Documentation Obligatoire IA Act : Liste Complète
⚠️ Première cause de sanctions
L'absence de documentation est le motif n°1 des sanctions RGPD. L'IA Act sera encore plus strict : sans dossier technique complet, pas de mise sur le marché.
Vous avez développé ou déployé un système IA. Félicitations. Mais avez-vous constitué le dossier documentaire obligatoire ?
L'IA Act impose une documentation technique exhaustive pour les systèmes à haut risque. Et même les systèmes à risque limité nécessitent certains documents.
Ce guide vous donne la liste complète de tous les documents requis, avec des templates et des exemples concrets.
Par Loïc Gros-Flandre
Directeur de Modernee - Agence IA et Soignant Voice Application médical. Expert en conformité IA et transformation digitale des entreprises.
📚 Ce que vous allez découvrir
- → La liste exhaustive des 8 documents obligatoires
- → Le contenu détaillé de chaque document
- → Les différences selon le niveau de risque
- → Comment structurer votre dossier technique
- → Les délais et coûts réalistes
Infographie : Structure du dossier technique IA Act
📋 Vue d'Ensemble : Quels Documents pour Quel Niveau de Risque ?
Les obligations documentaires varient selon la classification de risque de votre système IA.
Photo par Tara Winstead sur Pexels
📊 Tableau Récapitulatif par Niveau de Risque
| Document | Haut Risque | Limité | Minimal |
|---|---|---|---|
| Fiche d'identité système | ✅ Obligatoire | ✅ Obligatoire | ⚠️ Recommandé |
| Spécifications techniques | ✅ Obligatoire | ⚠️ Recommandé | ❌ Non requis |
| Rapport données entraînement | ✅ Obligatoire | ⚠️ Si applicable | ❌ Non requis |
| Protocole et résultats tests | ✅ Obligatoire | ⚠️ Recommandé | ❌ Non requis |
| Manuel supervision humaine | ✅ Obligatoire | ⚠️ Recommandé | ❌ Non requis |
| Analyse impact droits | ✅ Obligatoire | ❌ Non requis | ❌ Non requis |
| Plan gestion risques | ✅ Obligatoire | ⚠️ Recommandé | ❌ Non requis |
| Procédure incidents | ✅ Obligatoire | ⚠️ Recommandé | ❌ Non requis |
| Attestations formation | ✅ Obligatoire | ✅ Obligatoire | ✅ Obligatoire |
| Déclaration conformité UE | ✅ Obligatoire | ❌ Non requis | ❌ Non requis |
"La documentation n'est pas une formalité administrative. C'est la preuve que vous avez fait les vérifications nécessaires. Sans elle, c'est parole contre parole."
— Dr. Philippe Morin, Avocat spécialisé IA, Cabinet August Debouzy
📁 Les 8 Documents Obligatoires en Détail
Voici le contenu précis de chaque document requis pour les systèmes à haut risque.
📋 Document 1 : Fiche d'Identité du Système
Le document de base qui identifie votre système. Contenu obligatoire :
- Nom commercial et nom technique du système
- Version et historique des versions
- Nom et coordonnées du fournisseur
- Usage prévu et usages interdits
- Personnes physiques concernées par les outputs
- Niveau de risque et justification
- Date de mise sur le marché / en service
⚙️ Document 2 : Spécifications Techniques
La description technique détaillée du système. Contenu obligatoire :
- Architecture générale (schéma)
- Type(s) d'algorithme(s) utilisé(s)
- Méthodes d'entraînement (si applicable)
- Langages et frameworks
- Interfaces d'entrée/sortie
- Ressources computationnelles requises
- Dépendances externes et API
📊 Document 3 : Rapport sur les Données
Documentation complète des données utilisées. Contenu obligatoire :
- Description des datasets (entraînement, validation, test)
- Origine et provenance des données
- Traitements et transformations appliqués
- Mesures de qualité des données
- Analyse des biais potentiels
- Base légale du traitement (RGPD)
- Procédures de mise à jour des données
🧪 Document 4 : Protocole et Résultats de Tests
Preuve que le système a été testé. Contenu obligatoire :
- Métriques de performance (précision, rappel, F1...)
- Tests de biais et discrimination
- Tests de robustesse et sécurité
- Tests d'explicabilité
- Résultats chiffrés de chaque test
- Date et fréquence des tests
- Actions correctives si non-conformité
Photo par Google DeepMind sur Pexels
👁️ Document 5 : Manuel de Supervision Humaine
Comment les humains contrôlent le système. Contenu obligatoire :
- Rôle des superviseurs désignés
- Informations affichées aux superviseurs
- Seuils d'alerte et critères d'intervention
- Procédure d'override (annulation décision IA)
- Mécanisme d'arrêt d'urgence
- Formation requise pour les superviseurs
- Logs de supervision à conserver
⚖️ Document 6 : Analyse d'Impact sur les Droits Fondamentaux
Évaluation de l'impact sur les personnes. Contenu obligatoire :
- Droits potentiellement affectés (vie privée, non-discrimination...)
- Catégories de personnes concernées
- Évaluation de la gravité des impacts
- Mesures de mitigation mises en place
- Risques résiduels acceptés
- Consultation des parties prenantes (si applicable)
🔒 Document 7 : Plan de Gestion des Risques
Identification et mitigation des risques. Contenu obligatoire :
- Cartographie des risques identifiés
- Évaluation probabilité × impact
- Mesures de prévention par risque
- Plan de contingence
- Responsables désignés
- Calendrier de revue des risques
🚨 Document 8 : Procédure de Gestion des Incidents
Comment réagir en cas de problème. Contenu obligatoire :
- Définition d'un incident (critères)
- Circuit de signalement interne
- Délais de réaction par gravité
- Notification aux autorités (si requis)
- Information des personnes concernées
- Analyse post-incident et actions correctives
- Archivage des incidents
🎯 Testez Votre Documentation (Quiz 3 min)
📄 Documents Complémentaires Importants
En plus des 8 documents principaux, d'autres éléments sont nécessaires.
📜 Déclaration de Conformité UE
Pour les systèmes à haut risque uniquement. Ce document atteste que :
- ✅ Le système respecte toutes les exigences de l'IA Act
- ✅ La documentation technique est complète
- ✅ Les tests ont été réalisés avec succès
- ✅ Le système est conforme aux normes harmonisées
La déclaration doit être signée par le représentant légal du fournisseur.
🎓 Attestations de Formation
Obligatoires pour tous les niveaux de risque (Article 4). À conserver :
- 📋 Liste nominative des personnes formées
- 📜 Certificats individuels de formation
- 📅 Dates de formation et de recyclage
- 🏢 Organisme certificateur (Qualiopi)
📊 Registre des Modifications
Tracez toutes les évolutions du système :
- 🔢 Numéro de version
- 📅 Date de modification
- 📝 Description des changements
- 👤 Responsable de la modification
- 🧪 Tests réalisés après modification
⚠️ Attention aux modifications substantielles
Une modification substantielle (algorithme, données, usage) peut nécessiter une nouvelle évaluation de conformité complète. Documentez TOUT.
🛠️ Guide Pratique : Constituer Votre Dossier
Voici comment procéder concrètement pour constituer votre documentation.
Photo par Sanket Mishra sur Pexels
📅 Planning Type de Rédaction
Collecte d'informations. Rassemblez toutes les données techniques, les specs, les résultats de tests existants.
Rédaction documents 1-4. Fiche d'identité, specs techniques, rapport données, protocole tests.
Rédaction documents 5-8. Manuel supervision, impact droits, plan risques, procédure incidents.
Revue et validation. Relecture croisée, validation juridique, corrections.
Compilation finale. Assemblage du dossier, déclaration de conformité, archivage.
💰 Coûts par Type de Document
| Document | Interne | Externe | Temps |
|---|---|---|---|
| Fiche d'identité | 500€ | 1 000€ | 1-2 jours |
| Specs techniques | 1 500€ | 3 000€ | 3-5 jours |
| Rapport données | 2 000€ | 4 000€ | 5-7 jours |
| Protocole tests | 2 500€ | 5 000€ | 5-10 jours |
| Manuel supervision | 1 000€ | 2 000€ | 2-3 jours |
| Impact droits | 2 000€ | 4 000€ | 3-5 jours |
| Plan risques | 1 500€ | 3 000€ | 2-4 jours |
| Procédure incidents | 1 000€ | 2 000€ | 1-2 jours |
| TOTAL | 12 000€ | 24 000€ | 22-38 jours |
💡 Conseil : Commencez par la formation
Une équipe formée rédige plus vite et mieux. La formation IA Act inclut des templates et exemples de documentation qui accélèrent considérablement le travail.
💰 Simulateur Coût Documentation
❓ Questions Fréquentes sur la Documentation IA Act
Pour les systèmes à haut risque, vous devez constituer : une documentation technique complète (architecture, algorithmes, données), une analyse d'impact sur les droits fondamentaux, un manuel de supervision humaine, des rapports de tests (biais, robustesse, précision), un registre des modifications, et la déclaration de conformité UE.
Pour un système à haut risque, comptez 6 à 8 semaines de travail effectif. Pour un système à risque limité, 2 à 3 semaines suffisent généralement. Le délai dépend de la complexité du système et de la disponibilité des informations techniques.
Le fournisseur est responsable de la documentation technique initiale. Le déployeur doit la compléter avec ses propres documents : registre d'utilisation, logs, attestations de formation, procédures de supervision. Une collaboration étroite entre les deux est essentielle.
L'absence de documentation technique expose à des sanctions de 15 millions d'euros ou 3% du CA mondial. La documentation incomplète ou obsolète peut également justifier une mise en demeure et, en cas de récidive, des sanctions aggravées jusqu'à 35 millions d'euros.
Les coûts varient selon le niveau de risque : 1 000-3 000€ pour un système à risque minimal, 3 000-8 000€ pour un risque limité, et 8 000-25 000€ pour un système à haut risque. Ces montants incluent la rédaction, les tests et la mise en forme.
Oui, obligatoirement. La documentation doit être mise à jour à chaque modification significative du système, après chaque campagne de tests, et au minimum une fois par an même sans changement. Un registre des versions doit tracer toutes les modifications.
Oui, et c'est recommandé pour garantir la conformité et gagner du temps. La Commission européenne publiera des templates officiels. En attendant, des structures standards existent et sont acceptées. L'essentiel est de couvrir tous les points requis par l'IA Act.
La documentation technique peut être en anglais. Cependant, les notices d'utilisation et les informations destinées aux utilisateurs finaux doivent être dans la langue officielle du pays de déploiement. En France, le français est donc obligatoire pour ces éléments.
La documentation doit être conservée pendant 10 ans après la mise sur le marché du système ou sa mise en service, selon la date la plus tardive. Pour les systèmes à haut risque utilisés dans des secteurs réglementés (santé, finance), des durées plus longues peuvent s'appliquer.
Les obligations fondamentales sont identiques, mais les PME bénéficient d'un accompagnement renforcé et peuvent utiliser des formats simplifiés pour certains documents. Les bacs à sable réglementaires offrent également un cadre de test pour valider sa documentation avant le déploiement commercial.
"Une documentation bien faite aujourd'hui, c'est un contrôle réussi demain. Investissez le temps nécessaire, ça vous évitera des nuits blanches."
— Claire Dupont, Responsable Conformité, Groupe Renault
🎯 Conclusion : Votre Plan d'Action Documentation
La documentation n'est pas une option — c'est la colonne vertébrale de votre conformité.
✅ Vos 3 Actions Immédiates
- Cette semaine : Listez tous vos systèmes IA et leur niveau de risque
- Ce mois : Commencez par les fiches d'identité (document le plus simple)
- Ce trimestre : Constituez les dossiers complets pour vos systèmes haut risque
N'oubliez pas : la formation de vos équipes accélère considérablement la rédaction. Des personnes formées savent exactement quoi documenter et comment.
Formez-vous à la documentation IA Act
La formation inclut des templates et exemples de documentation. Finançable OPCO.
Accéder aux templates → 500€Sources Officielles Citées
- Règlement (UE) 2024/1689 - Article 11 (Documentation technique) • Journal officiel UE
- CNIL - Dossier Intelligence Artificielle • Autorité française
- Commission européenne - Cadre réglementaire IA • Documentation officielle
- AI Act Explorer - Annexe IV (Documentation technique) • Analyse communautaire