L'article 16 du Règlement (UE) 2024/1689 établit le cadre général des obligations incombant aux fournisseurs de systèmes d'intelligence artificielle classés à haut risque. Cette disposition constitue le pivot central du régime de conformité applicable aux systèmes d'IA présentant des risques significatifs pour la santé, la sécurité ou les droits fondamentaux des personnes.

Le fournisseur, défini comme la personne physique ou morale qui développe ou fait développer un système d'IA à haut risque en vue de le mettre sur le marché ou de le mettre en service sous son propre nom ou sa propre marque, assume la responsabilité première de la conformité du système tout au long de son cycle de vie.

Les obligations énoncées à l'article 16 couvrent l'ensemble des phases du développement et de la commercialisation : de la conception initiale conforme aux exigences du règlement jusqu'à la mise en place de procédures de surveillance post-commercialisation, en passant par la documentation technique, l'évaluation de conformité et la coopération avec les autorités compétentes.

Texte officiel de l'article 16 de l'AI Act

L'article 16 de l'AI Act dispose :

Les fournisseurs de systèmes d'IA à haut risque :

a) veillent à ce que leurs systèmes d'IA à haut risque soient conformes aux exigences énoncées à la section 2 ;

b) indiquent sur le système d'IA à haut risque ou, lorsque ce n'est pas possible, sur son emballage ou dans la documentation qui l'accompagne, selon le cas, leur nom, leur raison sociale ou leur marque déposée, ainsi que l'adresse à laquelle ils peuvent être contactés ;

c) disposent d'un système de gestion de la qualité conforme à l'article 17 ;

d) conservent la documentation visée à l'article 18 ;

e) lorsque le système d'IA à haut risque est sous leur contrôle, conservent les journaux générés automatiquement par ce système d'IA à haut risque, conformément à l'article 19 ;

f) veillent à ce que le système d'IA à haut risque soit soumis à la procédure d'évaluation de la conformité applicable avant sa mise sur le marché ou sa mise en service, conformément à l'article 43 ;

g) établissent une déclaration UE de conformité conformément à l'article 47 ;

h) apposent le marquage CE sur le système d'IA à haut risque ou, lorsque ce n'est pas possible, sur son emballage ou dans la documentation qui l'accompagne, afin d'indiquer la conformité avec le présent règlement, conformément à l'article 48 ;

i) se conforment aux obligations en matière d'enregistrement visées à l'article 49 ;

j) prennent les mesures correctives nécessaires et fournissent les informations requises conformément à l'article 20 ;

k) à la demande motivée d'une autorité nationale compétente, démontrent la conformité du système d'IA à haut risque avec les exigences énoncées à la section 2 ;

l) veillent à ce que le système d'IA à haut risque soit conforme aux exigences en matière d'accessibilité prévues par les directives (UE) 2016/2102 et (UE) 2019/882.

Analyse juridique de l'article 16

Conformité aux exigences essentielles

La première obligation du fournisseur est de garantir que son système d'IA à haut risque respecte l'ensemble des exigences techniques et organisationnelles définies aux articles 8 à 15 du règlement. Ces exigences couvrent notamment le système de gestion des risques, la gouvernance des données, la documentation technique, la tenue de registres, la transparence, le contrôle humain, l'exactitude, la robustesse et la cybersécurité.

Cette obligation de conformité n'est pas ponctuelle mais continue : le fournisseur doit s'assurer que le système reste conforme tout au long de son cycle de vie, y compris après sa mise sur le marché. Toute modification substantielle du système peut déclencher une nouvelle obligation d'évaluation de conformité.

Identification et traçabilité

Le fournisseur doit clairement s'identifier sur le système d'IA ou sa documentation. Cette exigence d'identification vise à garantir la traçabilité des systèmes et à permettre aux autorités de surveillance ainsi qu'aux utilisateurs d'identifier le responsable de la conformité. L'identification doit inclure le nom ou la raison sociale, la marque déposée le cas échéant, et une adresse de contact effective.

Système de gestion de la qualité

L'article 16, point c), impose aux fournisseurs de mettre en place un système de gestion de la qualité conforme à l'article 17. Ce système doit couvrir l'ensemble des processus liés au développement, à la production et à la maintenance du système d'IA, garantissant une approche systématique de la conformité plutôt qu'une vérification ponctuelle.

Documentation et journalisation

Les obligations de documentation (article 18) et de conservation des journaux (article 19) constituent des piliers essentiels de la démonstration de conformité. Le fournisseur doit être en mesure de fournir à tout moment une documentation technique complète et de conserver les logs générés par le système, permettant une traçabilité des décisions prises par l'IA.

Évaluation de conformité et marquage CE

Avant toute mise sur le marché ou mise en service, le système d'IA à haut risque doit avoir été soumis à la procédure d'évaluation de conformité appropriée. Cette procédure varie selon la nature du système et peut impliquer une auto-évaluation ou l'intervention d'un organisme notifié. La conformité est attestée par une déclaration UE de conformité et le marquage CE.

Mesures correctives et coopération

Le fournisseur doit mettre en œuvre des mesures correctives lorsque le système présente des non-conformités et coopérer pleinement avec les autorités nationales compétentes. Cette obligation de coopération inclut la fourniture d'informations, la démonstration de conformité sur demande motivée, et la participation aux procédures de surveillance du marché.

Exemples concrets d'application

📋 Exemple concret d'application de l'article 16 de l'AI Act

Cas 1 - Éditeur de logiciel RH : Une entreprise développe un système d'IA destiné au tri automatisé des candidatures. Ce système étant classé à haut risque (annexe III), le fournisseur doit : documenter l'ensemble des données d'entraînement utilisées, mettre en place un système de gestion de la qualité couvrant le développement et les mises à jour, faire réaliser une évaluation de conformité, apposer le marquage CE, et s'enregistrer dans la base de données européenne avant commercialisation.

Cas 2 - Fabricant de dispositif médical : Un fabricant intègre un module d'IA pour l'aide au diagnostic dans un dispositif médical. En tant que fournisseur du système d'IA à haut risque, il doit coordonner l'évaluation de conformité IA avec celle applicable aux dispositifs médicaux, conserver les journaux de fonctionnement du module IA, et établir une documentation technique spécifique à la composante IA distincte de la documentation du dispositif médical.

Cas 3 - Coopération avec les autorités : L'autorité nationale de surveillance du marché reçoit une plainte concernant un système d'IA de notation de crédit. Elle adresse une demande motivée au fournisseur pour démontrer la conformité aux exigences de non-discrimination. Le fournisseur doit fournir dans un délai raisonnable la documentation technique, les résultats des tests de biais, et les mesures d'atténuation mises en place.

Cas 4 - Mesure corrective : Après mise sur le marché, un fournisseur identifie que son système d'IA de reconnaissance d'émotions présente des performances dégradées pour certains groupes démographiques. Conformément à l'article 16, point j), il doit immédiatement prendre des mesures correctives (mise à jour du modèle, suspension temporaire), informer les déployeurs et, si nécessaire, les autorités compétentes.

Articulation avec les autres dispositions de l'AI Act

L'article 16 constitue le point nodal qui relie les exigences techniques (articles 8-15), les procédures d'évaluation de conformité (articles 40-49), et les obligations de surveillance post-commercialisation (articles 72-73). Il définit le fournisseur comme le responsable principal de l'ensemble de ces obligations.

Cette disposition doit être lue en articulation avec l'article 25 qui traite des cas où un opérateur autre que le fournisseur initial devient fournisseur (modification substantielle du système, mise sur le marché sous son propre nom), et avec l'article 22 relatif aux représentants autorisés pour les fournisseurs établis hors de l'Union.

Les obligations du fournisseur sont complétées par celles des autres acteurs de la chaîne de valeur : importateurs (article 23), distributeurs (article 24) et déployeurs (article 26). L'ensemble forme un système de responsabilités partagées visant à garantir la conformité à chaque étape.

Implications pratiques pour les organisations

Pour les entreprises développant des systèmes d'IA à haut risque, l'article 16 impose une structuration profonde de leurs processus. La mise en conformité ne peut être une action ponctuelle mais doit s'intégrer dans une démarche continue impliquant les équipes de développement, juridiques, qualité et conformité.

Les fournisseurs doivent notamment anticiper les ressources nécessaires à la documentation technique, qui doit être maintenue à jour tout au long du cycle de vie du système. La conservation des journaux implique également des capacités de stockage et de gestion des données significatives.

L'obligation de démontrer la conformité sur demande des autorités impose de maintenir un dossier de conformité complet et accessible. Les organisations doivent désigner des responsables capables de répondre aux demandes des autorités dans des délais raisonnables.

Enfin, les procédures de mesures correctives doivent être anticipées : identification des canaux de communication avec les déployeurs et les autorités, procédures d'escalade en cas de non-conformité grave, capacité à déployer des correctifs ou à suspendre temporairement le système si nécessaire.

L'article 16 de l'AI Act établit un cadre complet d'obligations pour les fournisseurs de systèmes d'IA à haut risque. En centralisant la responsabilité de conformité sur le fournisseur, le règlement crée un point de référence clair pour l'ensemble des acteurs de l'écosystème IA.

Ces obligations, qui couvrent l'intégralité du cycle de vie du système de la conception à la surveillance post-commercialisation, exigent des fournisseurs une approche structurée et des ressources dédiées à la conformité réglementaire.

La mise en œuvre effective de ces obligations contribuera à établir la confiance dans les systèmes d'IA à haut risque déployés dans l'Union européenne, tout en protégeant les droits fondamentaux des personnes concernées par leurs décisions.