Documentation technique AI Act : exigences

La documentation technique constitue l’un des piliers de la conformité au règlement européen sur l’intelligence artificielle (AI Act). L’article 11 du règlement impose aux fournisseurs de systèmes d’IA à haut risque d’établir une documentation technique avant la mise sur le marché ou la mise en service du système, et de la maintenir à jour tout au long de son cycle de vie. Cette obligation n’est pas un simple exercice formel : la documentation technique doit permettre aux autorités nationales compétentes et aux organismes notifies d’évaluer la conformité du système aux exigences du règlement.

L’annexe IV du AI Act définit le contenu minimal de cette documentation technique. La rigueur et l’exhaustivité de cette documentation conditionnent la validité de l’évaluation de conformité et constituent un élément probatoire essentiel en cas de contrôle ou de contentieux.

Le cadre juridique de l’obligation de documentation

L’article 11 du AI Act

L’article 11 du règlement pose le principe de l’obligation de documentation technique. Le fournisseur d’un système d’IA à haut risque doit établir la documentation technique conformément à l’annexe IV avant la mise sur le marché ou la mise en service. Cette documentation doit être tenue à jour et mise à la disposition des autorités compétentes sur demande.

La documentation technique doit démontrer que le système est conforme aux exigences prévues au chapitre III, section 2, du règlement (articles 8 à 15). Elle constitue le socle de l’évaluation de conformité, qu’elle soit réalisée par le fournisseur lui-même (auto-évaluation) ou par un organisme notifie.

Le règlement prévoit que la Commission européenne peut adopter des actes d’exécution précisant le contenu de la documentation technique en tenant compte des spécificités des différentes catégories de systèmes d’IA à haut risque. Ces actes d’exécution sont consultables sur EUR-Lex.

L’articulation avec le RGPD

Lorsque le système d’IA à haut risque traité des données personnelles, la documentation technique doit intégrer les éléments requis par le RGPD. L’analyse d’impact relative à la protection des données (AIPD) constitue un document complémentaire à la documentation technique AI Act. L’article 28 du RGPD impose en outre que les contrats de sous-traitance prévoient un accès à la documentation nécessaire pour démontrer le respect des obligations.

Le registre des traitements impose par l’article 30 du RGPD et le registre des systèmes d’IA impose par l’article 71 du AI Act sont deux documents distincts mais complémentaires. Leur cohérence doit être assurée pour les systèmes d’IA traitant des données personnelles.

Le contenu obligatoire de la documentation technique (annexe IV)

1. Description générale du système

La documentation doit d’abord fournir une description générale du système d’IA, incluant la finalité prévue du système, le nom et les coordonnées du fournisseur, la version du système, les éléments de conception généraux (comment le système interagit ou peut être utilise pour interagir avec du matériel ou des logiciels, y compris d’autres systèmes d’IA) et les versions des logiciels ou microprogrammes pertinents.

Cette description doit être suffisamment détaillée pour permettre à un évaluateur de comprendre l’architecture globale du système et son contexte d’utilisation. Elle doit inclure une représentation visuelle du système (diagramme d’architecture) lorsque cela est pertinent.

2. Description détaillée des éléments du système

Cette section couvre les méthodes et les étapes suivies pour le développement du système, y compris le recours éventuel à des systèmes ou outils preetablis fournis par des tiers, et la manière dont ils ont été utilisés, intégrés ou modifiés par le fournisseur.

Elle doit inclure les spécifications de conception du système, c’est-à-dire la logique générale du système d’IA et de l’algorithme. Il convient de décrire les choix de conception principaux, y compris la justification et les hypothèses formulées, ainsi que l’approche d’optimisation retenue. Doivent également figurer les décisions relatives à toute solution de compromis adoptée au regard des exigences techniques.

L’architecture du système doit être decrite en détail, expliquant comment les composants logiciels s’appuient les uns sur les autres ou s’alimentent mutuellement et s’intègrent dans le traitement global. Les ressources de calcul utilisées pour le développement, l’entraînement, les tests et la validation du système doivent être documentées.

3. Description du système de suivi, de fonctionnement et de contrôle

La documentation doit décrire le processus de développement du système, y compris les méthodes et les étapes d’entraînement, les techniques et la méthodologie de validation et de test, les résultats des tests, ainsi que les mesures prises en vue de l’atteinte des exigences.

Elle doit préciser les capacités et les limites du système en termes de performance, y compris les niveaux de précision pour des personnes ou des groupes de personnes spécifiques sur lesquels le système est destiné a être utilise, ainsi que le niveau global de précision prévisible par rapport à la finalité prévue.

4. Description du système de gestion des risques

La documentation doit inclure une description du système de gestion des risques prévu à l’article 9. Cette description doit couvrir les risques identifiés pour la santé, la sécurité et les droits fondamentaux, les mesures de gestion des risques adoptées, les résultats des tests de gestion des risques et les risques residuels acceptés, avec justification.

Le lien entre le système de gestion des risques et la gouvernance de l’IA de l’organisation doit être explicite. L’audit algorithmique constitue un outil methodologique essentiel pour alimenter cette section de la documentation.

5. Description des données d’entraînement, de validation et de test

L’article 10 du AI Act impose des exigences strictes en matière de qualité des données. La documentation technique doit refléter ces exigences en incluant une description des jeux de données d’entraînement, de validation et de test utilisés, incluant la taille et les principales caractéristiques des jeux de données, les techniques de collecte et de préparation des données, les mesures prises pour vérifier la representativite, la pertinence et l’absence de biais des données, les caractéristiques et limités géographiques, comportementales ou fonctionnelles spécifiques au contexte d’utilisation et toute hypothèse sous-jacente concernant les informations que les données sont censees mesurer et représenter.

Pour les systèmes d’IA utilisés dans des domaines sensibles comme le recrutement, cette section doit accorder une attention particulière à la documentation des mesures prises pour prévenir et corriger les biais de données.

6. Les mesures de contrôle humain

La documentation doit décrire les mesures de contrôle humain prévues à l’article 14, y compris les mesures techniques mises en place pour faciliter l’interprétation des résultats du système par les deployeurs, la description des modalités de supervision humaine (human-in-thé-loop, human-on-thé-loop, human-in-command) et les procédures en cas de détection d’anomalies.

7. Les informations relatives à la conformité

La documentation doit enfin inclure les résultats de l’évaluation de conformité, la déclaration UE de conformité, les informations relatives au marquage CE et les instructions d’utilisation a destination des deployeurs.

Les exigences de forme et de conservation

La lisibilité et la structuration

La documentation technique doit être rédigée de manière claire, structurée et compréhensible par les évaluateurs auxquels elle est destinée. Bien que le AI Act ne prescrive pas de format spécifique, il est recommandé d’adopter une structuré modulaire alignée sur les sections de l’annexe IV, facilitant la mise à jour et l’évaluation.

La CNIL recommande une approche cohérente entre la documentation technique AI Act et les documents de conformité RGPD (AIPD, registre des traitements), afin d’éviter les redundances et les incohérences.

La mise à jour

La documentation technique n’est pas un document statique. Elle doit être mise à jour de manière continue pour refléter les évolutions du système : modifications de l’algorithme, mise à jour des données d’entraînement, changements du contexte d’utilisation, résultats des audits périodiques, incidents et mesures correctives.

Le AI Act impose que toute modification substantielle du système entraîne une nouvelle évaluation de conformité, et donc une mise à jour de la documentation technique. La définition de ce qui constitue une “modification substantielle” est un enjeu pratique majeur que les orientations de la Commission européenne, disponibles sur le site de la stratégie numérique européenne, viennent progressivement préciser.

La conservation

La documentation technique doit être conservée par le fournisseur pendant une durée de dix ans après la mise sur le marché ou la mise en service du système. Cette durée de conservation est considérablement plus longue que celle généralement pratiquee pour la documentation technique des produits, reflétant la spécificité des systèmes d’IA dont les impacts peuvent se manifester sur une longue période.

Les représentants autorisés des fournisseurs établis hors de l’UE doivent être en mesure de fournir la documentation technique aux autorités nationales compétentes sur demande. La documentation doit être rédigée dans une langue officielle de l’État membre ou l’évaluation de conformité est réalisée ou dans une langue acceptée par l’organisme notifie, généralement l’anglais.

Les bonnes pratiques de documentation

L’approche par couches

Une approche recommandée consiste à structurer la documentation en trois couches. La couche stratégique décrit la finalité du système, son contexte d’utilisation et son intégration dans les processus de l’organisation. La couche technique décrit l’architecture, les algorithmes, les données et les métriques de performance. La couche opérationnelle décrit les procédures de déploiement, de surveillance, de mise à jour et de gestion des incidents.

L’automatisation de la documentation

Pour les organisations gérant un nombre important de systèmes d’IA, l’automatisation de la documentation est indispensable. Des outils de gestion du cycle de vie des modèles (MLOps) permettent de capturer automatiquement les paramètres d’entraînement, les métriques de performance et les versions du modèle. Des plateformes de gouvernance de l’IA permettent de centraliser et de structurer la documentation en conformité avec les exigences de l’annexe IV.

Le registre des systèmes d’IA doit être alimente par la documentation technique et constitue un point d’entrée synthétique pour les autorités de contrôle. Les exigences de conformité IA et du RGPD doivent être traitées de manière intégrée.

La gestion des versions

La gestion des versions de la documentation est un enjeu critique. Chaque version du système d’IA doit être associée à une version de la documentation technique. Les modifications apportees à la documentation doivent être tracees (auteur, date, nature de la modification, justification). Un système de versioning formel est recommandé.

Les sanctions en cas de non-conformité incluent spécifiquement le défaut de documentation : la fourniture d’informations inexactes ou incomplètes aux autorités est sanctionnée par des amendes pouvant atteindre 7,5 millions d’euros ou 1 % du chiffre d’affaires annuel mondial. Les sanctions RGPD s’ajoutent en cas de défaut de documentation relative au traitement de données personnelles.

FAQ

La documentation technique AI Act remplacé-t-elle l’AIPD du RGPD ?

Non. La documentation technique AI Act et l’AIPD du RGPD sont deux documents distincts répondant à des obligations différentes. La documentation technique AI Act vise à démontrer la conformité du système aux exigences du règlement (performance, robustesse, sécurité, contrôle humain, etc.). L’AIPD vise à évaluer les risques du traitement de données personnelles pour les droits et libertés des personnes concernées. Pour un système d’IA à haut risque traitant des données personnelles, les deux documents sont obligatoires. Il est toutefois recommandé d’assurer leur cohérence et de les référencer mutuellement pour éviter les contradictions et faciliter la maintenance documentaire.

Quel niveau de détail technique est requis dans la documentation ?

Le niveau de détail doit être suffisant pour permettre aux autorités compétentes et aux organismes notifies d’évaluer la conformité du système. Le AI Act utilise la formule “de manière suffisamment détaillée” sans fixer de seuil absolu. En pratique, la documentation doit permettre à un évaluateur compétent de comprendre l’architecture et le fonctionnement du système, de reproduire les tests de performance et d’équité, d’évaluer l’adéquation des mesures de gestion des risques et de vérifier la conformité aux exigences des articles 8 à 15. Le fournisseur n’est pas tenu de divulguer le code source ou les secrets commerciaux, mais doit fournir les informations suffisantes pour l’évaluation, par exemple sous forme de spécifications techniques détaillées ou de résultats de tests documentés.

Comment gérer la documentation technique pour les systèmes d’IA fondés sur des modèles de fondation tiers ?

Lorsqu’un système d’IA à haut risque est fondé sur un modèle de fondation (modèle d’IA a usage général), la documentation technique doit couvrir l’ensemble de la chaîne : le modèle de fondation et les couches d’adaptation spécifiques au cas d’usage. Le fournisseur du système à haut risque doit obtenir du fournisseur du modèle de fondation les informations nécessaires à l’établissement de la documentation technique, conformément aux obligations de transparence imposées aux fournisseurs de modèles d’IA a usage général par les articles 53 et suivants du AI Act. Les clauses contractuelles avec le fournisseur du modèle de fondation doivent prévoir la transmission de ces informations. En cas d’impossibilité d’obtenir ces informations, le fournisseur du système à haut risque doit documenter les limites de sa documentation et les mesures alternatives mises en oeuvre pour évaluer la conformité.