L'article 17 du Règlement (UE) 2024/1689 impose aux fournisseurs de systèmes d'IA à haut risque de mettre en place un système de gestion de la qualité (SGQ) documenté et structuré. Cette exigence traduit la volonté du législateur européen d'inscrire la conformité réglementaire dans une démarche systématique et continue, plutôt que dans une logique de vérification ponctuelle.
Le système de gestion de la qualité constitue l'ossature organisationnelle permettant au fournisseur de démontrer sa maîtrise des processus de conception, développement, production et maintenance des systèmes d'IA à haut risque. Il doit couvrir l'ensemble du cycle de vie du système et garantir le respect permanent des exigences du règlement.
Cette disposition s'inscrit dans la continuité des approches réglementaires européennes en matière de produits à haut risque, tout en intégrant les spécificités propres aux systèmes d'intelligence artificielle, notamment en ce qui concerne la gestion des données, l'entraînement des modèles et la surveillance continue des performances.
Texte officiel de l'article 17 de l'AI Act
L'article 17 de l'AI Act dispose :
1. Les fournisseurs de systèmes d'IA à haut risque mettent en place un système de gestion de la qualité qui garantit le respect du présent règlement. Ce système est documenté de manière systématique et ordonnée sous la forme de politiques, procédures et instructions écrites, et comprend au moins les éléments suivants :
a) une stratégie de respect de la réglementation, y compris le respect des procédures d'évaluation de la conformité et des procédures de gestion des modifications apportées au système d'IA à haut risque ;
b) les techniques, procédures et actions systématiques à utiliser pour la conception, le contrôle de la conception et la vérification de la conception du système d'IA à haut risque ;
c) les techniques, procédures et actions systématiques à utiliser pour le développement, le contrôle de la qualité et l'assurance de la qualité du système d'IA à haut risque ;
d) les procédures d'examen, de test et de validation à effectuer avant, pendant et après le développement du système d'IA à haut risque, et la fréquence à laquelle ces procédures doivent être effectuées ;
e) les spécifications techniques, y compris les normes, à appliquer et, lorsque les normes harmonisées pertinentes ne sont pas appliquées intégralement, les moyens à utiliser pour garantir que le système d'IA à haut risque satisfait aux exigences énoncées à la section 2 ;
f) les systèmes et procédures de gestion des données, y compris l'acquisition, la collecte, l'analyse, l'étiquetage, le stockage, la filtration, l'exploration, l'agrégation, la conservation des données et toute autre opération concernant les données effectuée avant et aux fins de la mise sur le marché ou de la mise en service de systèmes d'IA à haut risque ;
g) le système de gestion des risques visé à l'article 9 ;
h) l'établissement, la mise en œuvre et le maintien d'un système de surveillance après commercialisation, conformément à l'article 72 ;
i) les procédures relatives à la notification des incidents graves conformément à l'article 73 ;
j) la gestion de la communication avec les autorités nationales compétentes, d'autres autorités concernées, y compris celles qui fournissent ou soutiennent l'accès aux données, les organismes notifiés, d'autres opérateurs, les clients ou d'autres parties intéressées ;
k) les systèmes et procédures de conservation de tous les documents et informations pertinents ;
l) la gestion des ressources, y compris les mesures liées à la sécurité de l'approvisionnement ;
m) un cadre de responsabilisation définissant les responsabilités de la direction et des autres membres du personnel en ce qui concerne tous les aspects énumérés au présent paragraphe.
2. La mise en œuvre des éléments visés au paragraphe 1 est proportionnée à la taille de l'organisation du fournisseur. Les fournisseurs respectent, en tout état de cause, le degré de rigueur et le niveau de protection requis pour garantir la conformité de leurs systèmes d'IA à haut risque avec le présent règlement.
3. Les fournisseurs de systèmes d'IA à haut risque qui sont soumis à des obligations relatives aux systèmes de gestion de la qualité ou à une fonction équivalente en vertu du droit sectoriel de l'Union pertinent peuvent inclure les éléments visés au paragraphe 1 dans les systèmes de gestion de la qualité établis en vertu de ce droit.
Analyse juridique de l'article 17
Structure et documentation du SGQ
Le système de gestion de la qualité doit être documenté de manière « systématique et ordonnée » sous forme de politiques, procédures et instructions écrites. Cette exigence de formalisation vise à garantir la traçabilité des processus, leur reproductibilité et leur auditabilité par les autorités de surveillance ou les organismes notifiés.
La documentation doit refléter l'organisation réelle de l'entreprise et les pratiques effectivement mises en œuvre. Un SGQ purement formel, déconnecté des réalités opérationnelles, ne satisferait pas aux exigences du règlement et exposerait le fournisseur à des sanctions.
Couverture du cycle de vie complet
Les éléments requis par l'article 17 couvrent l'intégralité du cycle de vie du système d'IA : conception, développement, production, mise sur le marché, surveillance post-commercialisation et gestion des incidents. Cette approche holistique reconnaît que la conformité d'un système d'IA ne peut être garantie par une vérification ponctuelle mais nécessite un suivi continu.
Gestion des données
Le point f) de l'article 17 accorde une importance particulière à la gestion des données, élément fondamental pour les systèmes d'IA. Le SGQ doit couvrir l'ensemble des opérations sur les données : acquisition, collecte, analyse, étiquetage, stockage, filtration, exploration, agrégation et conservation. Cette exigence reflète l'importance critique de la qualité des données pour la fiabilité et l'équité des systèmes d'IA.
Intégration du système de gestion des risques
Le SGQ doit intégrer le système de gestion des risques prévu à l'article 9. Cette articulation garantit que l'identification, l'évaluation et l'atténuation des risques ne constituent pas une activité isolée mais s'inscrivent dans le cadre général de la gouvernance qualité du fournisseur.
Principe de proportionnalité
Le paragraphe 2 introduit un principe de proportionnalité : la mise en œuvre du SGQ doit être adaptée à la taille de l'organisation. Cette disposition vise à éviter d'imposer aux PME des charges administratives disproportionnées, tout en maintenant l'exigence d'un niveau de protection suffisant pour garantir la conformité.
Articulation avec les réglementations sectorielles
Le paragraphe 3 permet aux fournisseurs déjà soumis à des obligations de gestion de la qualité en vertu d'autres réglementations européennes (dispositifs médicaux, véhicules, etc.) d'intégrer les exigences de l'AI Act dans leurs systèmes existants. Cette disposition favorise la cohérence réglementaire et évite la duplication des efforts de conformité.
Exemples concrets d'application
📋 Exemple concret d'application de l'article 17 de l'AI Act
Cas 1 - Startup développant un système de scoring crédit : Une jeune entreprise développe un système d'IA d'évaluation de solvabilité. Malgré sa taille réduite (15 employés), elle doit mettre en place un SGQ couvrant : les procédures de collecte et validation des données d'entraînement, les protocoles de test pour détecter les biais discriminatoires, les processus de mise à jour du modèle, et les canaux de signalement des incidents. La documentation peut être simplifiée mais doit couvrir tous les éléments essentiels.
Cas 2 - Grand groupe industriel avec système d'IA de maintenance prédictive : Un groupe industriel déploie un système d'IA pour la maintenance prédictive d'équipements critiques. Son SGQ, déjà structuré selon ISO 9001, est étendu pour intégrer : les procédures spécifiques de validation des modèles d'IA, la traçabilité des données capteurs utilisées pour l'entraînement, les protocoles de surveillance de la dérive des performances, et la gestion des alertes générées par le système.
Cas 3 - Éditeur de logiciel médical : Un éditeur développe un module d'aide au diagnostic intégré à un dispositif médical. Son SGQ existant conforme au règlement dispositifs médicaux (MDR) est complété par les exigences spécifiques de l'AI Act : documentation des algorithmes d'IA, validation sur des cohortes représentatives, surveillance des performances cliniques post-déploiement, et procédures de notification coordonnées entre autorités IA et autorités sanitaires.
Cas 4 - Cadre de responsabilisation : Une entreprise met en place un comité IA réunissant direction technique, juridique et qualité. Les responsabilités sont clairement définies : le CTO supervise la conformité technique, le DPO veille à la protection des données, le responsable qualité coordonne les audits internes, et la direction générale valide les décisions stratégiques. Cette organisation est documentée et communiquée à l'ensemble du personnel concerné.
Articulation avec les autres dispositions de l'AI Act
L'article 17 s'articule étroitement avec l'article 16 qui établit l'obligation générale de disposer d'un SGQ, et avec l'article 9 relatif au système de gestion des risques qui doit être intégré au SGQ. Il forme également la base organisationnelle permettant de satisfaire aux obligations de documentation (article 18), de conservation des journaux (article 19) et de surveillance post-commercialisation (article 72).
Le SGQ constitue un élément clé lors des procédures d'évaluation de la conformité (articles 40-49). Les organismes notifiés, lorsqu'ils interviennent, évaluent notamment la capacité du SGQ à garantir le maintien de la conformité dans le temps. Pour les systèmes soumis à auto-évaluation, le SGQ permet au fournisseur de démontrer sa maîtrise des processus.
En cas d'incident grave, les procédures prévues dans le SGQ conformément à l'article 17, point i), permettent une notification rapide et structurée aux autorités compétentes, conformément à l'article 73.
Implications pratiques pour les organisations
La mise en place d'un SGQ conforme à l'article 17 représente un investissement significatif en termes de ressources humaines et organisationnelles. Les fournisseurs doivent identifier les compétences nécessaires en interne ou recourir à des expertises externes pour structurer leur démarche qualité.
Les organisations disposant déjà d'un SGQ certifié (ISO 9001, ISO 13485 pour les dispositifs médicaux, IATF 16949 pour l'automobile) peuvent capitaliser sur cette base en l'enrichissant des exigences spécifiques à l'IA. Cette approche d'extension est généralement plus efficiente que la création d'un système parallèle.
La formation du personnel est un facteur clé de succès. L'ensemble des équipes impliquées dans le développement et la maintenance des systèmes d'IA doit comprendre les exigences du règlement et leur traduction opérationnelle dans les procédures internes.
Les audits internes réguliers permettent de vérifier l'application effective des procédures et d'identifier les axes d'amélioration. Ces audits doivent couvrir l'ensemble des éléments du SGQ et être documentés pour démontrer la démarche d'amélioration continue.
L'article 17 de l'AI Act impose aux fournisseurs de systèmes d'IA à haut risque une structuration rigoureuse de leurs processus à travers un système de gestion de la qualité documenté et exhaustif. Cette exigence traduit la conviction du législateur que la conformité réglementaire ne peut résulter que d'une démarche organisationnelle systématique.
Le SGQ couvre l'ensemble du cycle de vie du système d'IA, de la conception à la surveillance post-commercialisation, avec une attention particulière à la gestion des données et à l'intégration du système de gestion des risques. Le principe de proportionnalité permet d'adapter l'intensité des mesures à la taille de l'organisation tout en maintenant le niveau de protection requis.
Pour les fournisseurs, cette exigence représente à la fois une contrainte organisationnelle et une opportunité de structurer leurs pratiques de développement IA selon les standards les plus élevés, renforçant ainsi la confiance dans leurs systèmes et leur positionnement sur le marché européen.