Documentation technique AI Act : le guide complet de l'Article 11 et l'Annexe IV

Combien de temps faut-il pour produire un dossier technique conforme à l'AI Act ? Les estimations varient entre 40 et 80 heures pour un système IA complexe — et ce chiffre suppose que l'équipe a documenté ses choix de conception dès le départ. L'Article 11 du Règlement (UE) 2024/1689 impose à chaque fournisseur de système IA à haut risque de constituer une documentation technique complète avant toute mise sur le marché. Son contenu minimum est défini par l'Annexe IV, qui liste 9 sections couvrant l'intégralité du cycle de vie du système.

Ce que dit l'Article 11

L'Article 11 pose trois principes fondamentaux qui encadrent la documentation technique des systèmes IA à haut risque.

Un dossier obligatoire avant la mise sur le marché

La documentation technique doit être établie avant que le système IA ne soit mis sur le marché ou mis en service, et tenue à jour tout au long de son cycle de vie. Ce n'est pas un document rétrospectif : il accompagne le développement du système depuis sa conception.

Une double finalité : démontrer et permettre l'évaluation

Le dossier technique remplit deux fonctions. Il doit d'abord démontrer que le système satisfait aux exigences des Articles 8 à 15 (gestion des risques, gouvernance des données, journalisation, transparence, surveillance humaine, exactitude et cybersécurité). Il doit ensuite fournir aux autorités et organismes notifiés les informations nécessaires pour évaluer la conformité, sous une forme claire et intelligible.

« La documentation technique est établie de manière à démontrer que le système d'IA à haut risque satisfait aux exigences [...] et à fournir aux autorités nationales compétentes et aux organismes notifiés les informations nécessaires sous une forme claire et intelligible pour évaluer la conformité. » — Article 11§1, Règlement (UE) 2024/1689

Un formulaire simplifié pour les PME

L'Article 11 prévoit que les PME et les startups peuvent fournir les éléments de l'Annexe IV de manière simplifiée. La Commission doit établir un formulaire adapté aux besoins des petites et microentreprises. Les organismes notifiés sont tenus d'accepter ce formulaire lors de l'évaluation de conformité — un allègement significatif pour les acteurs de taille modeste.

Un dossier unique pour les produits réglementés

Lorsqu'un système IA à haut risque est lié à un produit couvert par une législation d'harmonisation de l'Union (Annexe I, section A — dispositifs médicaux, jouets, véhicules), un seul jeu de documents est établi, intégrant les exigences de l'AI Act et celles de la législation sectorielle. Cette disposition évite la duplication pour les produits déjà soumis à un régime de documentation technique.

Les 9 sections de l'Annexe IV

L'Annexe IV définit le contenu minimum de la documentation technique. Chaque section correspond à un aspect du système que le fournisseur doit documenter de manière exhaustive. Voici le détail de chacune, avec les points d'attention pour les rédacteurs.

Section 1 — Description générale du système IA

Cette section dresse le portrait d'ensemble du système. Elle doit contenir :

• Finalité — La destination du système, le nom du fournisseur, la version et son lien avec les versions antérieures
• Interactions — Comment le système interagit avec le matériel informatique, les logiciels ou d'autres systèmes IA qui ne font pas partie du système lui-même
• Versions logicielles — Les versions des logiciels pertinents et les exigences en matière de mise à jour
• Formes de mise sur le marché — Les différentes configurations sous lesquelles le système est commercialisé (SaaS, embarqué, API)
• Matériel — Le matériel informatique sur lequel le système est destiné à fonctionner
• Notice d'utilisation — Les instructions destinées aux déployeurs conformément à l'Article 13

L'objectif est qu'un évaluateur externe puisse comprendre ce que fait le système, dans quel contexte il opère et comment il est distribué, sans avoir besoin de connaissances techniques approfondies.

Section 2 — Développement du système et processus de conception

C'est la section la plus dense. Elle couvre l'ensemble du processus de développement :

• Spécifications de conception — La logique générale du système et des algorithmes utilisés
• Choix de conception clés — Les décisions structurantes et leur justification, y compris les hypothèses retenues concernant les personnes ou groupes de personnes visés
• Choix de classification — Les principales décisions de catégorisation, ce que le système est conçu pour optimiser et la pertinence des différents paramètres
• Résultats attendus — La description de la sortie attendue et de la qualité escomtée
• Arbitrages techniques — Les compromis retenus entre les différentes solutions techniques pour satisfaire aux exigences du Chapitre III, Section 2
• Architecture du système — Le fonctionnement des différents composants et les ressources de calcul utilisées
• Données — Les jeux de données d'entraînement, de validation et de test : provenance, caractéristiques, processus de collecte, préparation, étiquetage, nettoyage et mesures de gouvernance (Article 10)
• Surveillance humaine — Les mesures prévues conformément à l'Article 14, incluant les moyens techniques pour faciliter l'interprétation des résultats par les déployeurs
• Modifications prédéterminées — Le cas échéant, les changements prévus du système et de ses performances, avec les solutions techniques garantissant la conformité continue

Un point critique : le règlement demande de documenter le pourquoi des choix, pas seulement le quoi. Les arbitrages, les hypothèses et les compromis doivent être explicités et justifiés.

Section 3 — Surveillance, fonctionnement et contrôle

Cette section décrit les mécanismes de monitoring et de contrôle intégrés au système. Elle couvre la traçabilité, la journalisation des événements (Article 12), les capacités de surveillance humaine et les mécanismes d'alerte. Le fournisseur doit démontrer que le système produit des informations suffisantes pour que les déployeurs puissent exercer une supervision effective.

Section 4 — Métriques de performance

Le fournisseur doit décrire l'adéquation des métriques de performance choisies pour son système IA spécifique. Il ne suffit pas de rapporter des scores : il faut justifier pourquoi les métriques retenues (précision, rappel, F1, AUC, taux d'erreur) sont pertinentes pour la destination et le contexte d'utilisation du système.

Cette section inclut les résultats des tests et évaluations effectués pour vérifier la conformité aux exigences d'exactitude, de robustesse et de cybersécurité (Article 15), notamment les tests de biais et les évaluations de performance sur différents sous-groupes de population.

Section 5 — Système de gestion des risques

Une description détaillée du système de gestion des risques conforme à l'Article 9. Cela comprend :

• Identification des risques — Les risques connus et raisonnablement prévisibles pour la santé, la sécurité et les droits fondamentaux
• Analyse et évaluation — L'estimation de la probabilité et de la gravité de chaque risque identifié
• Mesures d'atténuation — Les mesures adoptées pour éliminer ou réduire chaque risque, y compris les risques résiduels acceptés
• Tests et validation — Les procédures de test utilisées pour évaluer l'efficacité des mesures d'atténuation

Le système de gestion des risques doit être itératif et continu, couvrant l'ensemble du cycle de vie du système IA — pas seulement la phase de développement.

Section 6 — Modifications au cours du cycle de vie

Une description des modifications pertinentes apportées par le fournisseur au système tout au long de son cycle de vie. Chaque changement significatif doit être documenté : mises à jour d'algorithmes, réentraînements, modifications de l'architecture, changements dans les données d'entraînement. La traçabilité des versions est essentielle.

Section 7 — Normes harmonisées applicables

La liste des normes harmonisées appliquées en tout ou partie, dont les références ont été publiées au Journal officiel de l'Union européenne. En l'absence de normes harmonisées (ce qui est encore le cas en février 2026 — les organismes CEN et CENELEC prévoient leur publication fin 2026), le fournisseur doit fournir une description détaillée des solutions adoptées pour satisfaire aux exigences du Chapitre III, Section 2, incluant la liste des autres normes et spécifications techniques utilisées.

Section 8 — Déclaration UE de conformité

Une copie de la déclaration UE de conformité visée à l'Article 47. Ce document formel engage la responsabilité du fournisseur sur le respect de l'ensemble des exigences applicables. Il est indissociable du marquage CE.

Section 9 — Surveillance post-commercialisation

Une description détaillée du système d'évaluation des performances en phase post-commercialisation, conformément à l'Article 72. Cette section inclut le plan de surveillance après mise sur le marché, qui définit comment le fournisseur continuera à monitorer le système, collecter les retours des déployeurs, détecter les dérives de performance et signaler les incidents graves.

Les erreurs courantes à éviter

La constitution de la documentation technique est l'obligation la plus sous-estimée de l'AI Act. Voici les écueils les plus fréquents.

Documenter a posteriori

Constituer le dossier technique après le développement est extrêmement difficile. Les choix de conception, les hypothèses sur les données d'entraînement et les arbitrages techniques sont souvent non documentés si la démarche n'est pas intégrée dès le départ. La meilleure approche consiste à capturer les preuves de conformité dans les workflows de développement au fil du projet.

Confondre description et démonstration

L'Annexe IV ne demande pas seulement de décrire le système. Elle exige de démontrer que des processus, des contrôles et des garde-fous ont été effectivement mis en œuvre. Un évaluateur cherchera des preuves vérifiables : résultats de tests réels, journaux d'audit, analyses de risques ayant effectivement influencé les décisions de conception.

Négliger la traçabilité des données

La section sur les données d'entraînement (intégrée à la Section 2) est l'un des points les plus scrutés. Les lacunes typiques incluent une provenance insuffisamment documentée des jeux de données, peu de preuves de tests de biais, et une traçabilité manquante entre les décisions de gouvernance des données et l'implémentation technique.

Produire un document figé

La documentation technique est un document vivant. Elle doit être mise à jour lors de chaque modification significative du système, lors des réentraînements, lors de la découverte de nouvelles vulnérabilités ou lors de changements dans le contexte d'utilisation. Un dossier daté de la mise sur le marché et jamais actualisé ne satisfait pas à l'exigence de tenue à jour.

Lien avec les autres obligations du fournisseur

La documentation technique ne fonctionne pas en isolation. Elle s'articule avec l'ensemble des obligations du fournisseur prévues aux Articles 8 à 21.

Système de gestion de la qualité (Article 17)

L'Article 17 impose au fournisseur un système de gestion de la qualité documenté, couvrant la stratégie de conformité, les techniques de conception, les procédures d'examen, la gestion des données et la tenue de la documentation technique. Le SGQ et la documentation Annexe IV se renforcent mutuellement : le SGQ définit les processus, la documentation technique en produit les preuves.

Conservation de la documentation (Article 18)

Le fournisseur doit conserver la documentation technique pendant 10 ans après la mise sur le marché du système IA. Les autorités peuvent demander à y accéder à tout moment durant cette période. Cette exigence de conservation s'applique aussi aux journaux automatiques (Article 19) conservés pendant au moins 6 mois.

Évaluation de conformité (Article 43)

La documentation technique est le socle sur lequel repose l'évaluation de conformité. Selon les cas, cette évaluation prend la forme d'un contrôle interne (Annexe VI) ou d'une évaluation par un organisme notifié (Annexe VII). Dans les deux cas, l'évaluateur s'appuie sur le dossier Annexe IV pour vérifier le respect des exigences.

Enregistrement dans la base de données UE (Article 49)

Avant le déploiement, les systèmes IA à haut risque de l'Annexe III doivent être enregistrés dans la base de données européenne (Article 71). Les informations requises pour l'enregistrement (Annexe VIII) recoupent en partie celles de la documentation technique.

Structurer votre documentation en 7 étapes

Voici une démarche pragmatique pour constituer un dossier technique conforme, même sans normes harmonisées encore disponibles.

1. Classifier votre système — Confirmez que votre système est bien à haut risque selon l'Article 6. La classification détermine si l'Annexe IV s'applique
2. Réaliser un gap analysis — Comparez votre documentation existante (spécifications, README, model cards, rapports de test) avec les 9 sections de l'Annexe IV. Identifiez les manques
3. Structurer le dossier — Créez un template aligné sur les 9 sections. Chaque section correspond à un livrable distinct, avec des responsables identifiés dans l'équipe
4. Intégrer la capture dans les workflows — Connectez la documentation aux outils existants (MLflow, Weights & Biases, systèmes de versioning). Les preuves doivent être générées automatiquement pendant le développement, pas reconstituées après
5. Documenter les choix et arbitrages — Pour chaque décision de conception significative, enregistrez le contexte, les options considérées, le choix retenu et sa justification. C'est ce que les évaluateurs cherchent en priorité
6. Valider avec un audit interne — Avant l'évaluation de conformité formelle, simulez un audit en vérifiant que chaque section répond aux questions qu'un organisme notifié poserait
7. Planifier la mise à jour continue — Définissez les déclencheurs de mise à jour (réentraînement, changement de données, incident, mise à jour logicielle) et les responsabilités associées

La rédaction de cette documentation représente un travail considérable, particulièrement pour les équipes qui n'ont pas documenté leurs processus de développement IA dès le départ. Des plateformes comme AiActo permettent de structurer et accélérer cette démarche grâce à des formulaires guidés couvrant chaque section de l'Annexe IV, avec une génération assistée par IA section par section et un éditeur de review pour ajuster chaque phrase avant l'export PDF.

Calendrier et contexte réglementaire

L'obligation de documentation technique entre en vigueur selon le calendrier de l'AI Act :

• 2 août 2026 — Échéance pour les systèmes IA à haut risque relevant de l'Annexe III (biométrie, emploi, éducation, services essentiels, etc.)
• 2 août 2027 — Échéance pour les systèmes intégrés dans des produits réglementés (Annexe I — dispositifs médicaux, jouets, véhicules)

Le Digital Omnibus, proposé par la Commission en novembre 2025, prévoit un report maximal de 16 mois pour les systèmes Annexe III (date butoir au 2 décembre 2027), conditionné à la disponibilité des normes harmonisées. Ce texte est en discussion au Parlement et au Conseil, et son adoption n'est pas garantie avant août 2026.

En l'absence de normes harmonisées (les organismes CEN/CENELEC visent fin 2026 pour leur publication), les fournisseurs doivent s'appuyer sur le texte du règlement lui-même et sur les spécifications communes que la Commission pourra adopter. Cette situation rend d'autant plus important de commencer la documentation technique sans attendre.

Sanctions en cas de non-conformité

Un fournisseur qui met sur le marché un système IA à haut risque sans documentation technique conforme s'expose à des amendes pouvant atteindre 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial (Article 99). Pour les PME et les startups, les montants sont plafonnés au plus bas des deux seuils, mais restent significatifs.

Questions fréquentes

Quand la documentation technique AI Act devient-elle obligatoire ?

La documentation technique conforme à l'Annexe IV est obligatoire dès la mise sur le marché ou la mise en service d'un système IA à haut risque. Pour les systèmes de l'Annexe III, l'échéance est le 2 août 2026. Pour ceux intégrés dans des produits réglementés (Annexe I), c'est le 2 août 2027. Le Digital Omnibus propose un report maximal au 2 décembre 2027 pour l'Annexe III.

Combien de sections contient la documentation technique Annexe IV ?

L'Annexe IV comprend 9 sections obligatoires : description générale, développement et conception, surveillance et contrôle, métriques de performance, gestion des risques, modifications au cycle de vie, normes appliquées, déclaration UE de conformité, et plan de surveillance post-commercialisation.

Les PME bénéficient-elles d'un régime allégé pour la documentation technique ?

Oui. L'Article 11 prévoit que les PME et les startups peuvent fournir les éléments de l'Annexe IV de manière simplifiée, via un formulaire que la Commission doit établir. Les organismes notifiés sont tenus d'accepter ce formulaire lors de l'évaluation de conformité. Le contenu exigé reste le même, mais le format et le niveau de détail sont adaptés.

Combien de temps faut-il conserver la documentation technique ?

L'Article 18 impose une conservation pendant 10 ans à compter de la mise sur le marché du système IA à haut risque. Les autorités nationales compétentes peuvent demander l'accès à cette documentation à tout moment durant cette période.

Quelle différence entre l'Annexe IV et l'Annexe XI pour la documentation technique ?

L'Annexe IV concerne les fournisseurs de systèmes IA à haut risque (Article 11). L'Annexe XI concerne les fournisseurs de modèles IA à usage général (GPAI) (Article 53). Le contenu diffère : l'Annexe IV se concentre sur le système complet et son contexte d'utilisation, tandis que l'Annexe XI couvre le modèle sous-jacent, ses données d'entraînement et sa consommation énergétique.

Que faire si les normes harmonisées ne sont pas encore disponibles ?

En l'absence de normes harmonisées, la Section 7 de l'Annexe IV exige une description détaillée des solutions adoptées pour satisfaire aux exigences du Chapitre III, Section 2. Le fournisseur doit lister les normes alternatives et spécifications techniques utilisées (ISO 42001, ISO/IEC 23894, normes sectorielles) et expliquer comment elles couvrent les exigences du règlement.

La documentation technique est le pilier central de la conformité AI Act pour les fournisseurs de systèmes à haut risque. Elle matérialise l'ensemble des exigences réglementaires en un dossier vérifiable. Les organisations qui intègrent cette démarche documentaire dès les premières phases de développement gagneront un avantage décisif — non seulement en termes de conformité, mais aussi de qualité et de traçabilité de leurs systèmes IA.