Article 18 du Règlement (UE) 2024/1689 — Conservation de la documentation. Texte officiel, interprétation pratique, obligations clés et implications pour la conformité.
Résumé du texte officiel
L'Article 18 du Règlement (UE) 2024/1689 établit des obligations de conservation documentaire obligatoires pour les fournisseurs de systèmes d'IA à haut risque classifiés à l'Annexe III ou développés dans le cadre des dispositions du Titre III, Chapitre 2. L'article exige que les fournisseurs conservent, pendant une période de dix ans à compter de la date à laquelle le système d'IA à haut risque est mis sur le marché ou mis en service, un ensemble spécifique de documents et d'archives attestant la conformité au Règlement.
La documentation devant être conservée comprend : la documentation technique préparée conformément à l'Article 11 et à l'Annexe IV ; la documentation du système de management de la qualité requise par l'Article 17 ; la déclaration UE de conformité délivrée au titre de l'Article 47 ; le cas échéant, la documentation et les certificats délivrés par les organismes notifiés à la suite des évaluations de conformité effectuées au titre de l'Article 43 ; et les plans de surveillance post-commercialisation ainsi que les données collectées en vertu de l'Article 72.
Lorsqu'un fournisseur est établi en dehors de l'Union européenne, l'obligation de maintenir une documentation accessible incombe conjointement au fournisseur et au représentant autorisé établi dans l'UE désigné en vertu de l'Article 22. L'article précise en outre que lorsque le droit sectoriel de l'Union — tel que le Règlement relatif aux dispositifs médicaux (UE) 2017/745 ou le Règlement Machines (UE) 2023/1230 — prescrit une période de conservation plus longue pour des documents techniques équivalents, l'exigence sectorielle plus stricte s'applique, assurant ainsi la cohérence entre les cadres réglementaires.
Ce que cela signifie en pratique
Pour les équipes de conformité et les chefs de produit, l'Article 18 se traduit par un programme concret de gestion des archives qui doit être conçu avant qu'un système d'IA à haut risque n'atteigne le marché, et non ajouté après coup.
Qui est concerné. Toute entité juridique qualifiée de « fournisseur » au sens de l'Article 3(3) — généralement l'organisation qui développe ou fait développer un système d'IA à haut risque et le met sur le marché sous son propre nom ou sa propre marque — assume l'obligation principale. Les distributeurs tiers et les importateurs ne sont pas directement soumis à l'Article 18, mais peuvent déclencher des obligations équivalentes s'ils modifient substantiellement un système au titre de l'Article 25.
Ce qu'il convient de conserver. L'obligation couvre l'intégralité du cycle de vie documentaire : la documentation technique de la phase de conception (architecture, ensembles de données d'entraînement, évaluation des risques), les documents du système de management de la qualité incluant les pistes d'audit internes, la déclaration de conformité signée, les éventuels certificats des organismes notifiés, et le dossier de surveillance post-commercialisation évolutif. Le contrôle des versions est implicitement requis car les mises à jour constituant une modification substantielle remettent à zéro les obligations de conformité et donc le cycle documentaire.
Exemples pratiques. Une société fintech déployant un modèle de notation de crédit classifié à haut risque doit archiver la fiche modèle, les rapports de tests de biais, la déclaration de conformité, et tous les journaux d'incidents post-déploiement pendant dix ans. Un fabricant de dispositifs médicaux intégrant un outil de diagnostic alimenté par l'IA qui relève déjà du MDR doit vérifier si la règle de conservation de 15 ans du MDR s'applique, auquel cas cette période plus longue prévaut.
Recommandation opérationnelle. Les fournisseurs devraient mettre en place un système de gestion documentaire (DMS) avec accès basé sur les rôles, des calendriers de conservation automatisés liés aux dates de mise sur le marché, et une piste d'audit des accès et modifications — tous ces éléments soutenant également la préparation aux inspections de surveillance du marché au titre de l'Article 74.
Obligations clés
- Conserver la documentation technique compilée en vertu de l'Article 11 et de l'Annexe IV pendant une période minimale de 10 ans à compter de la date de mise sur le marché ou d'entrée en service du système d'IA à haut risque.
- Conserver la documentation du système de management de la qualité requise par l'Article 17, incluant les enregistrements des contrôles internes, les résultats des tests et les actions correctives, pendant la même période de 10 ans.
- Préserver la déclaration UE de conformité délivrée au titre de l'Article 47 et, lorsqu'une évaluation de conformité a été effectuée par un organisme notifié au titre de l'Article 43, tous les certificats et la correspondance y afférente délivrés par cet organisme.
- Maintenir les enregistrements de surveillance post-commercialisation collectés conformément au plan requis par l'Article 72, incluant les rapports d'incidents et toute notification d'incident grave soumise au titre de l'Article 73.
- Veiller à ce que la documentation soit stockée de manière à permettre sa production rapide aux autorités nationales de surveillance du marché sur demande pendant toute la période de conservation.
- Lorsqu'un représentant autorisé est désigné au titre de l'Article 22, ce représentant doit détenir une copie de la documentation et être habilité à la fournir aux autorités compétentes au nom du fournisseur.
Relation avec d'autres articles
L'Article 18 constitue le socle archivistique du cadre de conformité de l'IA à haut risque et ne peut être compris de manière isolée.
Il est en aval de l'Article 11 (documentation technique) et de l'Annexe IV, qui définissent ce qui doit être créé ; l'Article 18 régit ensuite la durée de conservation. Il dépend de l'Article 17 (système de management de la qualité) car les dossiers du SMQ qu'il exige doivent être préservés. Il renvoie à l'Article 47 (déclaration UE de conformité) et à l'Article 43 (évaluation de conformité), dont les résultats font partie du dossier conservé.
Les obligations post-commercialisation au titre de l'Article 72 (plan de surveillance post-commercialisation) et de l'Article 73 (notification des incidents graves) alimentent continuellement les archives documentaires tout au long de la durée de vie opérationnelle du système. L'Article 74 (surveillance du marché) et l'Article 75 (accès aux données et à la documentation) constituent les contreparties d'exécution : les inspecteurs exerçant leurs pouvoirs au titre de ces articles exigeront l'accès précisément aux documents dont l'Article 18 impose la conservation.
Pour les fournisseurs établis en dehors de l'UE, l'Article 22 relatif aux représentants autorisés doit être lu conjointement avec l'Article 18 pour déterminer quelle entité détient les documents physiques ou électroniques au sein de l'Union.
Calendrier de conformité
L'Acte IA UE est entré en vigueur le 1er août 2024, marquant le début du calendrier d'application progressif.
L'Article 18 s'inscrit dans le Titre III, Chapitre 3, qui régit les obligations des fournisseurs et déployeurs de systèmes d'IA à haut risque listés à l'Annexe III. Ces dispositions s'appliquent à compter du 2 août 2026 — la date d'application générale pour les IA à haut risque, soit 24 mois après l'entrée en vigueur.
Pour les systèmes d'IA à haut risque couverts par la législation sectorielle listée à l'Annexe I (par ex., machines, dispositifs médicaux, aviation civile), le délai est prolongé jusqu'au 2 août 2027, soit 36 mois après l'entrée en vigueur, en reconnaissance de la nécessité de s'aligner sur les cadres de conformité sectoriels existants.
Les fournisseurs doivent noter que le délai de conservation de 10 ans commence à courir à compter du moment où un système est mis sur le marché ou mis en service — ce qui peut intervenir à la date d'application applicable ou peu après. Les obligations documentaires prennent donc effectivement effet à la même date que l'ensemble des obligations à haut risque deviennent exécutoires. Les organisations qui anticipent la mise sur le marché de systèmes à ou près de la date d'août 2026 devraient avoir leur infrastructure de gestion des archives opérationnelle bien à l'avance, la documentation technique au titre de l'Article 11 devant exister avant la finalisation de l'évaluation de conformité.
Calendrier officiel de conformité AI Act
Mis à jour le · Sources : Règlement (UE) 2024/1689 et Digital Omnibus AI 2026.
| Obligation | S'applique à | Date initiale | Nouvelle date | Statut | Compte à rebours | Base légale |
|---|---|---|---|---|---|---|
| Pratiques interdites (Art. 5) | Tous les fournisseurs et déployeurs | active | — | AI Act Art. 5 | ||
| Règles GPAI (chapitre 5) | Fournisseurs de modèles GPAI | active | — | AI Act Art. 51-56 | ||
| IA à haut risque — Annexe III (autonomes) | Fournisseurs de systèmes autonomes Annexe III | deferred | — | Omnibus AI 2026 Art. 6(2) | ||
| IA à haut risque — Annexe I (embarquée) | Systèmes IA embarqués dans produits réglementés Annexe I | deferred | — | Omnibus AI 2026 Art. 6(1) | ||
| Marquage contenu IA (transparence) | Fournisseurs de systèmes GPAI génératifs | active | — | AI Act Art. 50(2) | ||
| Bacs à sable réglementaires | Autorités nationales compétentes | active | — | AI Act Art. 57 |
⬇ Télécharger JSON · CC BY 4.0
Convergence AI Act – DORA – NIS2
Votre organisation est-elle soumise à la fois à l'AI Act et à DORA ? Les deux règlements se croisent sur la résilience opérationnelle des systèmes d'IA financiers. Notre site jumeau regulation-dora.eu couvre DORA en profondeur.
Explorer regulation-dora.eu ↗Questions fréquentes
Les fournisseurs doivent conserver la documentation technique établie conformément à l'Article 11, la déclaration UE de conformité, la documentation du système de management de la qualité requise par l'Article 17, toutes décisions et documents délivrés par les organismes notifiés, ainsi que les rapports de surveillance post-commercialisation. Ces documents doivent être conservés pendant une période de 10 ans après la mise sur le marché ou la mise en service du système d'IA à haut risque.
L'Article 18 impose les obligations de conservation de documentation principalement aux fournisseurs. Toutefois, les déployeurs ont des obligations distinctes en vertu de l'Article 26, notamment la conservation des journaux générés automatiquement par les systèmes d'IA à haut risque, dans la mesure où ces journaux relèvent de leur contrôle. Les deux obligations sont complémentaires et doivent être lues conjointement.
La période de conservation générale est de 10 ans à compter de la date à laquelle le système d'IA à haut risque est mis sur le marché ou mis en service. Lorsque le droit sectoriel de l'Union impose une période de conservation plus longue, l'exigence sectorielle la plus stricte prévaut.
La documentation doit être conservée de manière à pouvoir être mise à disposition des autorités nationales compétentes sur demande tout au long de la période de conservation. Il n'existe pas d'exigence explicite que les documents soient détenus dans un pays spécifique, mais les fournisseurs doivent être en mesure de les produire rapidement à l'autorité de surveillance du marché de tout État membre où le système est déployé.
Restez informé des évolutions AI Act
Recevez les alertes compliance quand les délais ou obligations changent.
Pas de spam. Désabonnement en un clic.