Documentation technique AI Act : exigences detaillees

La documentation technique constitue l’un des piliers de la conformite au reglement europeen sur l’intelligence artificielle (AI Act). L’article 11 du reglement impose aux fournisseurs de systemes d’IA a haut risque d’etablir une documentation technique avant la mise sur le marche ou la mise en service du systeme, et de la maintenir a jour tout au long de son cycle de vie. Cette obligation n’est pas un simple exercice formel : la documentation technique doit permettre aux autorites nationales competentes et aux organismes notifies d’evaluer la conformite du systeme aux exigences du reglement.

L’annexe IV du AI Act definit le contenu minimal de cette documentation technique. La rigueur et l’exhaustivite de cette documentation conditionnent la validite de l’evaluation de conformite et constituent un element probatoire essentiel en cas de controle ou de contentieux.

Le cadre juridique de l’obligation de documentation

L’article 11 du AI Act

L’article 11 du reglement pose le principe de l’obligation de documentation technique. Le fournisseur d’un systeme d’IA a haut risque doit etablir la documentation technique conformement a l’annexe IV avant la mise sur le marche ou la mise en service. Cette documentation doit etre tenue a jour et mise a la disposition des autorites competentes sur demande.

La documentation technique doit demontrer que le systeme est conforme aux exigences prevues au chapitre III, section 2, du reglement (articles 8 a 15). Elle constitue le socle de l’evaluation de conformite, qu’elle soit realisee par le fournisseur lui-meme (auto-evaluation) ou par un organisme notifie.

Le reglement prevoit que la Commission europeenne peut adopter des actes d’execution precisant le contenu de la documentation technique en tenant compte des specificites des differentes categories de systemes d’IA a haut risque. Ces actes d’execution sont consultables sur EUR-Lex.

L’articulation avec le RGPD

Lorsque le systeme d’IA a haut risque traite des donnees personnelles, la documentation technique doit integrer les elements requis par le RGPD. L’analyse d’impact relative a la protection des donnees (AIPD) constitue un document complementaire a la documentation technique AI Act. L’article 28 du RGPD impose en outre que les contrats de sous-traitance prevoient un acces a la documentation necessaire pour demontrer le respect des obligations.

Le registre des traitements impose par l’article 30 du RGPD et le registre des systemes d’IA impose par l’article 71 du AI Act sont deux documents distincts mais complementaires. Leur coherence doit etre assuree pour les systemes d’IA traitant des donnees personnelles.

Le contenu obligatoire de la documentation technique (annexe IV)

1. Description generale du systeme

La documentation doit d’abord fournir une description generale du systeme d’IA, incluant la finalite prevue du systeme, le nom et les coordonnees du fournisseur, la version du systeme, les elements de conception generaux (comment le systeme interagit ou peut etre utilise pour interagir avec du materiel ou des logiciels, y compris d’autres systemes d’IA) et les versions des logiciels ou microprogrammes pertinents.

Cette description doit etre suffisamment detaillee pour permettre a un evaluateur de comprendre l’architecture globale du systeme et son contexte d’utilisation. Elle doit inclure une representation visuelle du systeme (diagramme d’architecture) lorsque cela est pertinent.

2. Description detaillee des elements du systeme

Cette section couvre les methodes et les etapes suivies pour le developpement du systeme, y compris le recours eventuel a des systemes ou outils preetablis fournis par des tiers, et la maniere dont ils ont ete utilises, integres ou modifies par le fournisseur.

Elle doit inclure les specifications de conception du systeme, c’est-a-dire la logique generale du systeme d’IA et de l’algorithme. Il convient de decrire les choix de conception principaux, y compris la justification et les hypotheses formulees, ainsi que l’approche d’optimisation retenue. Doivent egalement figurer les decisions relatives a toute solution de compromis adoptee au regard des exigences techniques.

L’architecture du systeme doit etre decrite en detail, expliquant comment les composants logiciels s’appuient les uns sur les autres ou s’alimentent mutuellement et s’integrent dans le traitement global. Les ressources de calcul utilisees pour le developpement, l’entrainement, les tests et la validation du systeme doivent etre documentees.

3. Description du systeme de suivi, de fonctionnement et de controle

La documentation doit decrire le processus de developpement du systeme, y compris les methodes et les etapes d’entrainement, les techniques et la methodologie de validation et de test, les resultats des tests, ainsi que les mesures prises en vue de l’atteinte des exigences.

Elle doit preciser les capacites et les limites du systeme en termes de performance, y compris les niveaux de precision pour des personnes ou des groupes de personnes specifiques sur lesquels le systeme est destine a etre utilise, ainsi que le niveau global de precision previsible par rapport a la finalite prevue.

4. Description du systeme de gestion des risques

La documentation doit inclure une description du systeme de gestion des risques prevu a l’article 9. Cette description doit couvrir les risques identifies pour la sante, la securite et les droits fondamentaux, les mesures de gestion des risques adoptees, les resultats des tests de gestion des risques et les risques residuels acceptes, avec justification.

Le lien entre le systeme de gestion des risques et la gouvernance de l’IA de l’organisation doit etre explicite. L’audit algorithmique constitue un outil methodologique essentiel pour alimenter cette section de la documentation.

5. Description des donnees d’entrainement, de validation et de test

L’article 10 du AI Act impose des exigences strictes en matiere de qualite des donnees. La documentation technique doit refleter ces exigences en incluant une description des jeux de donnees d’entrainement, de validation et de test utilises, incluant la taille et les principales caracteristiques des jeux de donnees, les techniques de collecte et de preparation des donnees, les mesures prises pour verifier la representativite, la pertinence et l’absence de biais des donnees, les caracteristiques et limites geographiques, comportementales ou fonctionnelles specifiques au contexte d’utilisation et toute hypothese sous-jacente concernant les informations que les donnees sont censees mesurer et representer.

Pour les systemes d’IA utilises dans des domaines sensibles comme le recrutement, cette section doit accorder une attention particuliere a la documentation des mesures prises pour prevenir et corriger les biais de donnees.

6. Les mesures de controle humain

La documentation doit decrire les mesures de controle humain prevues a l’article 14, y compris les mesures techniques mises en place pour faciliter l’interpretation des resultats du systeme par les deployeurs, la description des modalites de supervision humaine (human-in-the-loop, human-on-the-loop, human-in-command) et les procedures en cas de detection d’anomalies.

7. Les informations relatives a la conformite

La documentation doit enfin inclure les resultats de l’evaluation de conformite, la declaration UE de conformite, les informations relatives au marquage CE et les instructions d’utilisation a destination des deployeurs.

Les exigences de forme et de conservation

La lisibilite et la structuration

La documentation technique doit etre redigee de maniere claire, structuree et comprehensible par les evaluateurs auxquels elle est destinee. Bien que le AI Act ne prescrive pas de format specifique, il est recommande d’adopter une structure modulaire alignee sur les sections de l’annexe IV, facilitant la mise a jour et l’evaluation.

La CNIL recommande une approche coherente entre la documentation technique AI Act et les documents de conformite RGPD (AIPD, registre des traitements), afin d’eviter les redundances et les incoherences.

La mise a jour

La documentation technique n’est pas un document statique. Elle doit etre mise a jour de maniere continue pour refleter les evolutions du systeme : modifications de l’algorithme, mise a jour des donnees d’entrainement, changements du contexte d’utilisation, resultats des audits periodiques, incidents et mesures correctives.

Le AI Act impose que toute modification substantielle du systeme entraine une nouvelle evaluation de conformite, et donc une mise a jour de la documentation technique. La definition de ce qui constitue une “modification substantielle” est un enjeu pratique majeur que les orientations de la Commission europeenne, disponibles sur le site de la strategie numerique europeenne, viennent progressivement preciser.

La conservation

La documentation technique doit etre conservee par le fournisseur pendant une duree de dix ans apres la mise sur le marche ou la mise en service du systeme. Cette duree de conservation est considerablement plus longue que celle generalement pratiquee pour la documentation technique des produits, refletant la specificite des systemes d’IA dont les impacts peuvent se manifester sur une longue periode.

Les representants autorises des fournisseurs etablis hors de l’UE doivent etre en mesure de fournir la documentation technique aux autorites nationales competentes sur demande. La documentation doit etre redigee dans une langue officielle de l’Etat membre ou l’evaluation de conformite est realisee ou dans une langue acceptee par l’organisme notifie, generalement l’anglais.

Les bonnes pratiques de documentation

L’approche par couches

Une approche recommandee consiste a structurer la documentation en trois couches. La couche strategique decrit la finalite du systeme, son contexte d’utilisation et son integration dans les processus de l’organisation. La couche technique decrit l’architecture, les algorithmes, les donnees et les metriques de performance. La couche operationnelle decrit les procedures de deploiement, de surveillance, de mise a jour et de gestion des incidents.

L’automatisation de la documentation

Pour les organisations gerant un nombre important de systemes d’IA, l’automatisation de la documentation est indispensable. Des outils de gestion du cycle de vie des modeles (MLOps) permettent de capturer automatiquement les parametres d’entrainement, les metriques de performance et les versions du modele. Des plateformes de gouvernance de l’IA permettent de centraliser et de structurer la documentation en conformite avec les exigences de l’annexe IV.

Le registre des systemes d’IA doit etre alimente par la documentation technique et constitue un point d’entree synthetique pour les autorites de controle. Les exigences de conformite IA et du RGPD doivent etre traitees de maniere integree.

La gestion des versions

La gestion des versions de la documentation est un enjeu critique. Chaque version du systeme d’IA doit etre associee a une version de la documentation technique. Les modifications apportees a la documentation doivent etre tracees (auteur, date, nature de la modification, justification). Un systeme de versioning formel est recommande.

Les sanctions en cas de non-conformite incluent specifiquement le defaut de documentation : la fourniture d’informations inexactes ou incompletes aux autorites est sanctionnee par des amendes pouvant atteindre 7,5 millions d’euros ou 1 % du chiffre d’affaires annuel mondial. Les sanctions RGPD s’ajoutent en cas de defaut de documentation relative au traitement de donnees personnelles.

FAQ

La documentation technique AI Act remplace-t-elle l’AIPD du RGPD ?

Non. La documentation technique AI Act et l’AIPD du RGPD sont deux documents distincts repondant a des obligations differentes. La documentation technique AI Act vise a demontrer la conformite du systeme aux exigences du reglement (performance, robustesse, securite, controle humain, etc.). L’AIPD vise a evaluer les risques du traitement de donnees personnelles pour les droits et libertes des personnes concernees. Pour un systeme d’IA a haut risque traitant des donnees personnelles, les deux documents sont obligatoires. Il est toutefois recommande d’assurer leur coherence et de les referencer mutuellement pour eviter les contradictions et faciliter la maintenance documentaire.

Quel niveau de detail technique est requis dans la documentation ?

Le niveau de detail doit etre suffisant pour permettre aux autorites competentes et aux organismes notifies d’evaluer la conformite du systeme. Le AI Act utilise la formule “de maniere suffisamment detaillee” sans fixer de seuil absolu. En pratique, la documentation doit permettre a un evaluateur competent de comprendre l’architecture et le fonctionnement du systeme, de reproduire les tests de performance et d’equite, d’evaluer l’adequation des mesures de gestion des risques et de verifier la conformite aux exigences des articles 8 a 15. Le fournisseur n’est pas tenu de divulguer le code source ou les secrets commerciaux, mais doit fournir les informations suffisantes pour l’evaluation, par exemple sous forme de specifications techniques detaillees ou de resultats de tests documentes.

Comment gerer la documentation technique pour les systemes d’IA fondes sur des modeles de fondation tiers ?

Lorsqu’un systeme d’IA a haut risque est fonde sur un modele de fondation (modele d’IA a usage general), la documentation technique doit couvrir l’ensemble de la chaine : le modele de fondation et les couches d’adaptation specifiques au cas d’usage. Le fournisseur du systeme a haut risque doit obtenir du fournisseur du modele de fondation les informations necessaires a l’etablissement de la documentation technique, conformement aux obligations de transparence imposees aux fournisseurs de modeles d’IA a usage general par les articles 53 et suivants du AI Act. Les clauses contractuelles avec le fournisseur du modele de fondation doivent prevoir la transmission de ces informations. En cas d’impossibilite d’obtenir ces informations, le fournisseur du systeme a haut risque doit documenter les limites de sa documentation et les mesures alternatives mises en oeuvre pour evaluer la conformite.