Règlement sur l'IA — Article 10 : gouvernance des données pour les systèmes d'IA à haut risque

L'Article 10 du règlement sur l'IA établit les exigences de gouvernance des données applicables aux systèmes d'IA à haut risque. Il s'agit de la disposition la plus citée dans les premières actions d'exécution relatives à l'Annexe III, car la qualité et la représentativité des données peuvent être démontrées par la documentation. L'Article 10 s'applique à compter du 2 août 2026 et exige un travail de documentation substantiel pour tout SaaS relevant de l'Annexe III.

Exigences essentielles de l'Article 10

L'Article 10(2) exige que les jeux de données d'entraînement, de validation et de test soient soumis à des pratiques de gouvernance et de gestion des données. Ces pratiques doivent porter sur : les choix de conception et les hypothèses retenues, les processus de collecte des données, les opérations de préparation des données (annotation, étiquetage, nettoyage, enrichissement, agrégation), l'examen des biais, l'identification des lacunes ou insuffisances dans les données, ainsi que la formulation de mesures d'atténuation. L'Article 10(3) exige que les jeux de données soient pertinents, suffisamment représentatifs, exempts d'erreurs et complets au regard de la finalité prévue.

L'exigence de représentativité

L'Article 10(3) exige que les jeux de données soient suffisamment représentatifs. Pour un SaaS commercialisé dans l'UE, cela signifie généralement : une représentation démographique de la population de l'UE pour les systèmes affectant des personnes physiques (âge, genre, géographie, langue), une représentation du domaine pour le cas d'usage spécifique, et un équilibre entre les différents sous-groupes susceptibles d'interagir avec le système. Le standard exact est factuel — un degré de représentativité plus élevé est requis pour les usages à enjeux plus importants.

Examen et atténuation des biais

L'Article 10(2)(f) exige l'examen des biais possibles susceptibles d'affecter la santé, la sécurité ou les droits des personnes physiques, y compris les biais renforçant les opérations futures. Tests de biais pratiques : répartitions des performances démographiques (exactitude, taux de faux positifs, taux de faux négatifs par caractéristique protégée), analyse causale des biais identifiés, et mesures d'atténuation documentées. La profondeur de l'examen des biais est proportionnelle aux enjeux du cas d'usage.

Données de catégories particulières

L'Article 10(5) autorise le traitement de catégories particulières de données à caractère personnel (origine raciale ou ethnique, opinions politiques, etc. au sens de l'Article 9 du RGPD) à des fins de surveillance et de correction des biais — mais uniquement dans la mesure strictement nécessaire. Cela signifie que vous pouvez collecter des données démographiques spécifiquement aux fins de tests de biais sans consentement séparé au titre de l'Article 9 du RGPD, à condition de documenter la nécessité, de mettre en œuvre des mesures de sécurité renforcées et de supprimer les données une fois la finalité de test de biais accomplie.

Conformité pratique pour les SaaS

Constituez le dossier de documentation au titre de l'Article 10 dans le cadre de la documentation technique plus large prévue à l'Article 11. Éléments requis : documentation des jeux de données (source, licence, taille, composition), procédures de préparation des données, méthodologie et résultats des tests de biais, analyse de représentativité, identification des lacunes et actions d'atténuation. Pour les systèmes à apprentissage continu, ajoutez une documentation de processus montrant comment les exigences de l'Article 10 sont maintenues à mesure que les données d'entraînement évoluent. Faites appel à un conseiller en conformité pour les systèmes relevant de l'Annexe III — la méthodologie de test de biais requiert à la fois une expertise technique et juridique.

Frequently asked questions

À quelle date l'Article 10 entre-t-il en vigueur ?

Le 2 août 2026 pour les systèmes d'IA à haut risque.

L'Article 10 s'applique-t-il aux systèmes d'IA non à haut risque ?

Uniquement en tant que bonne pratique — l'Article 10 lie les systèmes d'IA à haut risque au titre du Chapitre III. Les systèmes non à haut risque bénéficient du respect de ces principes mais n'y sont pas juridiquement tenus.

Puis-je collecter des données démographiques à des fins de test de biais ?

Oui — l'Article 10(5) autorise le traitement de données de catégories particulières spécifiquement à des fins de surveillance et de correction des biais, dans la mesure strictement nécessaire. Documentez la nécessité et mettez en œuvre des mesures de sécurité renforcées.

Quelle est la sanction en cas de manquement à l'Article 10 ?

Jusqu'à 15 000 000 € ou 3 % du chiffre d'affaires mondial total au titre de l'Article 99(4) pour non-conformité d'un système à haut risque.

L'Article 10 exige-t-il un audit externe ?

Pas directement. L'Article 10 fixe les exigences ; l'évaluation de la conformité au titre de l'Article 43 les vérifie (en interne pour la plupart des catégories de l'Annexe III, en externe via un organisme notifié pour la biométrie).

Sources

Last updated: 2026-05-28