développement et de déploiement dès le départ.