L'article 8 du Règlement (UE) 2024/1689 établit le principe général de conformité des systèmes d'IA à haut risque aux exigences du Chapitre III, Section 2, du règlement. Cette disposition constitue la clé de voûte du cadre réglementaire applicable aux systèmes d'IA à haut risque, en posant l'obligation fondamentale de respecter l'ensemble des exigences techniques et organisationnelles prévues par le règlement.
Au-delà de ce principe général, l'article 8 introduit deux mécanismes essentiels pour l'application pratique du règlement. D'une part, il impose la prise en compte du système de gestion des risques dans l'évaluation de la conformité, créant ainsi un lien direct entre l'analyse des risques et les mesures de conformité. D'autre part, il organise l'articulation entre les exigences de l'AI Act et celles des autres législations d'harmonisation de l'Union, évitant ainsi les redondances et les contradictions réglementaires.
L'article 8 reconnaît également l'état de l'art technologique comme référence pour apprécier la conformité, permettant ainsi une évaluation dynamique tenant compte des évolutions techniques. Cette approche garantit que les exigences du règlement demeurent adaptées aux possibilités offertes par les technologies d'IA à un moment donné, sans figer le cadre réglementaire dans des solutions techniques obsolètes.
Texte officiel de l'article 8 de l'AI Act
L'article 8 de l'AI Act dispose :
« 1. Les systèmes d'IA à haut risque satisfont aux exigences établies dans la présente section, compte tenu de leur finalité prévue ainsi que de l'état de l'art généralement reconnu en matière d'IA et de technologies liées à l'IA.
2. Le système de gestion des risques visé à l'article 9 est pris en compte lors de l'établissement de la conformité aux exigences établies dans la présente section.
3. Lorsqu'un produit contient un système d'IA auquel s'appliquent les exigences du présent règlement ainsi que les exigences de la législation d'harmonisation de l'Union énumérée à l'annexe I, section A, les fournisseurs sont responsables de veiller à ce que leur produit soit entièrement conforme à toutes les exigences applicables en vertu de la législation d'harmonisation de l'Union applicable.
4. Afin de garantir la conformité des systèmes d'IA à haut risque visés au paragraphe 1 avec les exigences énoncées dans la présente section, et afin de garantir la cohérence, d'éviter la duplication et de réduire au minimum les charges supplémentaires, les fournisseurs peuvent choisir d'intégrer, selon le cas, les procédures d'essai et de communication d'informations nécessaires, les informations et la documentation qu'ils fournissent au sujet de leur produit dans la documentation et les procédures qui existent déjà et qui sont requises en vertu de la législation d'harmonisation de l'Union énumérée à l'annexe I, section A. »
Cet article établit donc un cadre général de conformité tout en prévoyant des mécanismes de simplification et d'harmonisation avec les autres législations européennes applicables.
Analyse juridique de l'article 8
Principe général de conformité
L'article 8, paragraphe 1, pose le principe selon lequel les systèmes d'IA à haut risque doivent satisfaire aux exigences établies dans la Section 2 du Chapitre III. Ces exigences, développées aux articles 9 à 15, couvrent l'ensemble du cycle de vie des systèmes d'IA à haut risque : gestion des risques, gouvernance des données, documentation technique, tenue de registres, transparence, surveillance humaine, exactitude, robustesse et cybersécurité.
La référence à la « finalité prévue » du système signifie que l'appréciation de la conformité doit tenir compte du contexte d'utilisation spécifique pour lequel le système a été conçu. Un même système d'IA peut ainsi nécessiter des mesures de conformité différentes selon qu'il est destiné à être utilisé dans un environnement médical, éducatif ou judiciaire.
La mention de l'« état de l'art généralement reconnu » introduit une référence dynamique aux meilleures pratiques et technologies disponibles au moment de l'évaluation de la conformité. Cette approche évite d'imposer des exigences irréalistes ou obsolètes, tout en maintenant un niveau d'exigence élevé correspondant aux possibilités techniques du moment. L'état de l'art inclut à la fois les avancées scientifiques et techniques en matière d'IA et les bonnes pratiques reconnues par la communauté des professionnels de l'IA.
Intégration de la gestion des risques
L'article 8, paragraphe 2, établit un lien structurel entre le système de gestion des risques prévu à l'article 9 et l'ensemble des autres exigences de conformité. Cette disposition signifie que la gestion des risques ne constitue pas une exigence isolée, mais irrigue l'ensemble du processus de conformité.
Concrètement, cela implique que les mesures prises pour satisfaire aux exigences des articles 10 à 15 (données, documentation, transparence, surveillance humaine, robustesse) doivent être déterminées en fonction des résultats du système de gestion des risques. Par exemple, le niveau de précision requis pour un système d'IA (article 15) sera déterminé en fonction des risques identifiés pour ce système spécifique ; les mesures de surveillance humaine (article 14) seront adaptées aux risques identifiés ; la documentation technique (article 11) devra inclure les résultats de l'analyse des risques.
Cette approche intégrée garantit que les mesures de conformité sont proportionnées aux risques réels du système, évitant à la fois le sous-dimensionnement (mesures insuffisantes) et le surdimensionnement (mesures disproportionnées créant des coûts inutiles).
Articulation avec les autres législations d'harmonisation
L'article 8, paragraphe 3, traite de la situation fréquente où un produit contient un système d'IA et relève à la fois de l'AI Act et d'autres législations d'harmonisation de l'Union énumérées à l'annexe I, section A (règlement sur les dispositifs médicaux, directive sur les machines, règlement sur les produits de construction, etc.).
Dans ces situations de cumul réglementaire, le fournisseur est responsable d'assurer la conformité complète du produit à l'ensemble des exigences applicables. Cette responsabilité unique évite les zones grises où chaque acteur pourrait considérer qu'un aspect de la conformité relève de la compétence d'un autre. Le fournisseur doit donc maîtriser à la fois les exigences de l'AI Act et celles de la législation sectorielle applicable à son produit.
Cette disposition souligne la nécessité pour les fournisseurs de systèmes d'IA intégrés dans des produits régulés de disposer d'une expertise pluridisciplinaire couvrant l'ensemble des cadres réglementaires applicables. Elle justifie également le recours à des experts externes spécialisés dans les différentes réglementations concernées.
Simplification et intégration documentaire
L'article 8, paragraphe 4, offre aux fournisseurs une faculté importante : celle d'intégrer les procédures de conformité à l'AI Act dans les procédures déjà existantes en vertu d'autres législations d'harmonisation. Cette possibilité vise à éviter les duplications, réduire les charges administratives et garantir la cohérence entre les différents cadres réglementaires.
Concrètement, un fournisseur de dispositifs médicaux intégrant de l'IA pourra intégrer la documentation technique requise par l'AI Act (article 11) dans la documentation technique déjà exigée par le règlement sur les dispositifs médicaux. De même, les essais et tests prévus par l'AI Act pourront être réalisés conjointement avec ceux requis par la législation sectorielle, sous réserve que l'ensemble des exigences de chaque réglementation soit bien couvert.
Cette faculté d'intégration ne dispense toutefois pas de respecter l'intégralité des exigences de chaque réglementation. Elle offre simplement une flexibilité dans les modalités pratiques de démonstration de la conformité, permettant aux opérateurs d'optimiser leurs processus internes.
Exemples concrets d'application
📋 Exemple concret d'application de l'article 8 de l'AI Act
Cas d'un dispositif médical avec IA intégrée :
Une entreprise développe un dispositif médical d'aide au diagnostic du cancer du sein par analyse automatisée d'images mammographiques. Ce dispositif contient un système d'IA de classification d'images entraîné sur un large ensemble de données médicales.
Application de l'article 8, paragraphe 1 : le système d'IA doit satisfaire aux exigences des articles 9 à 15 de l'AI Act, compte tenu de sa finalité prévue (aide au diagnostic médical en oncologie) et de l'état de l'art en matière d'IA médicale. L'état de l'art inclut notamment les techniques d'apprentissage profond les plus avancées, les méthodes de validation clinique reconnues et les bonnes pratiques en matière d'explicabilité des décisions d'IA médicale.
Application de l'article 8, paragraphe 2 : l'entreprise met en place un système de gestion des risques conformément à l'article 9, identifiant les risques spécifiques du système (faux négatifs pouvant retarder un diagnostic, faux positifs générant des examens inutiles, biais liés aux caractéristiques démographiques des patients). Ce système de gestion des risques détermine ensuite les exigences concrètes en matière de qualité des données d'entraînement (article 10), de surveillance humaine (article 14) et de niveau de précision requis (article 15).
Application de l'article 8, paragraphe 3 : le dispositif relève à la fois du règlement (UE) 2017/745 sur les dispositifs médicaux (annexe I, section A de l'AI Act) et de l'AI Act. L'entreprise est responsable d'assurer la conformité complète aux deux réglementations. Elle doit notamment démontrer que le dispositif respecte les exigences générales de sécurité et de performance du règlement dispositifs médicaux ET les exigences spécifiques de l'AI Act pour les systèmes d'IA à haut risque.
Application de l'article 8, paragraphe 4 : pour simplifier sa démarche de conformité, l'entreprise choisit d'intégrer la documentation technique de l'AI Act (article 11) dans la documentation technique déjà requise pour le dispositif médical. Elle réalise également conjointement l'évaluation clinique du dispositif médical et les tests de performance de l'IA. Cette intégration permet de réduire les duplications tout en s'assurant que toutes les exigences de chaque réglementation sont bien couvertes.
Le dossier technique unique ainsi constitué comprend : les données d'entraînement et de validation du système d'IA, les résultats des études cliniques, l'analyse des risques intégrant à la fois les risques liés au dispositif médical et ceux spécifiques à l'IA, la démonstration de la surveillance humaine prévue, les procédures de mise à jour et de maintenance, et les résultats des tests de robustesse et de cybersécurité.
Articulation avec les autres dispositions de l'AI Act
L'article 8 constitue la charnière entre la définition des systèmes d'IA à haut risque (articles 6 et 7) et les exigences concrètes qui leur sont applicables (articles 9 à 15). Il pose le principe général dont découlent toutes les obligations spécifiques développées dans les articles suivants.
La référence au système de gestion des risques (paragraphe 2) crée un lien structurel avec l'article 9, faisant de la gestion des risques le socle méthodologique de l'ensemble de la démarche de conformité. Ce lien explique pourquoi l'article 9 est le premier des articles d'exigences : la gestion des risques doit précéder et guider toutes les autres mesures de conformité.
L'article 8 s'articule également avec l'article 16, qui détaille les obligations des fournisseurs de systèmes d'IA à haut risque. Alors que l'article 8 pose le principe de conformité aux exigences techniques, l'article 16 énonce les obligations organisationnelles et procédurales des fournisseurs pour démontrer et maintenir cette conformité.
Les paragraphes 3 et 4 de l'article 8 renvoient à l'annexe I, section A, qui énumère les législations d'harmonisation de l'Union concernées. Cette annexe peut être modifiée pour tenir compte des évolutions législatives au niveau européen, garantissant ainsi l'actualité de l'articulation entre l'AI Act et les autres réglementations.
Implications pratiques pour les organisations
Pour les fournisseurs de systèmes d'IA à haut risque, l'article 8 impose une approche globale de la conformité. Ils ne peuvent se contenter de satisfaire à certaines exigences isolées, mais doivent démontrer la conformité complète à l'ensemble des articles 9 à 15, en tenant compte de l'état de l'art et de la finalité prévue de leur système.
La référence à l'état de l'art impose une veille technologique constante. Les fournisseurs doivent suivre l'évolution des meilleures pratiques en matière d'IA, des normes techniques publiées par les organismes de normalisation, et des recommandations émises par les autorités compétentes et le Bureau de l'IA. Cette veille doit alimenter une révision régulière des mesures de conformité pour s'assurer qu'elles demeurent en phase avec l'état de l'art.
Pour les fournisseurs dont les systèmes d'IA sont intégrés dans des produits régulés, l'article 8 nécessite le développement d'une expertise transversale couvrant l'AI Act et la législation sectorielle applicable. Il est recommandé de constituer des équipes pluridisciplinaires associant des experts en IA, des spécialistes du domaine d'application (médical, industriel, etc.) et des juristes maîtrisant les différentes réglementations.
La faculté d'intégration documentaire offerte par l'article 8, paragraphe 4, doit être exploitée pour optimiser les processus de conformité. Cependant, cette intégration nécessite une analyse préalable minutieuse pour s'assurer qu'aucune exigence n'est omise et que les procédures intégrées couvrent bien l'ensemble des exigences de chaque réglementation.
L'article 8 de l'AI Act établit le cadre général de conformité des systèmes d'IA à haut risque en posant un principe clair : ces systèmes doivent satisfaire à l'ensemble des exigences du règlement, compte tenu de leur finalité et de l'état de l'art technologique. Cette approche garantit à la fois un niveau d'exigence élevé et une adaptabilité aux évolutions techniques.
En intégrant la gestion des risques au cœur de la démarche de conformité et en organisant l'articulation avec les autres législations européennes, l'article 8 assure la cohérence et l'efficacité du cadre réglementaire. Il évite les redondances tout en garantissant que les systèmes d'IA intégrés dans des produits régulés respectent l'ensemble des exigences applicables.
Pour les organisations, l'article 8 constitue la base méthodologique de toute démarche de conformité à l'AI Act. Sa bonne compréhension et son application rigoureuse conditionnent la capacité à développer et commercialiser des systèmes d'IA à haut risque conformes dans l'Union européenne.