Certification IA et IA Act : Organismes Notifiés
🚨 Idée Reçue à Corriger
"Tous les systèmes IA haut risque doivent passer par un organisme notifié"
FAUX. La grande majorité peut s'auto-certifier.
La certification est l'un des aspects les plus mal compris de l'AI Act. Beaucoup pensent que chaque système IA haut risque nécessite un audit coûteux par un organisme tiers. C'est inexact.
En réalité, l'AI Act prévoit deux voies d'évaluation de conformité. L'auto-certification (Annexe VI) s'applique à la grande majorité des cas. L'intervention d'un organisme notifié (Annexe VII) n'est obligatoire que pour un sous-ensemble très spécifique : les systèmes biométriques sans norme harmonisée applicable.
Ce guide clarifie les deux parcours, leurs coûts, leurs délais, et vous aide à déterminer lequel s'applique à votre situation.
Par Loïc Gros-Flandre
Directeur de Modernee - Agence IA. Expertise en processus de certification et conformité réglementaire. Accompagnement d'entreprises dans leurs démarches de marquage CE.
📋 Ce que vous allez maîtriser
- → Auto-certification vs organisme notifié : comment savoir ?
- → Les 7 étapes du processus de certification
- → Le système de gestion de la qualité (Article 17)
- → La déclaration de conformité UE et le marquage CE
- → 3 cas pratiques : RH, médical, biométrie
- → Budget réaliste : 15K€ à 200K€ selon le parcours
Infographie : Les deux voies de certification selon l'AI Act
🔍 Auto-Certification ou Organisme Notifié ?
La première question cruciale : avez-vous besoin d'un organisme notifié ? Dans 95% des cas, la réponse est non.
📋 La Règle de Base : Auto-Certification
L'Article 43 de l'AI Act établit la règle :
"Les fournisseurs de systèmes d'IA à haut risque [...] suivent la procédure d'évaluation de la conformité fondée sur le contrôle interne visée à l'annexe VI."
— AI Act, Article 43, paragraphe 1
En clair : l'auto-certification est la norme. Vous évaluez vous-même la conformité de votre système selon les procédures de l'Annexe VI.
⚠️ L'Exception : Biométrie Sans Norme Harmonisée
Un organisme notifié n'est requis que si deux conditions sont réunies :
- 1️⃣ Annexe III, point 1 — Systèmes biométriques (identification à distance, catégorisation, reconnaissance émotionnelle)
- 2️⃣ Aucune norme harmonisée applicable n'a été appliquée, ou elle n'existe pas encore
⚠️ Point Clé
Même pour la biométrie, si vous appliquez une norme harmonisée (quand elles existeront), vous pouvez revenir à l'auto-certification.
Les normes harmonisées IA sont en cours de développement par le CEN/CENELEC.
📊 Qui Est Concerné par Chaque Voie ?
| Domaine | Voie de Certification | Justification |
|---|---|---|
| RH / Recrutement | ✅ Auto-certification | Annexe III point 4, pas de biométrie |
| Crédit / Scoring | ✅ Auto-certification | Annexe III point 5, pas de biométrie |
| Diagnostic médical | ✅ Auto-certification | Annexe III point 5, pas de biométrie |
| Véhicules autonomes | ✅ Auto-certification | Annexe III point 2, couvert par réglementation sectorielle |
| Reconnaissance faciale | 🔍 Organisme notifié | Annexe III point 1 (biométrie) |
| Catégorisation biométrique | 🔍 Organisme notifié | Annexe III point 1 (biométrie) |
| Détection d'émotions | 🔍 Organisme notifié | Annexe III point 1 (biométrie) |
🔧 Les 7 Étapes du Processus de Certification
Que vous choisissiez l'auto-certification ou l'organisme notifié, le processus suit une structure similaire. La différence réside dans qui valide chaque étape.
Déterminer la Voie de Certification
Annexe III point 1 (biométrie) + pas de norme harmonisée = organisme notifié. Sinon = auto-certification. Documentez votre analyse de classification.
Durée : 1-2 semaines | Responsable : Juridique + Conformité
Constituer le Dossier Technique
Documentation complète du système : description, architecture, spécifications, données d'entraînement, tests de performance, analyse des risques, mesures de mitigation. C'est le cœur de l'évaluation.
Durée : 4-8 semaines | Responsable : Technique + Data Science
Implémenter le Système de Gestion de la Qualité
L'Article 17 exige un système qualité documenté : politiques, procédures, responsabilités, contrôles, audits internes, actions correctives. Proche d'une ISO 9001 adaptée à l'IA.
Durée : 4-6 semaines | Responsable : Qualité + Direction
Réaliser l'Évaluation de Conformité
Auto-certification : Évaluation interne selon Annexe VI. Organisme notifié : Audit externe du système qualité + examen du dossier technique selon Annexe VII.
Durée : 2-8 semaines | Responsable : Conformité (+ ON si applicable)
Rédiger la Déclaration de Conformité UE
Document obligatoire (Article 47) : identification fournisseur, description système, déclaration de respect de l'AI Act, normes appliquées, signature du responsable. Conservée 10 ans.
Durée : 1 semaine | Responsable : Juridique
Apposer le Marquage CE
Le marquage CE indique la conformité UE. Apposé sur le système, son emballage ou sa documentation. Si organisme notifié impliqué, ajouter son numéro d'identification (ex: CE 1234).
Durée : 1 semaine | Responsable : Produit
Enregistrer dans la Base de Données UE
Avant mise sur le marché, enregistrement obligatoire dans la base européenne (Article 71). Informations partiellement publiques : fournisseur, système, niveau de risque.
Durée : 1 semaine | Responsable : Conformité
🏆 Déterminez Votre Parcours de Certification
Auto-certification ou organisme notifié ? Répondez à 5 questions.
🔬 3 Cas Pratiques de Certification
Appliquons le processus de certification à des situations concrètes.
📌 Cas 1 : Outil de Tri de CV (Auto-Certification)
Contexte : TalentScore développe un logiciel de présélection de candidatures qui analyse les CV et recommande les profils les plus adaptés aux postes.
Analyse de classification :
- 📋 Annexe III ? — Oui, point 4 (emploi, recrutement)
- 🔍 Biométrie ? — Non, analyse de texte uniquement
- ✅ Voie : Auto-certification (Annexe VI)
✅ Parcours : Auto-Certification
Budget : 25 000€ - 40 000€
Délai : 3 mois
Éléments clés : Documentation des biais potentiels, tests de fairness par genre/origine, système qualité interne.
Livrables principaux :
- 📄 Dossier technique (80 pages)
- ⚙️ Manuel système qualité
- 📊 Rapports de tests fairness
- ✍️ Déclaration de conformité UE
📌 Cas 2 : Dispositif Médical IA (Auto-Certification + MDR)
Contexte : MedAI développe un logiciel d'aide au diagnostic de lésions cutanées à partir de photos. Classé dispositif médical de classe IIa.
Analyse de classification :
- 📋 AI Act Annexe III ? — Oui, point 5 (santé)
- 🔍 Biométrie ? — Non, analyse d'images médicales (pas d'identification de personnes)
- ⚕️ MDR ? — Oui, dispositif médical classe IIa = organisme notifié MDR
- ✅ Voie AI Act : Auto-certification (mais ON requis pour MDR)
⚠️ Double Réglementation
L'AI Act permet l'auto-certification, mais le MDR impose un organisme notifié pour les classes IIa et supérieures.
En pratique : l'évaluation AI Act sera intégrée à l'audit MDR existant.
Budget total : 60 000€ - 100 000€ (incluant certification MDR)
Délai : 6-9 mois
📌 Cas 3 : Contrôle d'Accès Biométrique (Organisme Notifié)
Contexte : SecureFace développe un système de reconnaissance faciale pour le contrôle d'accès aux bâtiments sensibles.
Analyse de classification :
- 📋 Annexe III ? — Oui, point 1 (identification biométrique)
- 🔍 Biométrie ? — Oui, reconnaissance faciale
- 📜 Norme harmonisée ? — Pas encore de norme applicable
- 🔍 Voie : Organisme notifié obligatoire (Annexe VII)
🔍 Parcours : Organisme Notifié
Budget : 80 000€ - 150 000€
Délai : 6-8 mois
Attention : Capacités ON limitées au départ. Anticiper 6-12 mois pour obtenir un créneau.
Processus spécifique :
- 1️⃣ Audit initial du système qualité par l'ON
- 2️⃣ Examen du dossier technique
- 3️⃣ Tests de performance potentiels
- 4️⃣ Délivrance du certificat (5 ans max)
- 5️⃣ Audits de surveillance annuels
🏛️ Les Organismes Notifiés : Qui, Quand, Combien ?
Si vous êtes dans le cas rare nécessitant un organisme notifié, voici ce que vous devez savoir.
🔍 Qu'est-ce qu'un Organisme Notifié ?
Un organisme notifié est une entité tierce, indépendante et accréditée pour évaluer la conformité des systèmes IA haut risque.
Exigences pour être organisme notifié (Article 31) :
- 🏛️ Personnalité juridique — Entité légale établie
- ⚖️ Indépendance — Pas de conflit d'intérêts avec les fournisseurs
- 🎓 Compétence — Personnel qualifié en IA et conformité
- 🔒 Confidentialité — Protection des informations sensibles
- 💰 Assurance — Couverture responsabilité civile adéquate
📅 Calendrier des Organismes Notifiés
Premiers ON accrédités (COFRAC en France) et notifiés auprès de la Commission
Obligations de transparence et formation en vigueur. ON opérationnels
Obligations haut risque Annexe III en vigueur. Forte demande attendue
Montée en capacité progressive des ON
"Les capacités des organismes notifiés seront limitées au départ. Si vous avez un système biométrique, ne tardez pas à identifier votre ON et réserver un créneau."
— Dr. Philippe Morel, Expert accréditation et certification
💰 Coûts des Organismes Notifiés
| Poste | Fourchette | Notes |
|---|---|---|
| Audit initial système qualité | 15 000€ - 30 000€ | Selon complexité organisation |
| Examen dossier technique | 20 000€ - 50 000€ | Selon complexité système IA |
| Tests complémentaires | 0€ - 30 000€ | Si requis par l'ON |
| Audit de surveillance annuel | 10 000€ - 20 000€/an | Pendant 5 ans |
| TOTAL sur 5 ans | 85 000€ - 230 000€ | Certificat valide 5 ans |
💡 Réduction pour PME
L'Article 62 prévoit que les organismes notifiés réduisent leurs frais pour les PME et startups.
Les modalités exactes seront définies par chaque ON.
💰 Simulateur Budget Certification
❓ Questions Fréquentes - Certification IA
Non. C'est l'idée reçue la plus répandue.
~95% des systèmes haut risque peuvent s'auto-certifier. Seule la biométrie sans norme harmonisée requiert un ON.
Un tiers indépendant accrédité pour évaluer la conformité.
En France, ils seront accrédités par le COFRAC.
Auto : Vous évaluez vous-même. Moins coûteux, plus de responsabilité.
ON : Audit externe. Plus coûteux, certificat officiel.
Le marquage CE indique la conformité aux exigences UE.
Apposé après l'évaluation de conformité, avant mise sur le marché.
Auto-certification : 15K€ - 50K€.
Organisme notifié : 50K€ - 200K€ (+ audits annuels).
Premiers ON attendus mi-2025.
Conseil : Anticipez 6-12 mois si vous en avez besoin.
Oui si système haut risque. Mais frais réduits et accompagnement prévu.
L'auto-certification reste accessible même pour les petites structures.
Certificat ON : 5 ans maximum.
Soumis à audits de surveillance annuels. Modification substantielle = nouvelle évaluation.
Nom fournisseur, description système, déclaration de conformité, normes appliquées, signature responsable.
À conserver 10 ans.
Mise sur le marché illégale. Sanctions : jusqu'à 15M€ ou 3% CA.
Retrait du marché possible.
🎯 Conclusion : L'Auto-Certification Est la Norme
La certification IA selon l'AI Act est moins complexe qu'on ne le croit. Pour la grande majorité des systèmes haut risque, l'auto-certification suffit. Vous n'avez pas besoin d'attendre les organismes notifiés pour avancer.
L'organisme notifié n'est obligatoire que pour la biométrie sans norme harmonisée. Même dans ce cas, les normes en cours de développement pourraient permettre de revenir à l'auto-certification.
- 1️⃣ Vérifiez votre classification — Annexe III point 1 (biométrie) ?
- 2️⃣ Préparez votre dossier technique — C'est le cœur de l'évaluation
- 3️⃣ Implémentez votre système qualité — Article 17, proche d'une ISO 9001
L'échéance d'août 2025 approche pour les obligations de formation et transparence. Août 2026 pour les systèmes haut risque.
Formation AI Act - Module Certification
Maîtrisez le processus de certification et préparez votre dossier technique.
Découvrir la formation → 500€✅ Auto-certification • ✅ Dossier technique • ✅ Marquage CE
📚 Sources Officielles Citées
- Règlement (UE) 2024/1689 - AI Act • Articles 17, 43, 47, Annexes VI et VII
- Commission européenne - Marquage CE • Documentation officielle
- COFRAC - Comité français d'accréditation • Accréditation des organismes notifiés