Règlement IA — Article 43 : voies d'évaluation de la conformité pour l'IA à haut risque

L'article 43 du règlement sur l'IA (EU AI Act) fixe les voies d'évaluation de la conformité applicables aux systèmes d'IA à haut risque. Pour la majorité des SaaS à haut risque, l'auto-évaluation par contrôle interne est suffisante. Dans des cas spécifiques (principalement les IA biométriques), un organisme notifié doit être impliqué. Identifier la voie applicable est essentiel pour la planification de la conformité, notamment au regard des contraintes de capacité des organismes notifiés.

Les deux voies d'évaluation de la conformité

L'article 43, paragraphe 1, offre le choix entre deux voies pour les systèmes d'IA à haut risque : (a) le contrôle interne prévu à l'annexe VI, par lequel le fournisseur s'auto-évalue par rapport aux normes applicables ; ou (b) l'évaluation de la conformité prévue à l'annexe VII, impliquant un organisme notifié. La voie de l'annexe VI est disponible pour la plupart des catégories visées à l'annexe III. La voie de l'annexe VII est requise pour les systèmes à haut risque relevant du point 1 de l'annexe III (identification et catégorisation biométriques) lorsque les normes harmonisées n'existent pas encore ou n'ont pas été pleinement appliquées.

Auto-évaluation par contrôle interne — annexe VI

Voie de l'annexe VI : le fournisseur évalue lui-même sa conformité au regard des normes harmonisées, des spécifications communes ou d'autres spécifications techniques pertinentes. Documentation requise : documentation technique au titre de l'article 11, preuve du système de gestion des risques au titre de l'article 9, preuve du système de gestion de la qualité au titre de l'article 17, preuve de la surveillance après mise sur le marché au titre de l'article 72. Le fournisseur établit une déclaration UE de conformité au titre de l'article 47 et appose le marquage CE au titre de l'article 48. Aucun tiers n'est requis pour valider la démarche.

Évaluation par un organisme notifié — annexe VII

La voie de l'annexe VII exige qu'un organisme notifié (désigné conformément à l'article 31) évalue le système de gestion de la qualité ainsi que la documentation technique. L'organisme notifié délivre un certificat. Pour les SaaS, cette voie est actuellement requise principalement pour les systèmes à haut risque biométriques, dont les normes harmonisées sont encore en cours d'élaboration. Les délais d'attente auprès des organismes notifiés sont de 9 à 18 mois en 2026 en raison des contraintes de capacité ; planifiez en conséquence.

Quelle voie s'applique à quelle catégorie de l'annexe III

Point 1 de l'annexe III (biométrie) : la voie de l'annexe VII avec organisme notifié est requise lorsque les normes harmonisées ne sont pas encore disponibles. Pour la plupart des autres points : l'auto-évaluation prévue à l'annexe VI est autorisée. L'état actuel des normes harmonisées (en cours d'élaboration au sein du JTC 21 du CEN-CENELEC) permet à la majorité des SaaS à haut risque non biométriques de recourir à la voie de l'auto-évaluation. La Commission européenne peut modifier ces règles par voie d'actes délégués au fur et à mesure de la maturation des normes.

Approche pratique de la conformité

Dans le cadre de l'auto-évaluation au titre de l'annexe VI, constituez le dossier de documentation technique en amont. Éléments requis : description du système, spécifications de conception, documentation relative à la gestion des risques, documentation relative aux données d'entraînement, résultats des tests de précision et de robustesse, spécifications relatives à la supervision humaine, plan de surveillance après mise sur le marché. Faites appel à un conseiller en conformité (comme Disclos) pour valider que votre documentation satisfait aux exigences de l'annexe VI avant la signature de la déclaration UE de conformité. Pour la voie de l'annexe VII, engagez les démarches auprès d'un organisme notifié 9 à 18 mois avant tout lancement de produit dans l'UE.

Frequently asked questions

Quand l'article 43 entre-t-il en vigueur ?

Le 2 août 2026 pour la plupart des systèmes à haut risque relevant de l'annexe III. L'IA constituant un composant de sécurité au titre de l'annexe II suit le calendrier de la législation harmonisée sous-jacente.

Puis-je toujours recourir à l'auto-évaluation ?

Non — les systèmes à haut risque biométriques relevant du point 1 de l'annexe III peuvent nécessiter le recours à un organisme notifié au titre de l'annexe VII. Les autres catégories de l'annexe III autorisent en général l'auto-évaluation prévue à l'annexe VI.

Quelle est la durée d'une évaluation par un organisme notifié ?

Actuellement de 9 à 18 mois en raison des contraintes de capacité. Engagez les démarches le plus tôt possible.

Qu'est-ce que le marquage CE ?

Il s'agit du marquage obligatoire au titre de l'article 48 pour les systèmes d'IA à haut risque après évaluation de la conformité. Il atteste que le système est conforme aux exigences du règlement sur l'IA (EU AI Act).

Un seul audit peut-il couvrir plusieurs systèmes d'IA à haut risque ?

Oui, si ces systèmes partagent une infrastructure substantielle de conception et de gestion de la qualité. Chaque système doit disposer de sa propre documentation technique, mais le système de gestion de la qualité (QMS) et les processus peuvent être mutualisés.

Sources

Last updated: 2026-05-28