Cadre européenRGPDNIS 2DORAAI ActLanceurs d'alerte
Article 72

Surveillance après commercialisation par les fournisseurs et plan de surveillance après commercialisation pour les systèmes d’IA à haut risque

Règlement établissant des règles harmonisées sur l'intelligence artificielle · UE 2024/1689

Surveillance après commercialisation par les fournisseurs et plan de surveillance après commercialisation pour les systèmes d’IA à haut risque

1.   Les fournisseurs établissent et documentent un système de surveillance après commercialisation d’une manière qui soit proportionnée à la nature des technologies d’IA et des risques du système d’IA à haut risque.

2.   Le système de surveillance après commercialisation collecte, documente et analyse, de manière active et systématique, les données pertinentes qui peuvent être fournies par les déployeurs ou qui peuvent être collectées via d’autres sources sur les performances des systèmes d’IA à haut risque tout au long de leur cycle de vie, et qui permettent au fournisseur d’évaluer si les systèmes d’IA respectent en permanence les exigences énoncées au chapitre III, section 2. Le cas échéant, la surveillance après commercialisation comprend une analyse de l’interaction avec d’autres systèmes d’IA. Cette obligation ne couvre pas les données opérationnelles sensibles des déployeurs qui sont des autorités répressives.

3.   Le système de surveillance après commercialisation repose sur un plan de surveillance après commercialisation. Le plan de surveillance après commercialisation fait partie de la documentation technique visée à l’annexe IV. La Commission adopte un acte d’exécution fixant des dispositions détaillées établissant un modèle pour le plan de surveillance après commercialisation et la liste des éléments à inclure dans le plan au plus tard le 2 février 2026. Cet acte d’exécution est adopté en conformité avec la procédure d’examen visée à l’article 98, paragraphe 2.

4.   Pour les systèmes d’IA à haut risque relevant de la législation d’harmonisation de l’Union énumérés à la section A de l’annexe I, lorsqu’un système et un plan de surveillance après commercialisation sont déjà établis en vertu de ces actes, afin d’assurer la cohérence, d’éviter les doubles emplois et de réduire au minimum les charges supplémentaires, les fournisseurs ont le choix d’intégrer, le cas échéant, les éléments nécessaires décrits aux paragraphes 1, 2 et 3 en utilisant le modèle visé au paragraphe 3 dans les systèmes et plans existants au titre desdits actes, pour autant que cela donne lieu à un niveau de protection équivalent.

Le premier alinéa du présent paragraphe s’applique également aux systèmes d’IA à haut risque visés à l’annexe III, point 5, mis sur le marché ou mis en service par des établissements financiers qui sont soumis à des exigences en vertu de la législation de l’Union sur les services financiers concernant leur gouvernance, leurs dispositifs ou leurs processus internes.

Spécificité Luxembourg
Reglement (UE) 2024/1689, autorite nationale IA non encore designee au Luxembourg a date

Au Luxembourg, l'autorité nationale de surveillance du marché IA n'est pas encore formellement désignée à date ; en attendant, la CNPD reste competente pour le volet protection des données personnelles des systèmes d'IA, et l'EU AI Office supervise les modèles a usage general. Pour les systèmes d'IA a haut risque de l'annexe III point 5 opérés par des établissements financiers, le plan de surveillance peut être integre aux dispositifs de gouvernance interne supervises par la CSSF, sous réservé d'un niveau de protection equivalent.

Pratique Luxgap : pour une fintech ou une banque régulée CSSF, nous calibrons le plan Drift Sentinel pour qu'il s'imbrique dans vos processus de gouvernance existants et evite tout double emploi documentaire.