EU AI Act — Documentation technique (Art. 11 & Annexe IV) : ce que les systèmes IA à haut risque doivent préparer

Les systèmes IA à haut risque doivent tenir un dossier technique complet avant leur mise sur le marché européen. L'Art. 11 et l'Annexe IV définissent précisément son contenu — de l'architecture du système à la gouvernance des données d'entraînement et aux plans de surveillance post-commercialisation.

Qu'est-ce que le dossier technique ?

Le dossier technique est la pièce maîtresse de la conformité EU AI Act pour les systèmes IA à haut risque. Il constitue la preuve documentaire que le système a été conçu, développé et validé conformément aux exigences du règlement — avant toute mise sur le marché ou mise en service dans l'Union européenne.

L'Article 11 impose aux fournisseurs de tenir ce dossier à jour tout au long du cycle de vie du système. L'Annexe IV détaille précisément les quatorze éléments que ce dossier doit contenir. Ensemble, ces deux dispositions forment le cadre de référence documentaire que toute équipe conformité doit maîtriser.

Le dossier technique remplit trois fonctions simultanées :

Preuve de conformité : il démontre aux autorités de surveillance du marché que le fournisseur a effectivement appliqué les exigences du Chapitre III.
Tracabilité : il permet de reconstituer toutes les décisions de conception, les choix algorithmiques et les validations réalisées pendant le développement.
Base de l'évaluation de conformité : les organismes notifiés et les autorités compétentes s'appuient sur ce dossier pour auditer le système.

La documentation technique doit être établie avant la mise sur le marché. Elle ne peut pas être rédigée a posteriori en cas de contrôle.

Qui doit disposer d'une documentation technique ?

L'obligation de documentation technique (Art. 11) incombe exclusivement aux fournisseurs — c'est-à-dire aux personnes physiques ou morales qui développent un système IA à haut risque ou le font développer et le mettent sur le marché ou en service sous leur propre nom ou marque.

Les déployeurs (organisations qui utilisent un système IA à haut risque mis sur le marché par un fournisseur tiers) ne sont pas tenus de préparer la documentation technique. Ils ont néanmoins des obligations distinctes : conserver les journaux générés automatiquement, assurer une supervision humaine adéquate, et signaler les incidents graves au fournisseur.

Un cas particulier mérite attention : si un déployeur modifie substantiellement un système IA à haut risque, il est requalifié en fournisseur et doit alors préparer une documentation technique complète pour le système modifié (Art. 25).

Les systèmes concernés sont ceux classifiés à haut risque au titre de l'Annexe III (huit catégories autonomes) et de l'Annexe I (composants de sécurité dans des produits soumis à une législation sectorielle d'harmonisation). Utilisez le sélecteur de conformité pour vérifier si votre système relève de ces catégories.

Les 14 éléments de l'Annexe IV

L'Annexe IV liste de manière exhaustive le contenu obligatoire du dossier technique. Aucun élément n'est optionnel — une lacune peut entraîner un refus de mise sur le marché ou une sanction administrative.

1. Description générale du système IA Nom, version, destination prévue, contexte d'utilisation, populations d'utilisateurs et personnes affectées. Cette section doit être suffisamment précise pour permettre l'évaluation des risques sans être ni trop générale ni trop technique.

2. Description des composants, du processus de développement et de la conception du système Architecture du système (schémas, diagrammes), algorithmes utilisés, choix de conception et leurs justifications, étapes du processus de développement, outils et bibliothèques tiers intégrés. Pour les modèles de fondation sous-jacents, la documentation doit préciser dans quelle mesure le fournisseur peut accéder aux paramètres du modèle.

3. Description des données d'entraînement, de validation et de test Méthodes de collecte des données, caractéristiques des jeux de données (taille, distribution, variables), processus de nettoyage et de prétraitement, mesures prises pour détecter les biais, provenance des données (notamment pour les données synthétiques). Cette section s'articule directement avec les exigences de gouvernance des données de l'Art. 10.

4. Description de l'architecture du modèle Structure du modèle, paramètres clés, hyperparamètres, techniques de régularisation, capacités et limitations connues. Pour les modèles de deep learning, le nombre de paramètres, les couches et les mécanismes d'attention doivent être documentés.

5. Description des étapes de prétraitement des données Toutes les transformations appliquées aux données brutes avant l'entraînement ou l'inférence : normalisation, encodage, augmentation, gestion des valeurs manquantes. Cette documentation permet d'évaluer si le prétraitement peut introduire des biais systématiques.

6. Mesures de performance Métriques de performance (précision, rappel, F1, AUC, etc.), résultats obtenus sur les jeux de test, benchmarks sectoriels utilisés pour la comparaison, performance différentielle par sous-groupes démographiques. Les limitations de performance doivent être clairement mentionnées.

7. Description des mesures de contrôle humain Fonctionnalités techniques permettant aux opérateurs humains d'interpréter les sorties du système, de les contester, de les corriger ou d'arrêter le système. Cette section documente comment l'exigence de supervision humaine (Art. 14) est concrètement implémentée.

8. Description de la robustesse, de la précision et de la cybersécurité Tests de robustesse réalisés (adversarial testing, stress tests), niveau de précision déclaré et méthode de mesure, mesures de cybersécurité en place, analyse de la surface d'attaque, résistance aux attaques par empoisonnement des données ou extraction de modèle.

9. Description des processus de gestion des risques Processus d'identification, d'évaluation et de traitement des risques mis en place conformément à l'Art. 9, cartographie des risques résiduels acceptés, mesures d'atténuation implémentées et leur efficacité documentée.

10. Description des modifications apportées au système Journal de toutes les modifications substantielles apportées au système après sa mise sur le marché initiale, avec leur date, leur nature et leur impact évalué sur les exigences de conformité. Une modification substantielle peut déclencher une nouvelle évaluation de conformité.

11. Liste des normes harmonisées appliquées Référence aux normes européennes harmonisées utilisées pour démontrer la conformité. Si aucune norme harmonisée n'est disponible, description des spécifications communes ou autres solutions techniques retenues.

12. Copie de la déclaration UE de conformité La déclaration formelle (Art. 47) doit être jointe au dossier technique. Elle constitue l'engagement légal du fournisseur quant à la conformité du système.

13. Description du système de surveillance post-commercialisation Plan de surveillance post-commercialisation (Art. 72) : indicateurs suivis, fréquence de collecte, seuils déclenchant un signalement ou une intervention corrective, canal de remontée des incidents. Le dossier doit démontrer que la surveillance est systématique et non réactive.

14. Description des performances du système dans des conditions réelles Résultats des déploiements pilotes ou tests en conditions réelles, écarts constatés entre les performances en laboratoire et les performances en production, mesures correctives apportées. Cette section est souvent incomplète lors de la mise sur marché initiale et doit être mise à jour en continu.

Déclaration UE de conformité (Art. 47)

La déclaration UE de conformité est le document formel par lequel le fournisseur s'engage légalement que le système IA satisfait à l'ensemble des exigences applicables de l'EU AI Act. Elle doit être établie avant la mise sur le marché et mise à jour à chaque modification substantielle.

La déclaration doit contenir au minimum :

Le nom et la version du système IA, ainsi que sa destination
Le nom et les coordonnées complètes du fournisseur (et du mandataire si applicable)
La déclaration explicite de conformité à l'EU AI Act et aux autres réglementations UE applicables
La liste des normes harmonisées appliquées ou, à défaut, des spécifications communes
La procédure d'évaluation de la conformité suivie (auto-évaluation ou évaluation par tierce partie)
Le nom et le numéro d'identification de l'organisme notifié, le cas échéant
Le lieu et la date d'établissement, la signature du représentant autorisé

La déclaration UE de conformité doit être tenue à disposition des autorités compétentes pendant 10 ans après la mise sur le marché.

Marquage CE (Art. 48)

Le marquage CE indique que le système IA à haut risque a fait l'objet d'une évaluation de conformité et satisfait aux exigences applicables. Pour les systèmes IA à haut risque autonomes (Annexe III), le marquage CE est apposé par le fournisseur après achèvement de la procédure d'évaluation de conformité.

Règles d'apposition :

Le marquage CE doit être visible, lisible et indélébile sur le système ou sur son emballage, ou figurer dans la documentation d'accompagnement si la nature du système ne permet pas son apposition physique.
Si un organisme notifié est intervenu dans la procédure d'évaluation, son numéro d'identification doit figurer à côté du marquage CE.
Le marquage CE ne peut pas être apposé avant l'enregistrement du système dans la base de données EUAIA (Art. 71).
L'apposition d'un marquage CE trompeur ou prématuré constitue une infraction passible d'amendes pouvant atteindre 15 millions d'euros ou 3 % du chiffre d'affaires mondial.

Liste de contrôle pratique : dossier technique minimal viable

Avant toute mise sur le marché, vérifiez que votre dossier technique couvre a minima ces dix points essentiels :

[ ] Fiche système complète — nom, version, destination précise, contexte d'utilisation documenté
[ ] Schéma d'architecture — diagramme des composants, flux de données, dépendances tierces identifiées
[ ] Inventaire des jeux de données — origine, taille, caractéristiques, mesures anti-biais appliquées
[ ] Rapport de performance — métriques par sous-groupes, comparaison benchmarks sectoriels
[ ] Cartographie des risques — risques identifiés, évaluation, mesures d'atténuation, risques résiduels acceptés
[ ] Documentation de la supervision humaine — interfaces opérateur, procédures d'arrêt d'urgence
[ ] Rapport de robustesse et cybersécurité — tests adversariaux réalisés, vulnérabilités adressées
[ ] Plan de surveillance post-commercialisation — KPI, fréquence, canal d'escalade des incidents
[ ] Déclaration UE de conformité signée — conforme aux exigences de l'Art. 47
[ ] Preuve d'enregistrement EUAIA — confirmation d'enregistrement dans la base de données UE (Art. 71)

Ce contrôle minimal ne dispense pas de compléter l'ensemble des 14 éléments de l'Annexe IV. Il identifie les lacunes les plus fréquemment constatées lors des audits de surveillance du marché.

Accélérez la préparation de votre dossier avec l'Academy Pro

La préparation d'un dossier technique complet représente un travail substantiel — généralement 6 à 12 mois pour un système Annexe III complexe. L'EU AI Act Academy Pro met à disposition des ressources pratiques pour structurer ce travail efficacement.

Inclus dans la certification AI Risk Management Pro :

Modèle DOCX — Dossier technique Annexe IV : structure pré-remplie couvrant les 14 éléments, avec instructions de rédaction et exemples sectoriels (RH, crédit, santé, infrastructure critique)
Tableur XLSX — Inventaire des jeux de données : formulaire de collecte structuré pour la gouvernance des données (Art. 10), incluant les colonnes provenance, biais identifiés, mesures d'atténuation
Modèle DOCX — Déclaration UE de conformité : template Art. 47 pré-formaté, prêt à l'emploi pour les systèmes Annexe III en auto-évaluation
Checklist XLSX — Audit pre-market : liste de contrôle interactive couvrant l'ensemble des exigences du Chapitre III, avec statut par exigence et plan d'action intégré

Ces templates sont mis à jour à chaque évolution réglementaire — normes harmonisées, lignes directrices de l'AIOB, jurisprudence des autorités de surveillance. Les abonnés Pro reçoivent les mises à jour automatiquement.

Pour déterminer rapidement si votre système IA relève du statut haut risque et quelles obligations s'appliquent, utilisez le sélecteur de conformité. Pour une vue complète des huit catégories Annexe III, consultez notre guide Annexe III.

Calendrier officiel de conformité AI Act

Mis à jour le 2026-06-19 · Sources : Règlement (UE) 2024/1689 et Digital Omnibus AI 2026.

Obligation	S'applique à	Date initiale	Nouvelle date	Statut	Compte à rebours	Base légale
Pratiques interdites (Art. 5)	Tous les fournisseurs et déployeurs	2 février 2025	2 février 2025	active	—	AI Act Art. 5
Règles GPAI (chapitre 5)	Fournisseurs de modèles GPAI	2 août 2025	2 août 2025	active	—	AI Act Art. 51-56
IA à haut risque — Annexe III (autonomes)	Fournisseurs de systèmes autonomes Annexe III	2 août 2026	2 décembre 2027	deferred	—	Omnibus AI 2026 Art. 6(2)
IA à haut risque — Annexe I (embarquée)	Systèmes IA embarqués dans produits réglementés Annexe I	2 août 2026	2 août 2028	deferred	—	Omnibus AI 2026 Art. 6(1)
Marquage contenu IA (transparence)	Fournisseurs de systèmes GPAI génératifs	2 août 2025	2 août 2025	active	—	AI Act Art. 50(2)
Bacs à sable réglementaires	Autorités nationales compétentes	2 août 2026	2 août 2026	active	—	AI Act Art. 57

⬇ Télécharger JSON · CC BY 4.0

Convergence AI Act – DORA – NIS2

Votre organisation est-elle soumise à la fois à l'AI Act et à DORA ? Les deux règlements se croisent sur la résilience opérationnelle des systèmes d'IA financiers. Notre site jumeau regulation-dora.eu couvre DORA en profondeur.

Explorer regulation-dora.eu ↗

Questions fréquentes

Qui doit préparer la documentation technique ?

Le fournisseur du système IA à haut risque est seul responsable de la préparation et de la mise à jour de la documentation technique. Les déployeurs n'ont pas à la préparer, mais doivent conserver les journaux d'accès et peuvent être amenés à les fournir aux fournisseurs à des fins de signalement.

Combien de temps la documentation technique doit-elle être conservée ?

La documentation technique doit être conservée pendant 10 ans après la mise sur le marché ou la mise en service du système IA (Art. 18). Pour les systèmes IA intégrés dans des produits soumis à la législation Annexe I, la période de conservation de cette législation s'applique si elle est plus longue.

Le dossier technique doit-il être soumis de manière proactive aux autorités ?

Non — la documentation technique n'est pas déposée centralement. Elle doit être conservée par le fournisseur et mise à la disposition des autorités de surveillance du marché et des organismes notifiés sur demande. L'enregistrement dans la base de données EUAIA (Art. 71) est obligatoire, mais le dossier technique complet reste chez le fournisseur.

Qu'est-ce que la déclaration UE de conformité ?

Un document formel signé par le fournisseur attestant que le système IA est conforme aux exigences de l'EU AI Act. Il doit inclure le nom et la version du système, l'identité du fournisseur, une liste des exigences applicables satisfaites, la procédure d'évaluation de la conformité utilisée, et une référence aux normes harmonisées pertinentes. Il accompagne le marquage CE.

Restez informé des évolutions AI Act

Recevez les alertes compliance quand les délais ou obligations changent.

Pas de spam. Désabonnement en un clic.