Le piège classique
La déclaration UE de conformité semble être une formalité administrative. C'est en réalité l'acte par lequel le fournisseur engage sa responsabilité pleine et entière sur la conformité du système d'IA à haut risque. En cas de contrôle par une autorité de surveillance du marché ou par l'EU AI Office sur un modèle a usage général, l'absence d'un des huit éléments de l'annexe V, ou pire une déclaration générique copiée-collée d'un modèle CE machine, suffit à requalifier la mise sur le marché en non-conforme. Le piège vient surtout du point 5 : oublier la mention RGPD/EUDPR/directive police-justice quand le système traite des données personnelles, ce qui ouvre un second front contentieux avec la CNPD.
Les 8 mentions a verrouiller avant signature
- Identification traçable du système d'IA : nom commercial, version, hash de modèle, numéro de série logique. Pas seulement le nom marketing.
- Identité du fournisseur (ou du mandataire UE si fournisseur hors UE, art. 22) avec adresse opposable.
- Mention de responsabilité unique du fournisseur : formulation impérative, pas une simple attestation de bonne foi.
- Conformité au règlement IA + toute autre législation UE applicable (Machinery Régulation 2023/1230, Médical Devices 2017/745, etc.).
- Clause RGPD/EUDPR/LED obligatoire dès qu'il y a traitement de données personnelles, ce qui est le cas de presque tous les systèmes biométriques, RH, scoring crédit, éducatifs.
- Normes harmonisées utilisées (ISO/IEC 42001, futures normes CEN-CENELEC JTC 21) ou spécifications communes adoptées par la Commission.
- Organisme notifié avec numéro d'identification quand une évaluation par tiers est imposée (annexe VII).
- Lieu, date, signataire identifié nominativement, fonction, et mandat de signature.
La déclaration doit être conservée dix ans à compter de la mise sur le marché (art. 47§2) et tenue à disposition des autorités nationales compétentes. Elle doit être traduite dans une langue facilement compréhensible par les autorités de l'État membre où le système est mis à disposition, ce qui pose une vraie question opérationnelle pour un fournisseur luxembourgeois qui distribue dans 27 pays.
Comment Luxgap automatise ce risque
Notre Luxgap AI Conformity Declarant transforme la rédaction de la déclaration UE de conformité en sortie automatique de votre cycle de développement IA. Au lieu de remplir un modèle Word à chaque release, l'outil branche un agent LLM spécialisé sur votre stack MLOps (MLflow, Weights & Biases, Azure ML, Vertex AI, Hugging Face Hub, GitLab) et extrait tout seul les huit éléments de l'annexe V à partir des artefacts existants : tags de modèle, registre de versions, rapports d'évaluation de conformité, certificats des organismes notifiés stockés dans SharePoint.
- Génère automatiquement le projet de déclaration UE de conformité à chaque nouvelle version majeure du système d'IA, avec identification du modèle, hash, version et lignée d'entraînement.
- Détecte si le système traite des données personnelles en analysant le schéma de features et déclenche automatiquement l'insertion de la clause RGPD/EUDPR/LED du point 5.
- Maintient une bibliothèque vivante des normes harmonisées publiées au JOUE et alerte quand une nouvelle norme CEN-CENELEC JTC 21 rend votre déclaration obsolète.
- Traduit la déclaration dans les 24 langues officielles UE via un pipeline contrôlé par juriste, avec versionnement Git de chaque traduction.
- Scelle cryptographiquement chaque déclaration signée (horodatage qualifié eIDAS via LuxTrust) et la stocke dans un coffre conforme à la durée de conservation de dix ans imposée par l'article 47§2.
- Produit un dossier d'audit prêt à présenter à l'autorité de surveillance du marché ou à l'EU AI Office, reliant la déclaration à la documentation technique de l'annexe IV.
Disponible en complément d'un mandat DPO ou CISO Luxgap ou en brique SaaS dédiée selon votre périmètre. Demandez un devis personnalisé et nos équipes préparent une démonstration sur l'un de vos systèmes d'IA réels, avec un audit blanc gratuit sous 48h pour mesurer l'écart entre votre déclaration actuelle et les huit exigences de l'annexe V.