Article 17 du règlement (UE) 2024/1689 — Système de management de la qualité. Texte officiel, interprétation pratique, obligations essentielles et implications pour la conformité.
Résumé du texte officiel
L'article 17 du règlement (UE) 2024/1689 impose aux fournisseurs de systèmes d'IA à haut risque de mettre en place un système de management de la qualité (SMQ) avant de placer ces systèmes sur le marché ou de les mettre en service. Le SMQ doit être documenté de manière systématique et ordonnée et doit couvrir toutes les étapes du cycle de vie du système d'IA.
Le règlement précise que le SMQ doit aborder, au minimum : la stratégie du fournisseur en matière de conformité réglementaire, y compris les procédures d'évaluation de la conformité ; les techniques, procédures et actions systématiques utilisées pour la conception, le contrôle de conception et la vérification du système d'IA ; les procédures de gestion des données couvrant l'acquisition, la collecte, l'analyse, l'étiquetage, le stockage, le filtrage, l'exploration, l'agrégation et la conservation des données ; le système de gestion des risques tel que prévu à l'article 9 ; l'établissement et la mise en œuvre du système de surveillance post-commercialisation conformément à l'article 72 ; les procédures de déclaration des incidents conformément à l'article 73 ; le traitement des communications avec les autorités compétentes, les organismes notifiés et les autres opérateurs concernés ; les systèmes et procédures de tenue de registres ; la gestion des ressources, y compris les mesures liées à la chaîne d'approvisionnement ; et un cadre de responsabilité documentant les responsabilités au sein de l'organisation.
Lorsque les fournisseurs sont des personnes physiques ou des micro-entreprises au sens de la recommandation 2003/361/CE de la Commission, celle-ci est habilitée à adopter des actes d'exécution autorisant des arrangements SMQ simplifiés, reconnaissant ainsi le principe de proportionnalité qui traverse l'ensemble du règlement.
Ce que cela signifie en pratique
Pour toute organisation qui développe ou met un système d'IA à haut risque sur le marché de l'UE, l'article 17 signifie que la conformité ne peut pas être un exercice ponctuel réalisé au moment de la mise sur le marché. Elle doit être intégrée dans un système organisationnel vivant qui régit l'ensemble du cycle de vie du produit — depuis les premières décisions de conception jusqu'au déploiement, à la surveillance et au retrait éventuel.
Concrètement, un fournisseur doit être en mesure de démontrer que des procédures documentées existent et sont suivies à chaque étape. Un fournisseur d'IA de santé, par exemple, ne peut pas simplement entraîner un modèle et le soumettre à une évaluation de la conformité. L'organisation doit démontrer que l'approvisionnement en données a respecté des règles de gouvernance documentées, que les choix de conception ont été examinés au regard de critères de risque, que les responsabilités en matière de surveillance sont attribuées et consignées, et qu'un mécanisme existe pour détecter et signaler les incidents post-déploiement.
L'exigence relative au SMQ signifie que la conformité constitue autant un défi organisationnel et procédural que technique. Les entreprises qui opèrent déjà sous ISO 9001 ou des cadres de management sectoriels — tels que l'ISO 13485 pour les dispositifs médicaux — constateront des chevauchements significatifs, mais devront néanmoins mettre en correspondance explicitement leurs systèmes existants avec les exigences du règlement IA plutôt que de supposer une équivalence.
Les fournisseurs de moindre taille bénéficient de la disposition de proportionnalité : les micro-entreprises peuvent bénéficier d'arrangements simplifiés dans le cadre des actes d'exécution publiés par la Commission. Cela ne les exempte toutefois pas des obligations substantielles sous-jacentes ; cela peut uniquement affecter la forme sous laquelle ces obligations sont documentées et gérées.
En pratique, les fournisseurs devraient considérer le SMQ comme la colonne vertébrale centrale à partir de laquelle tous les autres artefacts de conformité — documentation technique, registres des risques, plans de surveillance post-commercialisation, journaux des incidents — sont générés et gouvernés.
Obligations essentielles
- Établir un système de management de la qualité documenté avant de placer un système d'IA à haut risque sur le marché ou de le mettre en service, couvrant toutes les phases du cycle de vie.
- Intégrer les procédures de gestion des risques requises par l'article 9 dans le SMQ, en veillant à ce que l'identification, l'évaluation et l'atténuation des risques soient systématiques et traçables.
- Documenter les pratiques de gestion des données couvrant l'acquisition, l'étiquetage, le traitement, le stockage et la conservation, conformément aux exigences de gouvernance des données de l'article 10.
- Maintenir la documentation technique spécifiée à l'article 11 et à l'annexe IV en tant que résultat du SMQ, en la gardant à jour et accessible à des fins d'évaluation de la conformité et de surveillance du marché.
- Mettre en œuvre des procédures de surveillance post-commercialisation et de déclaration des incidents dans le cadre du SMQ, alignées respectivement sur les articles 72 et 73.
- Définir et documenter les structures de responsabilité, les rôles et les responsabilités au sein de l'organisation, y compris la supervision de la chaîne d'approvisionnement lorsque des composants tiers contribuent au système d'IA.
Relation avec les autres articles
L'article 17 constitue l'ossature organisationnelle du régime de conformité des systèmes d'IA à haut risque établi au titre III, chapitre 3. Il tire son contenu substantiel de plusieurs obligations interdépendantes : le système de gestion des risques de l'article 9, les exigences relatives aux données et à la gouvernance des données de l'article 10, et le régime de documentation technique de l'article 11 alimentent directement ce que le SMQ doit couvrir et produire.
Le SMQ doit également soutenir les procédures d'évaluation de la conformité prévues aux articles 43 et 44, car la documentation qu'il génère constitue la preuve principale examinée par les organismes notifiés ou les processus d'auto-évaluation. Les obligations post-déploiement au titre de l'article 72 (surveillance post-commercialisation) et de l'article 73 (déclaration d'incidents graves) doivent être intégrées dans les procédures du SMQ plutôt que gérées comme des activités ad hoc distinctes.
L'article 26 impose aux déployeurs des obligations distinctes mais complémentaires aux obligations SMQ pesant sur les fournisseurs. Lorsque fournisseurs et déployeurs se confondent — par exemple, lorsqu'une organisation développe et déploie en interne un système d'IA à haut risque — le SMQ de l'article 17 doit être lu conjointement avec les obligations du déployeur de l'article 26 pour garantir une couverture complète.
Calendrier de conformité
Le règlement IA de l'UE est entré en vigueur le 1er août 2024, à la suite de sa publication au Journal officiel de l'Union européenne. L'application de ses dispositions est progressive :
- Février 2025 — Les interdictions relatives aux pratiques d'IA présentant un risque inacceptable (article 5) sont devenues applicables.
- Août 2025 — Les obligations relatives aux modèles d'IA à usage général (titre VIII) sont devenues applicables.
- 2 août 2026 — L'article 17 devient applicable aux fournisseurs de systèmes d'IA à haut risque figurant à l'annexe III (systèmes dans des domaines tels que la biométrie, les infrastructures critiques, l'éducation, l'emploi, les services essentiels, l'application de la loi, la migration et l'administration de la justice).
- 2 août 2027 — L'article 17 devient applicable aux fournisseurs de systèmes d'IA à haut risque régis par l'annexe I (composants IA dans des produits déjà soumis à la législation d'harmonisation de l'Union tels que les dispositifs médicaux, les machines et les équipements d'aviation).
Les fournisseurs dont les systèmes sont déjà sur le marché avant ces dates bénéficient de dispositions transitoires au titre de l'article 111, qui peuvent reporter les obligations complètes de conformité SMQ sous réserve de conditions liées aux modifications significatives et aux cycles d'évaluation de la conformité en cours. Les organisations devraient commencer la conception du SMQ et les évaluations des écarts bien avant l'échéance applicable afin de permettre la validation interne, l'engagement des organismes notifiés le cas échéant, et le perfectionnement itératif avant que l'obligation ne s'applique.
Calendrier officiel de conformité AI Act
Mis à jour le · Sources : Règlement (UE) 2024/1689 et Digital Omnibus AI 2026.
| Obligation | S'applique à | Date initiale | Nouvelle date | Statut | Compte à rebours | Base légale |
|---|---|---|---|---|---|---|
| Pratiques interdites (Art. 5) | Tous les fournisseurs et déployeurs | active | — | AI Act Art. 5 | ||
| Règles GPAI (chapitre 5) | Fournisseurs de modèles GPAI | active | — | AI Act Art. 51-56 | ||
| IA à haut risque — Annexe III (autonomes) | Fournisseurs de systèmes autonomes Annexe III | deferred | — | Omnibus AI 2026 Art. 6(2) | ||
| IA à haut risque — Annexe I (embarquée) | Systèmes IA embarqués dans produits réglementés Annexe I | deferred | — | Omnibus AI 2026 Art. 6(1) | ||
| Marquage contenu IA (transparence) | Fournisseurs de systèmes GPAI génératifs | active | — | AI Act Art. 50(2) | ||
| Bacs à sable réglementaires | Autorités nationales compétentes | active | — | AI Act Art. 57 |
⬇ Télécharger JSON · CC BY 4.0
Convergence AI Act – DORA – NIS2
Votre organisation est-elle soumise à la fois à l'AI Act et à DORA ? Les deux règlements se croisent sur la résilience opérationnelle des systèmes d'IA financiers. Notre site jumeau regulation-dora.eu couvre DORA en profondeur.
Explorer regulation-dora.eu ↗Questions fréquentes
L'article 17 impose l'obligation de mettre en place un système de management de la qualité exclusivement aux fournisseurs de systèmes d'IA à haut risque au sens de l'article 6 et de l'annexe III du règlement (UE) 2024/1689. Les déployeurs ne sont pas soumis à cette obligation spécifique, bien qu'ils aient des devoirs distincts en vertu de l'article 26.
Le SMQ doit couvrir au minimum : une stratégie de conformité réglementaire, des méthodologies de conception et de développement, des procédures de gestion des données, la gestion des risques telle que prévue à l'article 9, la documentation technique conformément à l'article 11, la tenue de journaux et la conservation des documents, la surveillance post-commercialisation conformément à l'article 72, les obligations de déclaration d'incidents, et les dispositifs de surveillance humaine.
L'article 17 n'impose aucune norme de certification spécifique. Toutefois, la conformité à des normes reconnues telles que l'ISO 9001 ou leurs équivalents sectoriels peut contribuer à démontrer la conformité, notamment lorsque les normes harmonisées visées à l'article 40 intègrent des exigences relatives aux SMQ.
Le SMQ et la documentation technique sont étroitement liés. Le SMQ doit générer et maintenir la documentation technique requise par l'article 11 et l'annexe IV, et cette documentation constitue la preuve principale du bon fonctionnement du SMQ lors de l'évaluation de la conformité.
L'article 17 s'applique aux fournisseurs de systèmes d'IA à haut risque figurant à l'annexe III à compter du 2 août 2026, et aux fournisseurs de systèmes d'IA à haut risque relevant de l'annexe I (législation sectorielle d'harmonisation de l'Union) à compter du 2 août 2027, sous réserve des dispositions transitoires de l'article 111.
Restez informé des évolutions AI Act
Recevez les alertes compliance quand les délais ou obligations changent.
Pas de spam. Désabonnement en un clic.