Beta

Source: OJ L, 2024/1689, 12.7.2024

Current language: FR

Annexe VII Conformité fondée sur une évaluation du système de gestion de la qualité et une évaluation de la documentation technique

  1. 1. Introduction

    1. La conformité fondée sur une évaluation du système de gestion de la qualité et une évaluation de la documentation technique est la procédure d'évaluation de la conformité décrite aux points 2 à 5.

  2. 2. Vue d'ensemble

    1. Le système de gestion de la qualité approuvé pour la conception, le développement et les essais des systèmes d'IA conformément à l'article 17 est examiné conformément au point 3 et soumis à la surveillance spécifiée au point 5. La documentation technique du système d'IA est examinée conformément au point 4.

  3. 3. Système de gestion de la qualité

    1. La demande du fournisseur, une personne physique ou morale, une autorité publique, une agence ou tout autre organisme qui développe ou fait développer un système d’IA ou un modèle d’IA à usage général et le met sur le marché ou met le système d’IA en service sous son propre nom ou sa propre marque, à titre onéreux ou gratuit; comprend:

      1. le nom et l'adresse du fournisseur, une personne physique ou morale, une autorité publique, une agence ou tout autre organisme qui développe ou fait développer un système d’IA ou un modèle d’IA à usage général et le met sur le marché ou met le système d’IA en service sous son propre nom ou sa propre marque, à titre onéreux ou gratuit;, ainsi que le nom et l'adresse d'un mandataire, une personne physique ou morale située ou établie dans l’Union ayant reçu et accepté un mandat écrit d’un fournisseur de système d’IA ou de modèle d’IA à usage général pour s’acquitter en son nom des obligations et des procédures établies par le présent règlement; si la demande est introduite par celui-ci;

      2. la liste des systèmes d'IA couverts par le même système de gestion de la qualité;

      3. la documentation technique de chaque système d'IA couvert par le même système de gestion de la qualité;

      4. la documentation relative au système de gestion de la qualité qui couvre tous les aspects énumérés à l'article 17;

      5. une description des procédures en place pour garantir que le système de gestion de la qualité reste adéquat et efficace;

      6. une déclaration écrite certifiant que la même demande n'a pas été introduite auprès d'un autre organisme notifié, un organisme d’évaluation de la conformité notifié en application du présent règlement et d’autres actes législatifs d’harmonisation de l’Union pertinents;.

    2. Le système de gestion de la qualité est évalué par l'organisme notifié, qui détermine s'il satisfait aux exigences visées à l'article 17.

      La décision est notifiée au fournisseur, une personne physique ou morale, une autorité publique, une agence ou tout autre organisme qui développe ou fait développer un système d’IA ou un modèle d’IA à usage général et le met sur le marché ou met le système d’IA en service sous son propre nom ou sa propre marque, à titre onéreux ou gratuit; ou à son mandataire, une personne physique ou morale située ou établie dans l’Union ayant reçu et accepté un mandat écrit d’un fournisseur de système d’IA ou de modèle d’IA à usage général pour s’acquitter en son nom des obligations et des procédures établies par le présent règlement;.

      La notification contient les conclusions de l'évaluation du système de gestion de la qualité et la décision d'évaluation motivée.

    3. Le système de gestion de la qualité tel qu'approuvé continue d'être mis en œuvre et adapté par le fournisseur, une personne physique ou morale, une autorité publique, une agence ou tout autre organisme qui développe ou fait développer un système d’IA ou un modèle d’IA à usage général et le met sur le marché ou met le système d’IA en service sous son propre nom ou sa propre marque, à titre onéreux ou gratuit; afin de rester adéquat et efficace.

    4. Toute modification envisagée du système de gestion de la qualité approuvé ou de la liste des systèmes d'IA couverts par ce dernier est portée à l'attention de l'organisme notifié par le fournisseur, une personne physique ou morale, une autorité publique, une agence ou tout autre organisme qui développe ou fait développer un système d’IA ou un modèle d’IA à usage général et le met sur le marché ou met le système d’IA en service sous son propre nom ou sa propre marque, à titre onéreux ou gratuit;.

      Les modifications proposées sont examinées par l'organisme notifié, qui décide si le système de gestion de la qualité modifié continue de satisfaire aux exigences visées au point 3.2, ou si une réévaluation est nécessaire.

      L'organisme notifié notifie sa décision au fournisseur, une personne physique ou morale, une autorité publique, une agence ou tout autre organisme qui développe ou fait développer un système d’IA ou un modèle d’IA à usage général et le met sur le marché ou met le système d’IA en service sous son propre nom ou sa propre marque, à titre onéreux ou gratuit;. La notification contient les conclusions de l'examen des modifications et la décision d'évaluation motivée.

  4. 4. Contrôle de la documentation technique

    1. Outre la demande visée au point 3, une demande est déposée par le fournisseur, une personne physique ou morale, une autorité publique, une agence ou tout autre organisme qui développe ou fait développer un système d’IA ou un modèle d’IA à usage général et le met sur le marché ou met le système d’IA en service sous son propre nom ou sa propre marque, à titre onéreux ou gratuit; auprès d'un organisme notifié, un organisme d’évaluation de la conformité notifié en application du présent règlement et d’autres actes législatifs d’harmonisation de l’Union pertinents; de son choix pour l'évaluation de la documentation technique relative au système d'IA que le fournisseur, une personne physique ou morale, une autorité publique, une agence ou tout autre organisme qui développe ou fait développer un système d’IA ou un modèle d’IA à usage général et le met sur le marché ou met le système d’IA en service sous son propre nom ou sa propre marque, à titre onéreux ou gratuit; prévoit de mettre sur le marché ou de mettre en service et qui est couvert par le système de gestion de la qualité visé au point 3.

    2. La demande comprend:

      1. le nom et l'adresse du fournisseur, une personne physique ou morale, une autorité publique, une agence ou tout autre organisme qui développe ou fait développer un système d’IA ou un modèle d’IA à usage général et le met sur le marché ou met le système d’IA en service sous son propre nom ou sa propre marque, à titre onéreux ou gratuit;;

      2. une déclaration écrite certifiant que la même demande n'a pas été introduite auprès d'un autre organisme notifié, un organisme d’évaluation de la conformité notifié en application du présent règlement et d’autres actes législatifs d’harmonisation de l’Union pertinents;;

      3. la documentation technique visée à l'annexe IV.

    3. La documentation technique est examinée par l'organisme notifié. Lorsque cela est pertinent et dans les limites de ce qui est nécessaire à l'accomplissement de ses tâches, l'organisme notifié se voit accorder un accès complet aux jeux de données d'entraînement, de validation et d'essai utilisés, y compris, lorsque cela est approprié et sous réserve de garanties de sécurité, par l'intermédiaire d'API ou d'autres moyens et outils techniques pertinents permettant un accès à distance.

    4. Lors de l'examen de la documentation technique, l'organisme notifié peut exiger que le fournisseur, une personne physique ou morale, une autorité publique, une agence ou tout autre organisme qui développe ou fait développer un système d’IA ou un modèle d’IA à usage général et le met sur le marché ou met le système d’IA en service sous son propre nom ou sa propre marque, à titre onéreux ou gratuit; apporte des preuves supplémentaires ou effectue des essais supplémentaires afin de permettre une évaluation correcte de la conformité du système d'IA avec les exigences énoncées au chapitre III, section 2. Lorsque l'organisme notifié n'est pas satisfait des essais effectués par le fournisseur, une personne physique ou morale, une autorité publique, une agence ou tout autre organisme qui développe ou fait développer un système d’IA ou un modèle d’IA à usage général et le met sur le marché ou met le système d’IA en service sous son propre nom ou sa propre marque, à titre onéreux ou gratuit;, l'organisme notifié effectue directement des essais adéquats, le cas échéant.

    5. Lorsque cela est nécessaire pour évaluer la conformité du système d'IA à haut risque, la combinaison de la probabilité d’un préjudice et de la sévérité de celui-ci; avec les exigences énoncées au chapitre III, section 2, après que tous les autres moyens raisonnables de vérifier la conformité ont été épuisés et se sont révélés insuffisants, et sur demande motivée, l'accès aux modèles d'entraînement et aux modèles entraînés du système d'IA, y compris à ses paramètres pertinents, est aussi accordé à l'organisme notifié. Cet accès est soumis au droit de l'Union existant en matière de protection de la propriété intellectuelle et des secrets d'affaires.

    6. La décision de l'organisme notifié est notifiée au fournisseur, une personne physique ou morale, une autorité publique, une agence ou tout autre organisme qui développe ou fait développer un système d’IA ou un modèle d’IA à usage général et le met sur le marché ou met le système d’IA en service sous son propre nom ou sa propre marque, à titre onéreux ou gratuit; ou à son mandataire, une personne physique ou morale située ou établie dans l’Union ayant reçu et accepté un mandat écrit d’un fournisseur de système d’IA ou de modèle d’IA à usage général pour s’acquitter en son nom des obligations et des procédures établies par le présent règlement;. La notification contient les conclusions de l'évaluation de la documentation technique et la décision d'évaluation motivée.

      Lorsque le système d'IA est conforme aux exigences énoncées au chapitre III, section 2, l'organisme notifié délivre un certificat d'évaluation UE de la documentation technique. Le certificat indique le nom et l'adresse du fournisseur, une personne physique ou morale, une autorité publique, une agence ou tout autre organisme qui développe ou fait développer un système d’IA ou un modèle d’IA à usage général et le met sur le marché ou met le système d’IA en service sous son propre nom ou sa propre marque, à titre onéreux ou gratuit;, les conclusions de l'examen, les conditions (éventuelles) de sa validité et les données nécessaires à l'identification du système d'IA.

      Le certificat et ses annexes contiennent toutes les informations pertinentes pour permettre l'évaluation de la conformité du système d'IA et le contrôle du système d'IA pendant son utilisation, le cas échéant.

      Lorsque le système d'IA n'est pas conforme aux exigences énoncées au chapitre III, section 2, l'organisme notifié refuse de délivrer un certificat d'évaluation UE de la documentation technique et en informe le demandeur, en lui précisant les raisons de son refus.

      Lorsque le système d'IA ne satisfait pas à l'exigence relative aux données utilisées pour l'entraîner, il devra être entraîné à nouveau avant l'introduction d'une nouvelle demande d'évaluation de la conformité. Dans ce cas, la décision d'évaluation motivée de l'organisme notifié refusant de délivrer le certificat d'évaluation UE de la documentation technique contient des considérations spécifiques sur la qualité des données utilisées pour entraîner le système d'IA, en particulier sur les raisons de la non-conformité.

    7. Les éventuelles modifications du système d'IA susceptibles d'avoir une incidence sur la conformité du système d'IA avec les exigences ou sur sa destination, l’utilisation à laquelle un système d’IA est destiné par le fournisseur, y compris le contexte et les conditions spécifiques d’utilisation, tels qu’ils sont précisés dans les informations communiquées par le fournisseur dans la notice d’utilisation, les indications publicitaires ou de vente et les déclarations, ainsi que dans la documentation technique; sont évaluées par l'organisme notifié qui a délivré le certificat d'évaluation UE de la documentation technique. Le fournisseur, une personne physique ou morale, une autorité publique, une agence ou tout autre organisme qui développe ou fait développer un système d’IA ou un modèle d’IA à usage général et le met sur le marché ou met le système d’IA en service sous son propre nom ou sa propre marque, à titre onéreux ou gratuit; informe cet organisme notifié, un organisme d’évaluation de la conformité notifié en application du présent règlement et d’autres actes législatifs d’harmonisation de l’Union pertinents; de son intention d'introduire une telle modification ou s'il prend autrement connaissance de l'existence de telles modifications. Les modifications envisagées sont évaluées par l'organisme notifié, qui décide si elles nécessitent une nouvelle évaluation de la conformité, la procédure permettant de démontrer que les exigences relatives à un système d’IA à haut risque énoncées au chapitre III, section 2, ont été respectées; conformément à l'article 43, paragraphe 4, ou si elles peuvent faire l'objet d'un document complémentaire au certificat d'évaluation UE de la documentation technique. Dans ce dernier cas, l'organisme notifié évalue les modifications, informe le fournisseur, une personne physique ou morale, une autorité publique, une agence ou tout autre organisme qui développe ou fait développer un système d’IA ou un modèle d’IA à usage général et le met sur le marché ou met le système d’IA en service sous son propre nom ou sa propre marque, à titre onéreux ou gratuit; de sa décision et, lorsque les modifications sont approuvées, lui fournit un document complémentaire au certificat d'évaluation UE de la documentation technique.

  5. 5. Surveillance du système de gestion de la qualité approuvé

    1. Le but de la surveillance effectuée par l'organisme notifié visé au point 3 est de s'assurer que le fournisseur, une personne physique ou morale, une autorité publique, une agence ou tout autre organisme qui développe ou fait développer un système d’IA ou un modèle d’IA à usage général et le met sur le marché ou met le système d’IA en service sous son propre nom ou sa propre marque, à titre onéreux ou gratuit; se conforme dûment aux conditions du système de gestion de la qualité approuvé.

    2. À des fins d'évaluation, le fournisseur, une personne physique ou morale, une autorité publique, une agence ou tout autre organisme qui développe ou fait développer un système d’IA ou un modèle d’IA à usage général et le met sur le marché ou met le système d’IA en service sous son propre nom ou sa propre marque, à titre onéreux ou gratuit; autorise l'organisme notifié à accéder aux locaux où les systèmes d'IA sont conçus, développés ou mis à l'essai. Le fournisseur, une personne physique ou morale, une autorité publique, une agence ou tout autre organisme qui développe ou fait développer un système d’IA ou un modèle d’IA à usage général et le met sur le marché ou met le système d’IA en service sous son propre nom ou sa propre marque, à titre onéreux ou gratuit; partage en outre avec l'organisme notifié toutes les informations nécessaires.

    3. L'organisme notifié effectue périodiquement des audits pour s'assurer que le fournisseur, une personne physique ou morale, une autorité publique, une agence ou tout autre organisme qui développe ou fait développer un système d’IA ou un modèle d’IA à usage général et le met sur le marché ou met le système d’IA en service sous son propre nom ou sa propre marque, à titre onéreux ou gratuit; maintient et applique le système de gestion de la qualité; il transmet un rapport d'audit au fournisseur, une personne physique ou morale, une autorité publique, une agence ou tout autre organisme qui développe ou fait développer un système d’IA ou un modèle d’IA à usage général et le met sur le marché ou met le système d’IA en service sous son propre nom ou sa propre marque, à titre onéreux ou gratuit;. Dans le cadre de ces audits, l'organisme notifié peut effectuer des essais supplémentaires des systèmes d'IA pour lesquels un certificat d'évaluation UE de la documentation technique a été délivré.

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod