Évaluation de la conformité

L'évaluation de la conformité est le processus formel qui détermine si un système d'IA à haut risque respecte l'ensemble des exigences applicables du EU AI Act. Ce processus doit être achevé avant que le système puisse être mis sur le marché de l'UE ou mis en service. Il ne s'agit pas d'une simple revue documentaire : il faut démontrer que les exigences techniques sont effectivement mises en œuvre et que les mécanismes de gouvernance fonctionnent réellement.

L'évaluation de la conformité est la porte d'entrée vers une mise sur le marché légale. Sans l'avoir complétée, les organisations ne peuvent pas apposer le marquage CE ni établir la déclaration UE de conformité requise. Pour les systèmes d'IA à haut risque relevant de l'annexe III, l'évaluation devient obligatoire en août 2026. Elle examine la conformité à l'ensemble des exigences applicables : gestion des risques (article 9), gouvernance des données (article 10), documentation technique (annexe IV), tenue des registres (article 12), transparence (article 13), supervision humaine (article 14), et précision, robustesse et cybersécurité (article 15).

La plupart des systèmes à haut risque suivent la procédure d'évaluation interne spécifiée à l'annexe VI. Dans ce cadre, le fournisseur évalue son propre système, documente l'évaluation et établit sa déclaration de conformité. Cette auto-évaluation doit être rigoureuse et étayée par des preuves ; il ne suffit pas d'affirmer la conformité. Cependant, certains systèmes à haut risque requièrent l'évaluation d'un organisme notifié. Cela inclut les systèmes d'identification biométrique à distance destinés à l'application de la loi et les systèmes d'IA utilisés comme composants de sécurité de produits déjà soumis à une évaluation tierce au titre d'autres réglementations européennes. L'organisme notifié examine le système de gestion de la qualité, la documentation technique et peut mener des tests avant d'émettre un certificat.

Qu'elle soit interne ou externe, l'évaluation de la conformité porte sur : la complétude et l'exactitude de la documentation technique de l'annexe IV, la mise en œuvre du système de gestion des risques avec des preuves de fonctionnement, les pratiques de gouvernance des données avec la provenance des données d'entraînement, les mécanismes de supervision humaine avec des preuves qu'ils fonctionnent réellement, ainsi que les résultats de test et validation démontrant précision et robustesse. Les organisations devraient traiter l'évaluation de la conformité comme un état de préparation continu plutôt que comme un exercice ponctuel.