Je dois mettre mon organisation luxembourgeoise en conformité à l'article 16 du AI Act (UE 2024/1689). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueL'article 16 transforme tout fournisseur d'IA a haut risque en quasi-fabricant industriel : 12 obligations cumulatives, dont 8 produisent de la preuve documentaire opposable (SGQ, documentation technique, journaux, déclaration UE, marquage CE, enregistrement EUDB, mesures correctives, accessibilite). Le piège absolu : la plupart des editeurs SaaS B2B decouvrent qu'ils sont fournisseurs au sens de l'article 3(3) parce qu'ils ont 'place sur le marché sous leur nom' un système classe haut risque a l'annexe III (scoring RH, scoring crédit, biometrie, éducation). L'EU AI Office et les autorités nationales de surveillance pourront exiger, sur demande motivee (point k), la preuve de conformité sous un délai contraint, et l'absence d'un seul des 12 elements exposé a une amende jusqu'à 15 millions d'euros ou 3% du chiffre d'affaires mondial (article 99(4)).La checklist des 12 obligations cumulatives a tracer(a) Conformité aux exigences section 2 (articles 8 a 15 : gestion des risques, données, documentation, journaux, transparence, supervision humaine, robustesse).(b) Identification du fournisseur sur le système, l'emballage ou la documentation (nom, raison sociale, adresse de contact).(c) Système de gestion de la qualité article 17 (politique de conformité, procédures de conception, contrôles, tests, gestion des incidents).(d) Conservation de la documentation technique article 18 pendant 10 ans après mise sur le marché.(e) Tenue des journaux automatiques article 19 pendant au moins 6 mois.(f) Procédure d'évaluation de la conformité article 43 avant mise sur le marché (auto-evaluation ou organisme notifié selon l'annexe).(g) Déclaration UE de conformité article 47 signee et conservee 10 ans.(h) Marquage CE article 48.(i) Enregistrement dans la base de données EUDB article 49(1) avant mise sur le marché.(j) Mesures correctives et information des distributeurs / deployeurs / autorités article 20.(k) Preuve de conformité a toute demande motivee d'une autorité competente.(l) Accessibilite conforme aux directives (UE) 2016/2102 et 2019/882 (European Accessibility Act).Le piège secondaire : l'article 25 requalifie en fournisseur tout deployeur qui (i) appose son nom sur un système haut risque, (ii) modifie substantiellement sa finalité, ou (iii) modifie un système classe non haut risque pour le rendre haut risque. Beaucoup d'integrateurs luxembourgeois deviennent ainsi fournisseurs sans le savoir.Comment Luxgap automatise ce risqueNotre Luxgap AI Provider Dossier est un coffre-fort de conformité vivant qui materialise, pour chaque système IA a haut risque que vous editez ou que vous reetiquetez, l'intégralité des 12 obligations de l'article 16 sous forme de preuves opposables horodatees. L'outil se branche sur votre GitHub/GitLab/Azure DevOps, votre registre MLflow ou Weights and Biases, votre Jira, votre Confluence et votre Microsoft Purview pour extraire automatiquement la documentation technique, les journaux d'entrainement, les rapports...

Cadre européenRGPD NIS 2 DORAAI ActLanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Article 16

Obligations incombant aux fournisseurs de systèmes d’IA à haut risque

Règlement établissant des règles harmonisées sur l'intelligence artificielle · UE 2024/1689

Obligations incombant aux fournisseurs de systèmes d’IA à haut risque

Les fournisseurs de systèmes d’IA à haut risque:

a)	veillent à ce que leurs systèmes d’IA à haut risque soient conformes aux exigences énoncées à la section 2;

b)	indiquent sur le système d’IA à haut risque ou, lorsque cela n’est pas possible, sur son emballage ou dans la documentation l’accompagnant, selon le cas, leur nom, raison sociale ou marque déposée, l’adresse à laquelle ils peuvent être contactés;

c)	mettent en place un système de gestion de la qualité conforme à l’article 17;

d)	assurent la conservation de la documentation visée à l’article 18;

e)	assurent la tenue des journaux générés automatiquement par leurs systèmes d’IA à haut risque, lorsque ces journaux se trouvent sous leur contrôle, conformément à l’article 19;

f)	veillent à ce que le système d’IA à haut risque soit soumis à la procédure d’évaluation de la conformité applicable visée à l’article 43, avant sa mise sur le marché ou sa mise en service;

g)	élaborent une déclaration UE de conformité conformément à l’article 47;

h)	apposent le marquage CE sur le système d’IA à haut risque ou, lorsque cela n’est pas possible, sur son emballage ou dans la documentation l’accompagnant, selon le cas, afin d’indiquer la conformité avec le présent règlement, conformément à l’article 48;

i)	respectent les obligations en matière d’enregistrement prévues à l’article 49, paragraphe 1;

j)	prennent les mesures correctives nécessaires et fournissent les informations requises à l’article 20;

k)	à la demande motivée d’une autorité nationale compétente, prouvent la conformité du système d’IA à haut risque avec les exigences énoncées à la section 2;

l)	veillent à ce que le système d’IA à haut risque soit conforme aux exigences en matière d’accessibilité conformément aux directives (UE) 2016/2102 et (UE) 2019/882.

Spécificité Luxembourg

position publique du gouvernement luxembourgeois sur la designation des autorites IA (en cours, 2024-2025)

Au Luxembourg, l'autorité nationale de surveillance du marche IA n'est pas encore formellement désignée a date. La discussion publique pointe vers une autorité a plusieurs têtes : ILR pour la dimension surveillance generale du marche, CNPD pour le volet protection des données personnelles dans les systèmes IA (article 26 RGPD et article 10 AI Act sur les données d'entrainement), et potentiellement CSSF pour les systèmes IA haut risque deployes en banque et assurance (scoring credit annexe III). Pour les fournisseurs établis a Kahler, Esch-Belval ou City : preparez votre dossier article 16 en double lecture, RGPD et AI Act, car la CNPD est deja opérationnelle et contrôle des aujourd'hui les volets données, tandis que l'autorité IA sera competente sur les 11 autres obligations.

Pratique Luxgap : nous maintenons une cartographie a jour des positions publiques du gouvernement luxembourgeois sur la désignation des autorités IA et adaptons votre AI Provider Dossier des qu'une autorité sectorielle (CSSF, CAA, ILNAS) publie une recommandation spécifique.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

L'article 16 transforme tout fournisseur d'IA a haut risque en quasi-fabricant industriel : 12 obligations cumulatives, dont 8 produisent de la preuve documentaire opposable (SGQ, documentation technique, journaux, déclaration UE, marquage CE, enregistrement EUDB, mesures correctives, accessibilite). Le piège absolu : la plupart des editeurs SaaS B2B decouvrent qu'ils sont fournisseurs au sens de l'article 3(3) parce qu'ils ont 'place sur le marché sous leur nom' un système classe haut risque a l'annexe III (scoring RH, scoring crédit, biometrie, éducation). L'EU AI Office et les autorités nationales de surveillance pourront exiger, sur demande motivee (point k), la preuve de conformité sous un délai contraint, et l'absence d'un seul des 12 elements exposé a une amende jusqu'à 15 millions d'euros ou 3% du chiffre d'affaires mondial (article 99(4)).

La checklist des 12 obligations cumulatives a tracer

(a) Conformité aux exigences section 2 (articles 8 a 15 : gestion des risques, données, documentation, journaux, transparence, supervision humaine, robustesse).
(b) Identification du fournisseur sur le système, l'emballage ou la documentation (nom, raison sociale, adresse de contact).
(c) Système de gestion de la qualité article 17 (politique de conformité, procédures de conception, contrôles, tests, gestion des incidents).
(d) Conservation de la documentation technique article 18 pendant 10 ans après mise sur le marché.
(e) Tenue des journaux automatiques article 19 pendant au moins 6 mois.
(f) Procédure d'évaluation de la conformité article 43 avant mise sur le marché (auto-evaluation ou organisme notifié selon l'annexe).
(g) Déclaration UE de conformité article 47 signee et conservee 10 ans.
(h) Marquage CE article 48.
(i) Enregistrement dans la base de données EUDB article 49(1) avant mise sur le marché.
(j) Mesures correctives et information des distributeurs / deployeurs / autorités article 20.
(k) Preuve de conformité a toute demande motivee d'une autorité competente.
(l) Accessibilite conforme aux directives (UE) 2016/2102 et 2019/882 (European Accessibility Act).

Le piège secondaire : l'article 25 requalifie en fournisseur tout deployeur qui (i) appose son nom sur un système haut risque, (ii) modifie substantiellement sa finalité, ou (iii) modifie un système classe non haut risque pour le rendre haut risque. Beaucoup d'integrateurs luxembourgeois deviennent ainsi fournisseurs sans le savoir.

Comment Luxgap automatise ce risque

Notre Luxgap AI Provider Dossier est un coffre-fort de conformité vivant qui materialise, pour chaque système IA a haut risque que vous editez ou que vous reetiquetez, l'intégralité des 12 obligations de l'article 16 sous forme de preuves opposables horodatees. L'outil se branche sur votre GitHub/GitLab/Azure DevOps, votre registre MLflow ou Weights and Biases, votre Jira, votre Confluence et votre Microsoft Purview pour extraire automatiquement la documentation technique, les journaux d'entrainement, les rapports d'évaluation et les versions du modèle, sans demander a l'équipe MLOps de remplir un seul formulaire.

Detecte automatiquement chaque système IA developpe ou re-etiquete en interne susceptible de relever de l'annexe III, en scannant les repositories Git et les manifests de deploiement Kubernetes / Azure ML / AWS SageMaker.
Genere la déclaration UE de conformité article 47 preremplie à partir de la fiche technique du modèle, du rapport d'évaluation et du certificat d'organisme notifié le cas echeant.
Maintient en continu la documentation technique annexe IV (architecture, données d'entrainement, mesures de cybersécurité, journaux de tests) versionnee et signee cryptographiquement.
Pre-remplit le formulaire d'enregistrement EUDB article 49(1) et alerte si la mise en production approche sans enregistrement effectif.
Produit le dossier complet de réponse a une demande motivee (point k) en moins de 4 heures : PDF horodate, signe, opposable a l'autorité competente et a l'EU AI Office.
Surveille les directives accessibilite (UE) 2016/2102 et 2019/882 via tests automatises WCAG 2.1 AA sur les interfaces du système IA.

Disponible en complement d'un mandat DPO ou CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre pipeline ML reel, avec un audit blanc gratuit sous 48h qui inventorie vos systèmes IA exposes a l'annexe III avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Obligations incombant aux fournisseurs de systèmes d’IA à haut risque

Ils nous font confiance

Avant de discuter