Article 9 du Règlement (UE) 2024/1689 — Système de gestion des risques. Texte officiel, interprétation pratique, obligations clés et implications en matière de conformité.
Résumé du texte officiel
L'Article 9 du Règlement (UE) 2024/1689 impose un système de gestion des risques obligatoire et continu aux fournisseurs de systèmes d'IA à haut risque, couvrant l'intégralité du cycle de vie du système. La disposition exige que le système de gestion des risques consiste en un processus itératif intégré au développement et à l'exploitation du système d'IA à haut risque, mis à jour régulièrement à la lumière des nouvelles informations recueillies lors de la surveillance post-commercialisation.
Concrètement, l'Article 9 exige des fournisseurs qu'ils : (a) identifient et analysent tous les risques connus et raisonnablement prévisibles associés au système d'IA à haut risque ; (b) estiment et évaluent les risques susceptibles de se matérialiser lorsque le système est utilisé conformément à son objet prévu et dans des conditions d'utilisation abusive raisonnablement prévisible ; (c) évaluent les risques découlant des données disponibles et du comportement des personnes qui interagissent avec le système ; et (d) adoptent des mesures de gestion des risques appropriées sur la base de cette analyse.
Les mesures de gestion des risques doivent être telles que tout risque résiduel associé à chaque danger, ainsi que le risque résiduel global du système d'IA à haut risque, soit jugé acceptable. L'Article 9 précise également que des tests doivent être effectués pour identifier les mesures appropriées, et que ces tests doivent être conduits par rapport à des métriques définies et à des seuils probabilistes. Une attention particulière est requise lorsque le système est susceptible d'interagir avec des enfants ou d'autres groupes vulnérables. Les informations découlant de l'expérience des déployeurs doivent être réintroduites dans le processus de gestion des risques du fournisseur du système.
Ce que cela signifie en pratique
L'Article 9 est l'une des exigences les plus contraignantes sur le plan opérationnel du Titre III du Règlement UE sur l'IA. Il s'applique à toute personne morale qui se qualifie de fournisseur d'un système d'IA à haut risque — c'est-à-dire l'entité qui développe le système ou le fait développer et le met sur le marché ou le met en service sous son propre nom ou marque.
En termes pratiques, la conformité exige d'établir un cadre documenté de gestion des risques avant que le système ne soit mis sur le marché. Il ne s'agit pas d'un simple exercice de case à cocher : le règlement exige un processus itératif qui persiste pendant toute la durée de vie du produit, ce qui signifie que la documentation de gestion des risques doit évoluer à mesure que le système est mis à jour, réentraîné ou déployé dans de nouveaux contextes.
Un système de gestion des risques conforme comprendra généralement : une procédure structurée d'identification des risques couvrant à la fois l'utilisation prévue et les scénarios d'utilisation abusive plausibles ; une matrice d'estimation des risques qui évalue la probabilité et la gravité du préjudice ; un catalogue de mesures d'atténuation avec une justification documentée de leur sélection ; des tests formels de pré-commercialisation par rapport à des métriques définies ; et un mécanisme pour intégrer les retours post-commercialisation — y compris les données d'incidents fournies par les déployeurs — dans l'analyse des risques en cours.
Par exemple, un fournisseur d'un outil d'évaluation du crédit basé sur l'IA, classé à haut risque en vertu de l'Annexe III, doit documenter comment le modèle pourrait produire des résultats discriminatoires, quelles mesures techniques et organisationnelles réduisent ce risque, et comment les données de performance réelles déclencheront une réévaluation. Un système d'IA utilisé dans un contexte médical doit en outre traiter le devoir de diligence accru lorsque des utilisateurs vulnérables sont impliqués. Les résultats de la gestion des risques alimentent directement la documentation technique requise par l'Article 11 et l'évaluation de la conformité au titre des Articles 43-44.
Obligations clés
- Établir et maintenir un système continu de gestion des risques couvrant l'intégralité du cycle de vie du système d'IA à haut risque, de la conception au déclassement, mis à jour à la lumière des données de surveillance post-commercialisation.
- Identifier tous les risques connus et raisonnablement prévisibles, y compris les risques découlant d'une utilisation abusive raisonnablement prévisible, de l'interaction avec d'autres systèmes, et du contexte sociotechnique du déploiement.
- Estimer et évaluer les risques en ce qui concerne leur probabilité de survenance et la gravité du préjudice potentiel, en tenant compte de l'objet prévu et des catégories de personnes susceptibles d'être affectées, y compris les groupes vulnérables et les enfants.
- Adopter des mesures de gestion des risques qui réduisent les risques identifiés à un niveau résiduel acceptable ; lorsque les mesures techniques sont insuffisantes, des mesures organisationnelles ou informationnelles doivent les compléter.
- Mener des tests de pré-commercialisation à l'aide de métriques définies et de seuils probabilistes appropriés à l'objet prévu, pour valider que les mesures sélectionnées sont efficaces et que le risque résiduel est acceptable.
- Intégrer les retours de la surveillance post-commercialisation des déployeurs et des utilisateurs finaux dans le processus continu de gestion des risques, en veillant à ce que le système reste réactif aux preuves réelles de préjudice ou d'événements quasi-accidents.
Relation avec d'autres articles
L'Article 9 se situe au centre du cadre des exigences du Chapitre 2 et est structurellement lié à plusieurs autres dispositions. Il dépend de l'Article 6 et de l'Annexe III pour son champ d'application : seuls les systèmes qualifiés à haut risque sont soumis à ses obligations. Les résultats du processus de l'Article 9 alimentent directement l'Article 11 (documentation technique), qui exige des fournisseurs qu'ils démontrent qu'un système de gestion des risques conforme existe et a été appliqué.
L'Article 9 est également étroitement lié à l'Article 10 (données et gouvernance des données), étant donné que la qualité des données d'entraînement, de validation et de test affecte substantiellement le profil de risque qui doit être géré. L'Article 13 (transparence et fourniture d'informations) exige que certaines informations liées aux risques soient communiquées aux déployeurs, et l'Article 14 (surveillance humaine) spécifie des mesures qui servent fréquemment d'outils de première ligne d'atténuation des risques au titre de l'Article 9. L'Article 26 impose aux déployeurs en aval de surveiller l'utilisation réelle et de communiquer les informations pertinentes aux fournisseurs, bouclant la boucle de rétroaction qu'exige l'Article 9. Enfin, l'Article 72 (surveillance post-commercialisation) formalise les mécanismes de collecte de données qui soutiennent le processus itératif de gestion des risques dans le temps.
Calendrier de conformité
Le Règlement UE sur l'IA est entré en vigueur le 1er août 2024. L'Article 9, en tant qu'exigence centrale du Chapitre 2 applicable aux systèmes d'IA à haut risque, suit le calendrier général de conformité pour les obligations du Titre III :
- 1er août 2024 — Le règlement entre en vigueur ; le délai de transition de 24 mois commence pour la plupart des obligations à haut risque.
- 2 février 2025 — Les interdictions relatives aux pratiques d'IA présentant un risque inacceptable (Article 5) deviennent applicables. L'Article 9 n'est pas encore applicable.
- 2 août 2025 — Les règles relatives aux modèles d'IA à usage général (Titre VIII) deviennent applicables. L'Article 9 n'est toujours pas obligatoire pour la plupart des systèmes à haut risque.
- 2 décembre 2026 — L'Article 9 devient pleinement applicable aux systèmes d'IA à haut risque listés à l'Annexe III (systèmes d'IA dans des domaines tels que l'éducation, l'emploi, les services essentiels, l'application de la loi, la migration et l'administration de la justice). Les fournisseurs doivent disposer d'un système de gestion des risques conforme à cette date.
- 2 août 2027 — Délai prolongé pour les systèmes d'IA à haut risque qui sont des composants de sécurité de produits déjà couverts par la législation d'harmonisation de l'Union existante énumérée à l'Annexe I (par exemple, les machines, les dispositifs médicaux, l'aviation civile).
Les fournisseurs qui développent ou acquièrent des systèmes d'IA à haut risque devraient traiter le 2 décembre 2026 comme leur date limite absolue pour la préparation à la conformité à l'Article 9, en intégrant les cadres de gestion des risques dans leurs processus de développement bien à l'avance pour laisser le temps aux tests, à la documentation et à l'évaluation de la conformité.
Calendrier officiel de conformité AI Act
Mis à jour le · Sources : Règlement (UE) 2024/1689 et Digital Omnibus AI 2026.
| Obligation | S'applique à | Date initiale | Nouvelle date | Statut | Compte à rebours | Base légale |
|---|---|---|---|---|---|---|
| Pratiques interdites (Art. 5) | Tous les fournisseurs et déployeurs | active | — | AI Act Art. 5 | ||
| Règles GPAI (chapitre 5) | Fournisseurs de modèles GPAI | active | — | AI Act Art. 51-56 | ||
| IA à haut risque — Annexe III (autonomes) | Fournisseurs de systèmes autonomes Annexe III | deferred | — | Omnibus AI 2026 Art. 6(2) | ||
| IA à haut risque — Annexe I (embarquée) | Systèmes IA embarqués dans produits réglementés Annexe I | deferred | — | Omnibus AI 2026 Art. 6(1) | ||
| Marquage contenu IA (transparence) | Fournisseurs de systèmes GPAI génératifs | active | — | AI Act Art. 50(2) | ||
| Bacs à sable réglementaires | Autorités nationales compétentes | active | — | AI Act Art. 57 |
⬇ Télécharger JSON · CC BY 4.0
Convergence AI Act – DORA – NIS2
Votre organisation est-elle soumise à la fois à l'AI Act et à DORA ? Les deux règlements se croisent sur la résilience opérationnelle des systèmes d'IA financiers. Notre site jumeau regulation-dora.eu couvre DORA en profondeur.
Explorer regulation-dora.eu ↗Questions fréquentes
Les fournisseurs de systèmes d'IA à haut risque tels que définis à l'Article 6 et à l'Annexe III du Règlement (UE) 2024/1689 sont tenus d'établir et de maintenir un système de gestion des risques avant de mettre leur système sur le marché ou de le mettre en service.
Le système doit identifier et analyser les risques connus et raisonnablement prévisibles, estimer et évaluer les risques susceptibles d'apparaître lors de l'utilisation, adopter des mesures appropriées de gestion des risques, et s'assurer que les risques résiduels sont jugés acceptables au regard du règlement.
Non. L'Article 9 exige un processus continu et itératif qui s'étend sur l'intégralité du cycle de vie du système d'IA à haut risque, y compris la surveillance post-commercialisation. Le système doit être mis à jour à mesure que de nouvelles informations sur les risques apparaissent.
L'Article 9 exige expressément que les fournisseurs tiennent compte des risques découlant d'une utilisation abusive raisonnablement prévisible — et pas seulement de l'utilisation prévue. Cela signifie que les fournisseurs doivent analyser les manières plausibles dont le système pourrait être utilisé de manière incorrecte ou de mauvaise foi, et atténuer ces risques en conséquence.
L'Article 9, paragraphe 7 exige que des procédures de test soient définies et menées afin d'identifier les mesures de gestion des risques les plus appropriées. Les tests doivent être effectués par rapport à des métriques préalablement définies et à des seuils probabilistes appropriés à l'objet prévu, et doivent avoir lieu avant la mise sur le marché.
Restez informé des évolutions AI Act
Recevez les alertes compliance quand les délais ou obligations changent.
Pas de spam. Désabonnement en un clic.