Surveillance après commercialisation

La surveillance après commercialisation est le processus systématique et continu consistant à collecter, analyser et exploiter des données sur la performance, le comportement et les impacts d'un système d'IA après son déploiement en production. Cette surveillance permet de détecter des dégradations, d'identifier des risques émergents, de répondre à des incidents et de maintenir la conformité sur tout le cycle de vie opérationnel.

L'article 72 du EU AI Act impose aux fournisseurs de systèmes à haut risque d'établir un système de surveillance après commercialisation proportionné à la nature de la technologie et aux risques. Il ne s'agit pas d'une observation optionnelle, mais d'une obligation de conformité avec des exigences spécifiques de documentation et d'action. Le règlement reconnaît que les systèmes d'IA se comportent différemment en production que dans des environnements de test contrôlés : les distributions de données évoluent, les comportements utilisateurs changent et des cas limites émergent. La surveillance après commercialisation fournit la boucle de retour nécessaire pour détecter ces changements et réagir avant qu'ils ne causent un préjudice ou une non-conformité. Elle est aussi étroitement liée aux obligations de notification d'incidents graves de l'article 73 : lorsque la surveillance révèle des incidents ou dysfonctionnements constituant une violation des obligations liées aux droits fondamentaux ou des risques sérieux pour la santé, la sécurité ou les droits fondamentaux, les fournisseurs doivent notifier les autorités compétentes dans des délais définis. Une surveillance efficace est donc la base de la détection et du reporting réglementaire.

Les fournisseurs doivent documenter leur approche via un plan formel précisant quelles données seront collectées, comment elles seront analysées, quels seuils déclenchent des actions et qui est responsable de la revue et de la réponse. Ce plan fait partie de la documentation technique de l'annexe IV et doit être mis à jour à mesure que le système et son contexte évoluent. Les dimensions clés incluent : métriques de performance (exactitude, fiabilité, stabilité), détection de dérive (changements dans les distributions d'entrée ou le comportement), surveillance des biais (métriques d'équité par groupes protégés), suivi des incidents (erreurs, pannes, plaintes) et surveillance des usages (écarts entre usage réel et usage prévu).

Mettez en place des procédures d'escalade claires reliant les constats de surveillance à des actions correctives. Une dégradation mineure peut déclencher un ré-entraînement ; des biais significatifs ou des problèmes de sécurité peuvent exiger la suspension du système en attendant une enquête. Les preuves de surveillance (données collectées, analyses et actions) doivent être conservées et mises à disposition des autorités sur demande.