28 jours avant l'entrée en vigueur du règlement européen sur l'IA
Pour en savoir plus →

Article 10 de la loi européenne sur l'IA : Gouvernance des données

L'article 10 régit les données utilisées pour construire les systèmes d'IA à haut risque. Les ensembles de données de formation, de validation et de test doivent répondre à des critères de qualité, être examinés pour les préjugés et être gérés dans des conditions strictes lorsque des données à caractère personnel sensibles sont impliquées. Cette page explique quelle gouvernance des données l'Acte exige et où la responsabilité se situe.

Plongée dans l'article 10

Article 10 de la loi européenne sur l'IA : Gouvernance des données

L'article 10 régit les données utilisées pour construire les systèmes d'IA à haut risque. Les ensembles de données de formation, de validation et de test doivent répondre à des critères de qualité, être examinés pour les préjugés et être gérés dans des conditions strictes lorsque des données à caractère personnel sensibles sont impliquées. Cette page explique quelle gouvernance des données l'Acte exige et où la responsabilité se situe.

Dernière mise à jour: 4 juillet 2026

Ce que l'article 10 exige

Les systèmes d'IA à haut risque qui sont formés avec des données doivent être développés sur la base d'ensembles de données de formation, de validation et de test qui répondent aux critères de qualité énoncés à l'article 10, chaque fois que de tels ensembles de données sont utilisés.

L'obligation repose sur le fournisseur, et elle s'applique à des pratiques de gouvernance et de gestion des données appropriées sur l'ensemble du cycle de vie des données — de la conception des choix et de la collecte à la préparation, à l'examen et à l'atténuation. La gouvernance des données en vertu de l'article 10 est l'une des exigences que la documentation technique de l'annexe IV et le SGQ de l'article 17 doivent à leur tour décrire et contrôler.

Critères de qualité des données

Les ensembles de données de formation, de validation et de test doivent être soumis à des pratiques de gouvernance des données appropriées à l'objectif prévu, en abordant en particulier :

  • Pertinence et représentativité — les ensembles de données doivent être pertinents, suffisamment représentatifs et, dans la mesure du possible, exempts d'erreurs et complets au regard de l'objectif prévu
  • Propriétés statistiques appropriées — y compris, le cas échéant, en ce qui concerne les personnes ou les groupes de personnes sur lesquels le système est destiné à être utilisé
  • Choix de conception et provenance — les hypothèses de conception pertinentes, et la manière dont les données ont été collectées, leur origine et, pour les données à caractère personnel, l'objectif initial de collecte
  • Préparation des données — les opérations d'annotation, d'étiquetage, de nettoyage, de mise à jour, d'enrichissement et d'agrégation doivent être documentées
  • Couverture contextuelle — les données doivent tenir compte du contexte géographique, contextuel, comportemental ou fonctionnel dans lequel le système à haut risque est destiné à être utilisé

Examen des préjugés, atténuation et lacunes dans les données

L'article 10 exige explicitement que les fournisseurs recherchent et traitent les préjugés et les lacunes dans les données :

  • Examiner les préjugés susceptibles d'affecter la santé et la sécurité, d'avoir un impact négatif sur les droits fondamentaux ou de conduire à une discrimination interdite — en particulier lorsque les sorties influencent les entrées pour les opérations futures (boucles de rétroaction)
  • Appliquer des mesures d'atténuation appropriées pour tout préjugé identifié lors de cet examen
  • Identifier et traiter les lacunes et les insuffisances dans les données qui pourraient empêcher la conformité, et documenter la manière dont ils sont traités
  • Documenter le raisonnement de sorte que l'examen des préjugés et l'atténuation soient auditable, et non simplement effectués

Conditions pour les données à caractère personnel sensibles

L'article 10 permet le traitement de catégories particulières de données à caractère personnel, mais uniquement dans la mesure strictement nécessaire pour détecter et corriger les préjugés, et sous réserve de garanties.

Cela signifie que l'exception s'applique uniquement lorsque la détection et la correction des préjugés ne peuvent être effectivement réalisées avec des données synthétiques, anonymisées ou d'autres données non sensibles. Lorsque des données à caractère personnel sensibles sont utilisées, elles doivent être soumises à des garanties appropriées pour les droits et les libertés des individus — y compris des limites techniques pour la réutilisation, une sécurité et des mesures de protection de la vie privée de pointe, des contrôles d'accès stricts et une documentation, ainsi que la suppression une fois que le préjugé a été corrigé ou que les données ont atteint la fin de leur période de rétention.

L'autorisation de données à caractère personnel sensibles de l'article 10 fonctionne aux côtés du RGPD, et non à sa place — les conditions du RGPD pour le traitement des catégories particulières de données à caractère personnel s'appliquent toujours.

Comment AIAgentree aide

AIAgentree complète les outils de jeu de données et de MLOps plutôt que de les remplacer : il enregistre les décisions et les exceptions autour de la gestion des données comme preuves auditable, de sorte que les appels de jugement que l'article 10 exige soient capturés et défendables :

  • Les enregistrements de décision à preuve de falsification préservent pourquoi une source de données a été acceptée, une étape d'atténuation des préjugés a été prise ou une lacune dans les données a été acceptée comme résiduelle — le raisonnement que l'article 10 attend que vous puissiez montrer
  • Les flux de travail de surveillance humaine et d'approbation capturent l'approbation des décisions de gestion des données sensibles, y compris les justifications de données à caractère personnel sensibles, avec l'enregistrement automatique de qui a décidé quoi
  • La rétention adaptée aux audits et les exports via REST, MCP, A2A et OpenTelemetry (SDK Python et TypeScript, résidence de données de l'UE en Allemagne) maintiennent cette traçabilité de la gouvernance disponible pour inspection — commencez sur le niveau gratuit de 25 traces

Foire aux questions

L'article 10 s'applique-t-il à chaque système d'IA à haut risque ?

Il s'applique aux systèmes à haut risque développés à l'aide de techniques de formation de données. Les critères de qualité et de gouvernance des données s'appliquent chaque fois que des jeux de données de formation, de validation et de test sont utilisés ; les systèmes qui ne sont pas formés sur des données sont abordés par les autres exigences de la loi.

Les données doivent-elles être parfaitement exemptes d'erreurs ?

Non. L'article 10 exige que les jeux de données soient pertinents, suffisamment représentatifs et, dans la mesure du possible, exemptes d'erreurs et complets au regard de l'objectif prévu. Il établit une norme d'efforts raisonnables, proportionnée à l'objectif, plutôt qu'une garantie absolue de perfection.

Pouvons-nous utiliser des données personnelles sensibles pour vérifier les préjugés ?

Seulement de manière exceptionnelle. L'article 10 permet le traitement de catégories particulières de données personnelles strictement pour détecter et corriger les préjugés, lorsque cela ne peut pas être fait avec d'autres données, et uniquement sous de fortes garanties telles que des contrôles d'accès, des mesures de sécurité et une suppression une fois l'objectif atteint. Les conditions du RGPD s'appliquent toujours en plus.

Qui est responsable de la conformité à l'article 10 ?

Le fournisseur du système d'IA à haut risque. Les déploieurs qui contrôlent les données d'entrée ont une obligation connexe en vertu de l'article 26 de s'assurer que les données d'entrée sont pertinentes et suffisamment représentatives pour l'objectif prévu, mais l'obligation fondamentale de gouvernance des données repose sur le fournisseur.

Que doit être documenté en vertu de l'article 10 ?

Les choix de gouvernance des données — collecte et origine, opérations de préparation telles que l'étiquetage et le nettoyage, hypothèses formulées, l'examen des préjugés et toute mesure d'atténuation appliquée, et la façon dont les lacunes de données identifiées ont été traitées. Cette documentation alimente la documentation technique de l'annexe IV et le système de gestion de la qualité de l'article 17.

Continuer à explorer le guide de la loi européenne sur l'IA

Guide de conformité à la loi européenne sur l'IA

Le guide complet pour la conformité à la loi européenne sur l'IA pour les agents d'IA — commencez ici.

Article 12 — Conservation des enregistrements et journalisation

Ce que chaque système d'IA à haut risque doit journaliser et comment le capturer.

Article 14 — Surveillance humaine

Conception de contrôles efficaces avec intervention humaine pour les décisions d'IA.

Annexe III — Systèmes d'IA à haut risque

Quels cas d'utilisation d'IA la loi classe comme à haut risque.

Liste de contrôle de conformité à la loi européenne sur l'IA

Une liste de contrôle étape par étape pour atteindre et documenter la conformité.

Calculateur de coût de conformité

Estimez vos efforts et coûts de conformité à la loi européenne sur l'IA.

Délais et calendrier

Dates clés d'application, y compris le délai du 2 août 2026.

Amendes et pénalités

Niveaux de pénalité allant jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial.

Obligations de transparence (art. 13 et 50)

Devoirs de divulgation pour les systèmes d'IA et leurs sorties.

Gestion des risques et évaluation de la conformité

Construire un système de gestion des risques et évaluer la conformité.

Obligations GPAI

Règles pour les fournisseurs de modèles d'IA à usage général.

Loi européenne sur l'IA pour les entreprises américaines

Portée extraterritoriale et ce que les fournisseurs américains doivent faire.

Mise à jour omnibus

Les derniers changements apportés au calendrier et aux règles de la loi européenne sur l'IA.

Calculatrice de pénalité

Estimez votre amende maximale en vertu des niveaux de l'article 99.

Article 11 + Annexe IV

Quelle documentation technique l'Acte IA de l'UE exige.

Article 26 : Obligations des déploieurs

Ce que les déploieurs d'IA à haut risque doivent faire, y compris la conservation des journaux.

Article 17 : Gestion de la qualité

Le Système de gestion de la qualité (SGQ) que les fournisseurs d'IA à haut risque doivent documenter.

Article 4 : Littératie en IA

L'obligation de littératie en IA du personnel en vigueur depuis février 2025.

Déploieur vs Fournisseur

Qui assume quelle obligation — et quand un déploieur devient un fournisseur.

FRIA (Article 27)

Qui doit effectuer une évaluation d'impact sur les droits fondamentaux, et comment.

À qui s'applique-t-il ?

Champ d'application, opérateurs et portée extraterritoriale de l'Acte IA de l'UE.

Surveillance post-marché

Articles 72–73 : surveillance continue et déclaration d'incidents.

ISO 42001 vs Acte IA de l'UE

Comment la norme volontaire et la loi contraignante s'harmonisent.

NIST AI RMF vs Acte IA de l'UE

Un guide pratique entre le cadre et la loi.

Acte IA de l'UE pour les soins de santé

IA médicale à haut risque, interaction avec les règlements MDR/IVDR et surveillance clinique.

Acte IA de l'UE pour les services financiers

Notation de crédit, tarification des assurances et réglementation financière existante.

Acte IA de l'UE pour les RH et l'emploi

Embauche d'IA à haut risque, ainsi que chevauchement avec la loi NYC LL144 et la commission EEOC.