Le piège classique
L'article 34 visé les organismes notifies, mais le piège se referme sur les fournisseurs de systèmes d'IA a haut risque qui se croient protégés parce qu'ils ont obtenu un certificat. En réalité, l'organisme notifie doit pouvoir transmettre toute votre documentation a l'autorité notifiante (article 28) sur simple demande, y compris vos preuves techniques internes. Si votre dossier est incomplet, dispersé ou non reproductible le jour ou l'autorité enclenche une surveillance, la non-conformite vous est imputee, pas a l'organisme. Au niveau européen, l'EU AI Office (Bruxelles) supervise la coherence de ce dispositif, et la CNPD reste competente des que des données personnelles alimentent l'entrainement ou l'inference.
Ce que l'organisme notifie peut exiger de vous a tout moment
Le paragraphe 2 oblige certes l'organisme a tenir compte de votre taille et a menager les microentreprises et petites entreprises au sens de la recommandation 2003/361/CE. Mais il maintient le même degré de rigueur sur le fond. Concretement, vous devez être capable de produire, en continu et de manière reproductible :
- Le dossier technique complet aligne sur la procédure d'évaluation de l'article 43, version par version.
- Les jeux de données d'entrainement, de validation et de test avec leur tracabilite et leur gouvernance.
- Les journaux de gestion des risques, les metriques de robustesse, d'exactitude et de cybersécurité.
- La documentation des sous-traitants et fournisseurs en amont (modèles de base, datasets tiers, infrastructure cloud).
- Les preuves de surveillance post-commercialisation et la chaîne de versions du système.
Le risque opérationnel n'est pas l'audit initial : c'est la demande surprise de l'autorité notifiante, des mois plus tard, ou il faut reconstituer un état exact du système a une date donnée.
Comment Luxgap automatise ce risque
Notre Luxgap Notified Body Dossier rend impossible le trou de documentation le jour d'une demande de l'autorité notifiante : il maintient en continu un dossier technique horodate, versionne et reproductible, pret a être transmis a l'organisme notifie en quelques minutes. L'outil se branche sur vos pipelines MLOps (Azure ML, AWS SageMaker, MLflow, GitLab CI, Hugging Face Hub) et capture automatiquement chaque version de modèle, chaque dataset et chaque metrique sans demander a votre équipe data de remplir un formulaire.
- Capture automatiquement chaque entrainement, dataset et hyperparametre depuis MLflow, SageMaker et Azure ML, et fige un instantane reproductible par version.
- Genere le dossier technique structure selon l'annexe IV et la procédure d'évaluation de l'article 43, pret pour l'organisme notifie.
- Trace la chaîne amont des modèles de base et datasets tiers (Hugging Face, fournisseurs cloud) et alerte sur les ruptures de tracabilite.
- Calcule et archive les metriques de robustesse, d'exactitude et de cybersécurité exigees, avec leur historique complet.
- Adapte le niveau de detail documentaire a votre statut de micro ou petite entreprise au sens de la recommandation 2003/361/CE, sans baisser le degré de rigueur sur le fond.
- Produit un paquet PDF horodate et scelle, opposable a l'autorité notifiante de l'article 28, reconstituant l'état exact du système a toute date demandee.
Disponible en complement d'un mandat DPO ou CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre périmètre reel, avec un audit blanc gratuit sous 48h pour mesurer votre exposition avant tout engagement.