L'article 26 du Règlement (UE) 2024/1689 définit les obligations des déployeurs de systèmes d'IA à haut risque. Le déployeur est défini comme toute personne physique ou morale, autorité publique, agence ou autre organisme qui utilise un système d'IA sous sa propre autorité, sauf lorsque le système d'IA est utilisé dans le cadre d'une activité personnelle non professionnelle.

Les obligations du déployeur diffèrent de celles du fournisseur : tandis que le fournisseur est responsable de la conception et de la conformité intrinsèque du système, le déployeur est responsable de son utilisation appropriée et conforme. Cette distinction reflète la réalité des usages de l'IA, où le contexte de déploiement influence fortement les risques pour les personnes concernées.

L'article 26 constitue l'une des dispositions les plus étendues du règlement en matière d'obligations, couvrant l'utilisation conforme, la surveillance humaine, la conservation des journaux, l'analyse d'impact, l'information des personnes concernées, et la coopération avec les autorités.

Texte officiel de l'article 26 de l'AI Act (extraits)

L'article 26 de l'AI Act dispose :

1. Les déployeurs de systèmes d'IA à haut risque prennent des mesures techniques et organisationnelles appropriées pour garantir qu'ils utilisent ces systèmes conformément aux instructions d'utilisation accompagnant les systèmes, conformément aux paragraphes 3 et 6.

2. Les déployeurs confient la surveillance humaine à des personnes physiques qui disposent des compétences, de la formation et de l'autorité nécessaires, ainsi que du soutien nécessaire.

3. Les obligations énoncées aux paragraphes 1 et 2 sont sans préjudice des autres obligations du déployeur prévues par le droit de l'Union ou le droit national et de la liberté du déployeur d'organiser ses propres ressources et activités aux fins de la mise en œuvre des mesures de surveillance humaine indiquées par le fournisseur.

4. Sans préjudice du paragraphe 3, dans la mesure où le déployeur exerce un contrôle sur les données d'entrée, ce déployeur veille à ce que les données d'entrée soient pertinentes et suffisamment représentatives au regard de la finalité prévue du système d'IA à haut risque.

5. Les déployeurs surveillent le fonctionnement du système d'IA à haut risque sur la base des instructions d'utilisation et, le cas échéant, informent les fournisseurs conformément à l'article 72. Lorsqu'ils ont des raisons de considérer que l'utilisation conformément aux instructions d'utilisation peut avoir pour conséquence que le système d'IA présente un risque au sens de l'article 79, paragraphe 1, ils en informent, sans retard injustifié, le fournisseur ou le distributeur et l'autorité de surveillance du marché compétente et suspendent l'utilisation de ce système.

6. Les déployeurs de systèmes d'IA à haut risque conservent les journaux générés automatiquement par ce système d'IA à haut risque dans la mesure où ces journaux sont sous leur contrôle, pendant une période adaptée à la finalité prévue du système d'IA à haut risque, d'au moins six mois, sauf disposition contraire dans le droit de l'Union ou le droit national applicable.

7. Avant de mettre en service ou d'utiliser un système d'IA à haut risque sur le lieu de travail, les déployeurs qui sont des employeurs informent les représentants des travailleurs et les travailleurs concernés qu'ils seront soumis à l'utilisation d'un système d'IA à haut risque.

8. Les déployeurs de systèmes d'IA à haut risque qui sont des organismes de droit public ou des opérateurs privés fournissant des services publics (...) effectuent une analyse d'impact sur les droits fondamentaux que l'utilisation de ce système peut engendrer.

Analyse juridique de l'article 26

Utilisation conforme aux instructions

L'obligation fondamentale du déployeur est d'utiliser le système conformément aux instructions fournies par le fournisseur. Cette exigence implique une lecture attentive de la documentation, une compréhension des limites du système, et le respect des conditions d'utilisation définies. Toute utilisation hors du cadre prévu peut engager la responsabilité du déployeur.

Surveillance humaine

Les déployeurs doivent confier la surveillance humaine à des personnes compétentes, formées et disposant de l'autorité nécessaire pour intervenir sur le système. Cette exigence traduit le principe selon lequel l'IA à haut risque ne doit pas fonctionner de manière entièrement autonome, mais sous le contrôle de personnes capables de comprendre ses décisions et de les corriger si nécessaire.

Qualité des données d'entrée

Lorsque le déployeur contrôle les données fournies au système, il est responsable de leur qualité : pertinence et représentativité au regard de la finalité du système. Des données biaisées ou non représentatives peuvent conduire à des décisions discriminatoires ou erronées, même si le système est intrinsèquement conforme.

Surveillance du fonctionnement et signalement

Le déployeur doit surveiller le fonctionnement du système et signaler au fournisseur tout dysfonctionnement ou risque identifié. En cas de risque grave, il doit informer les autorités et suspendre l'utilisation du système. Cette obligation de vigilance complète le dispositif de surveillance post-commercialisation.

Conservation des journaux

Comme les fournisseurs (article 19), les déployeurs doivent conserver les journaux du système pendant au moins six mois. Cette obligation s'applique aux journaux sous leur contrôle, notamment lorsque le système est déployé sur leur infrastructure.

Information des travailleurs

Les déployeurs employeurs ont une obligation spécifique d'information des travailleurs et de leurs représentants avant le déploiement d'un système d'IA à haut risque sur le lieu de travail. Cette disposition protège les droits des travailleurs et favorise le dialogue social autour de l'introduction de l'IA.

Analyse d'impact sur les droits fondamentaux

Les organismes publics et les opérateurs de services publics doivent réaliser une analyse d'impact sur les droits fondamentaux avant de déployer un système d'IA à haut risque. Cette obligation s'inspire du modèle des analyses d'impact prévues par le RGPD et vise à anticiper les effets du système sur les droits des personnes concernées.

Exemples concrets d'application

📋 Exemple concret d'application de l'article 26 de l'AI Act

Cas 1 - Service RH utilisant un système de tri de CV : Une entreprise déploie un système d'IA pour la présélection des candidatures. Elle doit : former ses recruteurs à l'utilisation du système et à l'interprétation de ses résultats, s'assurer qu'ils peuvent écarter les recommandations du système si nécessaire, informer le CSE et les candidats du recours à l'IA, et surveiller les taux de sélection pour détecter d'éventuels biais.

Cas 2 - Banque utilisant un système de scoring crédit : Une banque déploie un système d'IA pour l'évaluation des demandes de crédit. Elle doit : utiliser le système uniquement pour les types de demandes prévus dans les instructions, former les conseillers à la lecture des scores et à la possibilité de les contester, conserver les journaux de toutes les décisions, et, si elle exerce une mission de service public, réaliser une analyse d'impact sur les droits fondamentaux.

Cas 3 - Collectivité territoriale avec vidéosurveillance IA : Une mairie déploie un système de vidéosurveillance avec détection automatique d'incidents. En tant qu'organisme public, elle doit réaliser une analyse d'impact sur les droits fondamentaux (vie privée, liberté de circulation). Elle informe les agents municipaux concernés, forme les opérateurs à la surveillance du système, et met en place des procédures de signalement en cas de dysfonctionnement.

Cas 4 - Signalement d'un risque : Un hôpital utilisant un système d'IA d'aide au diagnostic observe des recommandations aberrantes dans certains cas. Il suspend immédiatement l'utilisation du système pour les pathologies concernées, informe le fournisseur et l'autorité de surveillance du marché (ANSM pour les dispositifs médicaux), et documente les cas problématiques pour l'enquête.

Articulation avec les autres dispositions de l'AI Act

L'article 26 complète l'article 16 (obligations des fournisseurs) en créant un système de responsabilités partagées : le fournisseur assure la conformité intrinsèque du système et fournit les instructions d'utilisation, le déployeur assure l'utilisation conforme et la surveillance opérationnelle.

Les obligations de conservation des journaux (paragraphe 6) font écho à celles des fournisseurs (article 19), la répartition s'effectuant en fonction du contrôle effectif sur les données. Les obligations de signalement renvoient au dispositif de surveillance post-commercialisation (article 72) et aux procédures relatives aux systèmes présentant un risque (article 79).

L'analyse d'impact sur les droits fondamentaux (paragraphe 8) est détaillée à l'article 27 qui précise son contenu et les critères de sa réalisation. Cette obligation s'articule également avec le RGPD pour les traitements de données personnelles.

Implications pratiques pour les organisations

Les organisations déployant des systèmes d'IA à haut risque doivent mettre en place une gouvernance adaptée : identification des systèmes concernés, désignation des personnes responsables de la surveillance, formation des utilisateurs, procédures de signalement des incidents.

La documentation des usages est essentielle : conservation des journaux, traçabilité des décisions prises sur la base des recommandations de l'IA, documentation des cas où les opérateurs humains ont écarté les recommandations du système.

L'information des parties prenantes (travailleurs, représentants du personnel, personnes concernées par les décisions) doit être organisée en amont du déploiement et maintenue tout au long de l'utilisation du système.

Pour les organismes publics et les opérateurs de services publics, l'analyse d'impact sur les droits fondamentaux constitue une étape préalable obligatoire. Cette analyse doit être documentée, régulièrement mise à jour, et disponible pour les autorités de contrôle.

L'article 26 de l'AI Act établit un cadre complet d'obligations pour les déployeurs de systèmes d'IA à haut risque. Ces obligations portent sur l'utilisation conforme, la surveillance humaine, la qualité des données, la conservation des journaux, l'information des travailleurs et, pour certains acteurs, l'analyse d'impact sur les droits fondamentaux.

Le déployeur assume ainsi une responsabilité propre, distincte de celle du fournisseur, sur les conditions d'utilisation du système et ses effets sur les personnes concernées. Cette approche reconnaît que les risques de l'IA dépendent non seulement de la conception du système mais aussi de son contexte de déploiement.

Pour les organisations, la mise en conformité avec l'article 26 nécessite une adaptation des processus internes, une sensibilisation des équipes, et une gouvernance dédiée aux systèmes d'IA à haut risque qu'elles utilisent.