Modèle de documentation technique Annexe IV

L'Article 11 du règlement IA UE impose aux fournisseurs de systèmes d'IA à haut risque d'établir une documentation technique avant la mise sur le marché ou la mise en service du système. La documentation doit être tenue à jour et mise à disposition des autorités compétentes sur demande.

L'Annexe IV précise exactement ce qui doit être inclus. Ci-dessous le modèle complet avec les 9 sections requises et des conseils sur le contenu de chacune.

Section 1 : Description générale du système d'IA

Cette section établit l'identité et la portée du système. Incluez :

• Finalité prévue — Ce que fait le système, à qui il s'adresse et le contexte d'utilisation spécifique
• Identification du fournisseur — Nom, adresse et coordonnées de contact
• Version du système — Version actuelle et relation avec les versions précédentes
• Interactions matériel et logiciel — Comment le système interagit avec d'autres matériels, logiciels ou systèmes d'IA qui ne font pas partie du système lui-même
• Versions logicielles et firmware — Tous les numéros de version pertinents et exigences de mise à jour
• Formes de distribution — Comment le système est livré (package logiciel, intégré au matériel, API, téléchargement, etc.)
• Exigences matérielles — Le matériel sur lequel le système est destiné à fonctionner
• Interface utilisateur — Description de base de l'interface fournie au déployeur
• Instructions d'utilisation — Référence aux instructions d'utilisation fournies aux déployeurs

Section 2 : Description détaillée des éléments du système et du processus de développement

La section la plus substantielle. Documentez :

• Méthodes de développement — Étapes effectuées, y compris l'utilisation de systèmes pré-entraînés ou d'outils tiers et la manière dont ils ont été intégrés ou modifiés
• Spécifications de conception — Logique générale, choix de conception clés avec justification, hypothèses retenues, choix de classification, objectifs d'optimisation et qualité de sortie attendue
• Architecture du système — Comment les composants logiciels s'appuient les uns sur les autres, intégration dans le traitement global et ressources de calcul utilisées
• Exigences relatives aux données — Méthodologies d'entraînement, descriptions des jeux de données, provenance, portée, caractéristiques, méthodes d'acquisition, procédures d'étiquetage et méthodes de nettoyage des données
• Évaluation de la surveillance humaine — Mesures requises au titre de l'Article 14 et mesures techniques pour l'interprétation de la sortie
• Modifications prédéterminées — Le cas échéant, décrivez les modifications prévues du système et comment la conformité continue sera maintenue
• Validation et tests — Procédures utilisées, données et principales caractéristiques, métriques, évaluation de l'impact discriminatoire et rapports de test signés
• Mesures de cybersécurité — Protections techniques mises en place

Section 3 : Surveillance, fonctionnement et contrôle

Détaillez les caractéristiques opérationnelles du système :

• Capacités et limites de performance
• Degrés d'exactitude pour les personnes ou groupes spécifiques auxquels le système est destiné, et exactitude globale attendue
• Résultats indésirables prévisibles et sources de risque pour la santé, la sécurité, les droits fondamentaux et la discrimination
• Mesures de surveillance humaine au titre de l'Article 14
• Mesures techniques permettant aux déployeurs d'interpréter la sortie
• Spécifications des données d'entrée le cas échéant

Section 4 : Pertinence des métriques de performance

Décrivez pourquoi les métriques de performance choisies sont appropriées pour le système d'IA spécifique. Cela doit expliquer la justification du choix de certaines métriques plutôt que d'alternatives et comment elles reflètent de manière significative la performance du système dans son contexte prévu.

Section 5 : Système de gestion des risques

Fournissez une description détaillée du système de gestion des risques établi conformément à l'Article 9. Il s'agit d'un processus continu et itératif qui s'étend sur tout le cycle de vie et doit comprendre :

• Identification et analyse des risques connus et raisonnablement prévisibles
• Estimation et évaluation des risques liés à l'utilisation prévue et à la mauvaise utilisation raisonnablement prévisible
• Évaluation des risques à partir de l'analyse des données collectées par la surveillance post-commercialisation
• Adoption de mesures appropriées de gestion des risques

Section 6 : Modifications au cours du cycle de vie

Documentez toutes les modifications pertinentes apportées au système par le fournisseur tout au long de son cycle de vie. Cela crée un historique des modifications que les auditeurs et les autorités peuvent examiner.

Section 7 : Normes et spécifications techniques

Énumérez toutes les normes harmonisées appliquées, intégralement ou partiellement, avec références à leur publication au Journal officiel de l'UE. Lorsqu'aucune norme harmonisée n'a été appliquée :

• Fournissez une description détaillée des solutions adoptées pour respecter les exigences du Chapitre III, Section 2
• Énumérez toutes les autres normes et spécifications techniques pertinentes appliquées

Section 8 : Déclaration UE de conformité

Incluez une copie de la déclaration UE de conformité établie conformément à l'Article 47. Elle doit être tenue à jour et mise à disposition des autorités compétentes pendant 10 ans après la mise sur le marché du système.

Section 9 : Évaluation des performances post-commercialisation

Décrivez le système mis en place pour évaluer les performances du système d'IA en phase post-commercialisation, comme l'exige l'Article 72. Cela doit inclure :

• Un plan de surveillance post-commercialisation proportionné à la nature du système d'IA et aux risques qu'il présente
• Procédures de collecte, d'analyse et d'action sur les données relatives aux performances du système après déploiement