L'article 11 du Règlement (UE) 2024/1689 impose aux fournisseurs de systèmes d'IA à haut risque d'établir et de tenir à jour une documentation technique détaillée de leurs systèmes. Cette exigence constitue un élément central du cadre de conformité de l'AI Act, car la documentation technique permet aux autorités compétentes, aux organismes notifiés et, le cas échéant, aux déployeurs de vérifier la conformité du système aux exigences du règlement.

La documentation technique doit être établie avant la mise sur le marché ou la mise en service du système d'IA à haut risque, et doit être maintenue à jour tout au long de son cycle de vie. Cette approche garantit que les informations relatives au système demeurent exactes et reflètent les modifications éventuelles apportées au système. La documentation doit permettre aux autorités de comprendre la conception, le fonctionnement et les limitations du système, ainsi que de vérifier sa conformité aux différentes exigences du règlement.

L'article 11 renvoie à l'annexe IV du règlement, qui énumère de manière détaillée les éléments que la documentation technique doit contenir. Cette approche permet une flexibilité dans l'évolution des exigences documentaires sans nécessiter une modification du corps du règlement, tout en garantissant un niveau de détail suffisant pour assurer l'effectivité des contrôles de conformité.

Texte officiel de l'article 11 de l'AI Act

L'article 11 de l'AI Act dispose :

« 1. La documentation technique d'un système d'IA à haut risque est établie avant que ce système ne soit mis sur le marché ou mis en service et est tenue à jour.

La documentation technique est établie de manière à démontrer que le système d'IA à haut risque est conforme aux exigences énoncées dans la présente section et à fournir aux autorités nationales compétentes et aux organismes notifiés les informations nécessaires pour évaluer, d'une manière claire et complète, la conformité du système d'IA avec ces exigences. Elle contient, au minimum, les éléments énoncés à l'annexe IV.

2. Les PME, y compris les jeunes pousses, au sens de l'article 3 de la recommandation 2003/361/CE, et décrites conformément à l'article 4 de ladite recommandation, peuvent fournir une documentation technique sous une forme et selon des modalités simplifiées, pour autant qu'elle contienne les informations prévues à l'annexe IV.

La Commission, après consultation du comité européen de l'intelligence artificielle (ci-après dénommé "comité IA"), fournit des lignes directrices spécifiques relatives aux modalités de mise en œuvre du présent paragraphe et une liste de référence de documents types de documentation technique pour faciliter la conformité des PME et des jeunes pousses avec cette exigence. Les lignes directrices sont publiées dans les 18 mois suivant l'entrée en vigueur du présent règlement.

3. Lorsqu'un système d'IA à haut risque lié à un produit auquel s'appliquent les actes juridiques énumérés à l'annexe I, section A, est mis sur le marché ou mis en service, une documentation technique unique contenant toutes les informations énoncées à l'annexe IV est établie. »

Cet article établit donc l'obligation de constituer une documentation technique complète et actualisée, tout en prévoyant des facilités pour les PME et startups.

Analyse juridique de l'article 11

Obligation d'établissement et de mise à jour de la documentation

L'article 11, paragraphe 1, pose deux obligations temporelles distinctes. Premièrement, la documentation technique doit être établie avant la mise sur le marché ou la mise en service du système. Cette exigence garantit que la conformité du système a été vérifiée en amont et que les éléments de preuve sont disponibles dès que le système devient accessible aux utilisateurs. Deuxièmement, la documentation doit être tenue à jour, ce qui implique une obligation continue de révision et d'actualisation chaque fois que le système fait l'objet de modifications substantielles ou que de nouvelles informations pertinentes deviennent disponibles.

La documentation doit être établie « de manière à démontrer » la conformité du système. Cette formulation impose une approche proactive : il ne suffit pas de compiler des informations disparates, mais il faut structurer la documentation de façon à permettre une vérification méthodique et complète de la conformité à chaque exigence du règlement. La documentation doit donc suivre une logique démonstrative, établissant pour chaque exigence du règlement comment le système y satisfait et quelles preuves l'attestent.

Le paragraphe 1 précise également que la documentation doit fournir aux autorités et aux organismes notifiés les informations nécessaires « d'une manière claire et complète ». Cette double exigence de clarté et de complétude impose aux fournisseurs de rédiger la documentation dans un langage accessible, structuré et précis, tout en s'assurant qu'aucun élément pertinent n'est omis. La clarté nécessite l'utilisation de terminologie appropriée, de schémas explicatifs lorsque pertinent, et d'une organisation logique. La complétude implique de couvrir l'ensemble des aspects du système et de répondre à toutes les exigences de l'annexe IV.

Contenu de la documentation : renvoi à l'annexe IV

L'article 11 renvoie à l'annexe IV pour la liste détaillée des éléments que la documentation technique doit contenir au minimum. Cette annexe structure la documentation autour de plusieurs catégories d'informations.

L'annexe IV exige notamment : une description générale du système d'IA incluant sa finalité prévue, le contexte d'utilisation, les personnes ou groupes de personnes concernés ; une description détaillée des éléments du système et du processus de développement, incluant la méthodologie et les techniques utilisées, les principales choix de conception et leur justification ; une description complète des données utilisées (origine, caractéristiques, méthodes de collecte et de préparation, détection des biais) ; une description du système de gestion des risques mis en place ; des informations sur les tests effectués et leurs résultats ; des informations techniques relatives aux performances du système (précision, robustesse, cybersécurité) ; une description des mesures de surveillance humaine ; les instructions d'utilisation détaillées.

Le renvoi à une annexe technique présente plusieurs avantages. Il permet de prévoir un niveau de détail important sans alourdir le corps du règlement. Il facilite également l'évolution future des exigences documentaires par modification de l'annexe via actes délégués, sans nécessiter une révision législative complète. Enfin, il permet aux opérateurs économiques de se référer directement à une liste de contrôle détaillée pour s'assurer de la complétude de leur documentation.

Simplifications pour les PME et startups

L'article 11, paragraphe 2, prévoit un régime simplifié pour les petites et moyennes entreprises (PME) et les startups. Ces entités, définies par référence à la recommandation 2003/361/CE de la Commission, peuvent fournir une documentation technique « sous une forme et selon des modalités simplifiées », tout en respectant l'obligation de couvrir l'ensemble des informations prévues à l'annexe IV.

Cette simplification vise à réduire la charge administrative pesant sur les PME et startups, qui disposent généralement de ressources limitées pour la préparation de la documentation de conformité. Elle reconnaît également que ces entités peuvent ne pas avoir l'expertise interne nécessaire pour produire une documentation aussi élaborée que celle des grandes entreprises établies. La simplification porte sur la forme et les modalités, mais non sur le fond : toutes les informations requises doivent figurer dans la documentation, mais peuvent être présentées de manière plus concise ou selon un format moins formalisé.

Le paragraphe 2 prévoit que la Commission, après consultation du Comité IA, fournira des lignes directrices spécifiques et une liste de référence de modèles de documentation pour faciliter la conformité des PME et startups. Ces documents d'orientation, qui devaient être publiés dans les 18 mois suivant l'entrée en vigueur du règlement (soit avant février 2026), permettront aux PME de disposer de gabarits et d'exemples concrets facilitant la préparation de leur documentation.

Documentation unique pour les systèmes intégrés dans des produits régulés

L'article 11, paragraphe 3, traite de la situation où un système d'IA à haut risque est intégré dans un produit soumis à d'autres législations d'harmonisation de l'Union (énumérées à l'annexe I, section A : dispositifs médicaux, machines, jouets, etc.). Dans ces cas, une documentation technique unique peut être établie, contenant à la fois les informations requises par l'AI Act (annexe IV) et celles exigées par la législation sectorielle applicable.

Cette possibilité de documentation unique vise à éviter les duplications et à réduire la charge administrative pour les opérateurs. Elle s'inscrit dans la logique d'intégration prévue à l'article 8, paragraphe 4, permettant d'harmoniser les procédures de conformité lorsqu'un même produit est soumis à plusieurs réglementations européennes. Toutefois, la documentation unique doit impérativement contenir « toutes les informations énoncées à l'annexe IV », sans omission : la possibilité de regroupement documentaire ne dispense pas de respecter l'intégralité des exigences de l'AI Act.

Exemples concrets d'application

📋 Exemple concret d'application de l'article 11 de l'AI Act

Cas d'un système d'IA de notation de crédits bancaires :
Une banque développe un système d'IA destiné à évaluer automatiquement les demandes de crédit immobilier. Ce système relève de l'annexe III (accès aux services privés essentiels) et constitue un système d'IA à haut risque soumis à l'article 11.

Établissement de la documentation technique avant mise sur le marché (article 11, paragraphe 1) :
Avant de déployer le système auprès de ses agences bancaires, la banque établit une documentation technique complète comprenant notamment :

1. Description générale du système (annexe IV, point 1) :
- Finalité : évaluation automatisée du risque de crédit et recommandation d'acceptation ou de refus des demandes de crédit immobilier ;
- Contexte d'utilisation : agences bancaires du réseau de la banque en France métropolitaine ;
- Personnes concernées : demandeurs de crédit immobilier (particuliers âgés de 18 à 75 ans) ;
- Architecture technique : modèle d'apprentissage automatique supervisé (gradient boosting) utilisant 50 variables explicatives.

2. Description du processus de développement (annexe IV, point 2) :
- Méthodologie de développement : approche agile avec sprints de 3 semaines ;
- Choix de conception : justification du choix de l'algorithme de gradient boosting plutôt que d'autres algorithmes (meilleur compromis performance/explicabilité pour ce cas d'usage) ;
- Phases de test : description des tests unitaires, tests d'intégration et tests de validation.

3. Description des données (annexe IV, point 3) :
- Origine : 150 000 dossiers de crédit historiques de la banque (période 2015-2023) ;
- Méthodes de collecte : extraction de la base de données de gestion des crédits ;
- Préparation : nettoyage des valeurs aberrantes, imputation des valeurs manquantes, normalisation ;
- Détection et correction des biais : analyse de l'équité du modèle selon le sexe, l'âge et la région ; mesures d'atténuation mises en place (surpondération des catégories sous-représentées) ;
- Validation : 20 000 dossiers de validation ; test : 20 000 dossiers de test.

4. Système de gestion des risques (annexe IV, point 4) :
- Risques identifiés : discrimination indirecte, faux négatifs pénalisant des emprunteurs solvables, décisions opaques ;
- Mesures de gestion : détection des biais, surveillance humaine systématique, explications des décisions ;
- Risque résiduel jugé acceptable compte tenu des mesures mises en place.

5. Tests et performances (annexe IV, point 5) :
- Précision globale : 87% sur l'ensemble de test ;
- Taux de faux positifs : 8% ; taux de faux négatifs : 5% ;
- Équité : analyse des performances par sous-groupes démographiques, écarts inférieurs à 3% entre groupes ;
- Robustesse : tests de résistance aux données bruitées et aberrantes ;
- Cybersécurité : tests de résistance aux attaques adverses et aux tentatives de manipulation.

6. Surveillance humaine (annexe IV, point 6) :
- Mesures prévues : révision obligatoire par un conseiller bancaire de toutes les décisions du système ;
- Formation des conseillers : formation de 2 jours sur les limites du système et les biais potentiels ;
- Possibilité de ne pas suivre les recommandations du système avec justification documentée.

7. Instructions d'utilisation (annexe IV, point 7) :
- Manuel détaillé pour les conseillers bancaires ;
- Limitations du système (ne doit pas être utilisé pour les crédits professionnels, les montants supérieurs à 1 million d'euros, etc.) ;
- Procédures en cas de dysfonctionnement ;
- Procédures de mise à jour du système.

Mise à jour de la documentation (article 11, paragraphe 1) :
Six mois après le déploiement, la surveillance après commercialisation révèle un biais non détecté initialement affectant les travailleurs indépendants. La banque corrige le système en réentraînant le modèle avec des données complémentaires et met à jour la documentation technique pour refléter cette modification : description du problème identifié, données complémentaires collectées, nouveau modèle entraîné, nouveaux tests de validation, nouvelles performances. La version actualisée de la documentation remplace la version précédente, tout en conservant un historique des versions.

Simplification pour une startup FinTech (article 11, paragraphe 2) :
Si le système avait été développé par une startup de moins de 50 salariés (PME au sens de la recommandation 2003/361/CE), celle-ci aurait pu utiliser les modèles de documentation fournis par la Commission et adopter un format simplifié (par exemple, documentation moins volumineuse, moins de détails techniques, utilisation de tableaux synthétiques). Cependant, elle aurait dû couvrir l'ensemble des points de l'annexe IV, sans omission.

Articulation avec les autres dispositions de l'AI Act

L'article 11 s'articule avec l'ensemble des articles 9 à 15, puisque la documentation technique doit démontrer la conformité aux exigences qu'ils prévoient. Chaque exigence (gestion des risques, qualité des données, tenue de registres, transparence, surveillance humaine, robustesse) doit faire l'objet d'une section spécifique dans la documentation technique, expliquant comment le système satisfait à cette exigence.

L'article 11 est directement lié à l'article 16 sur les obligations des fournisseurs, qui impose notamment de tenir la documentation technique à la disposition des autorités compétentes. La documentation constitue ainsi l'un des principaux instruments de contrôle de la conformité par les autorités. Elle sera également examinée par les organismes notifiés dans le cadre des procédures d'évaluation de la conformité prévues à l'article 43.

L'article 11 s'inscrit dans la continuité de l'article 8, qui pose le principe général de conformité et prévoit la possibilité d'intégration documentaire pour les systèmes intégrés dans des produits régulés. Le paragraphe 3 de l'article 11 opérationnalise cette possibilité d'intégration en permettant l'établissement d'une documentation technique unique.

Enfin, l'article 11 doit être lu conjointement avec l'annexe IV, qui en constitue le complément technique indispensable. Les modifications éventuelles de l'annexe IV impacteront directement le contenu et la structure de la documentation technique que les fournisseurs doivent établir.

Implications pratiques pour les organisations

Pour les fournisseurs de systèmes d'IA à haut risque, l'article 11 impose l'allocation de ressources significatives à la préparation et à la maintenance de la documentation technique. Cette documentation ne peut être perçue comme une simple formalité administrative, mais doit être considérée comme un élément central de la démarche de conformité et de la gouvernance du système d'IA.

La préparation de la documentation doit débuter dès les premières phases de développement du système, et non être différée jusqu'à la mise sur le marché. Une approche progressive est recommandée : documenter les choix de conception au moment où ils sont effectués, documenter les tests au moment où ils sont réalisés, documenter les risques au fur et à mesure de leur identification. Cette approche itérative facilite la constitution d'une documentation complète et évite le risque d'omissions liées à une documentation rétrospective.

Les organisations doivent désigner des responsables de la documentation technique et mettre en place des processus de gestion documentaire appropriés : versioning, archivage, contrôle d'accès, procédures de révision et d'approbation. Un système de gestion documentaire structuré facilitera les mises à jour et garantira que la version en vigueur de la documentation est toujours identifiable et accessible.

Pour les PME et startups, il est essentiel de suivre les lignes directrices que la Commission publiera et d'utiliser les modèles de documentation de référence. Le recours à des experts externes ou à des consultants spécialisés peut être pertinent pour s'assurer que la documentation, même simplifiée, couvre l'ensemble des exigences et présente un niveau de qualité suffisant pour l'évaluation de conformité.

La documentation technique constitue un document confidentiel contenant des informations stratégiques sur le fonctionnement du système d'IA. Les organisations doivent donc mettre en place des mesures de protection appropriées tout en garantissant l'accès aux autorités compétentes et organismes notifiés dans le cadre de leurs missions de contrôle.

L'article 11 de l'AI Act établit l'obligation pour les fournisseurs de systèmes d'IA à haut risque de constituer et de maintenir une documentation technique complète démontrant la conformité de leurs systèmes aux exigences du règlement. Cette documentation constitue l'un des principaux instruments de vérification de la conformité par les autorités compétentes et les organismes notifiés.

En renvoyant à l'annexe IV pour le contenu détaillé de la documentation, l'article 11 assure un équilibre entre précision des exigences et flexibilité réglementaire. Les simplifications prévues pour les PME et startups témoignent du souci du législateur de proportionner les obligations aux capacités des différents opérateurs, tout en maintenant un niveau d'exigence élevé quant au fond.

Pour les organisations, l'article 11 impose une rigueur méthodologique importante et la mise en place de processus de gestion documentaire structurés. La qualité de la documentation technique conditionne non seulement la conformité réglementaire, mais aussi la capacité à démontrer cette conformité lors des contrôles, constituant ainsi un enjeu essentiel pour l'accès et le maintien sur le marché européen des systèmes d'IA à haut risque.