28 jours avant l'entrée en vigueur du règlement européen sur l'IA
Pour en savoir plus →

Article 17 de la loi européenne sur l'IA : Système de gestion de la qualité

L'article 17 exige que les fournisseurs de systèmes d'IA à haut risque mettent en place un système de gestion de la qualité et le documentent dans des politiques, des procédures et des instructions écrites. Il s'agit de la colonne vertébrale organisationnelle qui relie toutes les autres obligations à haut risque. Cette page énumère les éléments du SGQ que vous devez documenter et signale la norme harmonisée encore en cours d'élaboration pour le soutenir.

Plongée dans l'article 17

Article 17 de la loi européenne sur l'IA : Système de gestion de la qualité

L'article 17 exige que les fournisseurs de systèmes d'IA à haut risque mettent en place un système de gestion de la qualité et le documentent dans des politiques, des procédures et des instructions écrites. Il s'agit de la colonne vertébrale organisationnelle qui relie toutes les autres obligations à haut risque. Cette page énumère les éléments du SGQ que vous devez documenter et signale la norme harmonisée encore en cours d'élaboration pour le soutenir.

Dernière mise à jour: 4 juillet 2026

Ce que l'exigence de SGQ est

Les fournisseurs de systèmes d'IA à haut risque doivent établir un système de gestion de la qualité qui garantit la conformité à la loi sur l'IA, documenté de manière systématique et ordonnée dans des politiques, des procédures et des instructions écrites.

Le SGQ est proportionné à la taille de l'organisation du fournisseur, et pour les fournisseurs qui sont déjà soumis à des obligations de gestion de la qualité sectorielles en vertu d'autres dispositions de l'UE, les exigences de la loi sur l'IA peuvent être intégrées dans le système existant plutôt que d'être dupliquées. L'objectif n'est pas la paperasse pour elle-même : le SGQ est la manière dont un fournisseur démontre que la conformité est un processus répétitif et géré, et non un effort unique.

Éléments que le SGQ doit documenter

L'article 17(1) énumère les aspects que le système de gestion de la qualité doit couvrir, au moins :

  • Stratégie de conformité réglementaire — y compris pour l'évaluation de la conformité et pour la gestion des modifications apportées au système à haut risque
  • Procédures de conception et de développement — techniques, procédures et actions systématiques pour la conception, le contrôle de la conception et la vérification de la conception
  • Développement et contrôle de la qualité — procédures pour le développement, le contrôle de la qualité et l'assurance de la qualité du système
  • Examen, test et validation — procédures à effectuer avant, pendant et après le développement, et la fréquence à laquelle elles sont effectuées
  • Spécifications techniques et normes — les normes appliquées, et lorsque les normes harmonisées ne sont pas appliquées dans leur intégralité, les moyens utilisés pour répondre aux exigences
  • Gestion des données — systèmes et procédures pour l'acquisition, la collecte, l'analyse, l'étiquetage, le stockage, le filtrage, l'extraction, l'agrégation et la rétention des données
  • Gestion des risques — le système de gestion des risques de l'article 9
  • Surveillance post-marché — mise en place, mise en œuvre et maintenance d'un système de surveillance post-marché en vertu de l'article 72
  • Signalement d'incidents — procédures pour signaler les incidents graves conformément à l'article 73
  • Communication et responsabilité — gestion de la communication avec les autorités et les autres parties, tenue de dossiers, gestion des ressources et cadre de responsabilité définissant les responsabilités de la direction et du personnel

La norme harmonisée est encore en cours d'élaboration

Pour soutenir l'article 17, une norme harmonisée dédiée sur le système de gestion de la qualité pour l'IA est en cours d'élaboration dans le cadre de la demande de normalisation de la Commission à CEN-CENELEC.

Ce travail est en cours sous la référence prEN 18286 (norme de système de gestion de la qualité pour l'IA). Il s'agit encore d'un projet : le préfixe 'pr' indique une norme européenne en cours de travail qui n'a pas encore été publiée ou citée dans le Journal officiel, elle ne confère donc pas encore une présomption de conformité. Les fournisseurs doivent concevoir leur SGQ sur le texte de l'article 17 et suivre la norme à mesure qu'elle mûrit — la construction sur le projet peut réduire les reprises, mais elle ne remplace pas l'exigence juridique et ne doit pas être considérée comme étant déjà en vigueur.

Les références de norme et le statut de publication changent avec le temps ; vérifiez toujours le statut actuel de prEN 18286 et des normes harmonisées connexes contre le Journal officiel avant de vous y fier.

Comment AIAgentree aide

Un système de gestion de la qualité doit conserver les preuves que ses procédures ont réellement été suivies. AIAgentree fournit l'enregistrement de décision et de surveillance traçable que les éléments de gestion des données, de tenue de dossiers et de responsabilité du SGQ doivent conserver :

  • Les enregistrements de décision à preuve de falsification donnent au cadre de responsabilité et de tenue de dossiers une source de vérité défendable pour expliquer comment les décisions ont été prises et qui en était responsable
  • Les flux de travail de surveillance humaine et d'approbation documentent les étapes d'examen, de révision et de validation que les procédures du SGQ nécessitent, avec l'enregistrement automatique de qui a approuvé quoi
  • La rétention adaptée aux audits, la recherche de précédents et les exports via REST, MCP, A2A et OpenTelemetry (avec les SDK Python et TypeScript et une résidence de données de l'UE en Allemagne) permettent au SGQ de produire des enregistrements sur demande — vous pouvez l'essayer sur le niveau gratuit de 25 traces

Foire aux questions

Qui doit maintenir un système de gestion de la qualité en vertu de l'article 17 ?

Les fournisseurs de systèmes d'IA à haut risque. Le SGQ est une obligation du fournisseur et doit être en place pour soutenir l'évaluation de la conformité et la conformité continue du système tout au long de son cycle de vie.

Le SGQ doit-il être un système distinct ?

Non. Lorsqu'un fournisseur est déjà soumis à des obligations de gestion de la qualité en vertu d'autres lois de l'Union (par exemple dans des secteurs réglementés), les éléments de l'article 17 peuvent être intégrés dans ce système de gestion de la qualité existant plutôt que de fonctionner en parallèle.

Le prEN 18286 est-il obligatoire ?

Non. Le prEN 18286 est une norme européenne de projet pour les systèmes de gestion de la qualité de l'IA en cours d'élaboration pour soutenir l'article 17. En tant que projet, il n'est pas encore publié ou cité dans le Journal officiel et ne confère pas une présomption de conformité. L'exigence contraignante est le texte même de l'article 17.

Comment le SGQ diffère-t-il de la documentation technique ?

La documentation technique de l'annexe IV décrit un système d'IA à haut risque spécifique et sa conformité ; le SGQ est l'ensemble des politiques et des procédures au niveau de l'organisation qui régit la façon dont le fournisseur conçoit, teste, surveille et rapporte sur l'ensemble de ses systèmes. Le SGQ produit et maintient la documentation.

Le SGQ est-il adapté à la taille de l'entreprise ?

Oui. L'article 17 stipule que le système de gestion de la qualité doit être proportionné à la taille de l'organisation du fournisseur, de sorte que les petits fournisseurs puissent le mettre en œuvre d'une manière qui convient à leur échelle tout en couvrant tous les éléments requis.

Continuer à explorer le guide de la loi européenne sur l'IA

Guide de conformité à la loi européenne sur l'IA

Le guide complet pour la conformité à la loi européenne sur l'IA pour les agents d'IA — commencez ici.

Article 12 — Conservation des enregistrements et journalisation

Ce que chaque système d'IA à haut risque doit journaliser et comment le capturer.

Article 14 — Surveillance humaine

Conception de contrôles efficaces avec intervention humaine pour les décisions d'IA.

Annexe III — Systèmes d'IA à haut risque

Quels cas d'utilisation d'IA la loi classe comme à haut risque.

Liste de contrôle de conformité à la loi européenne sur l'IA

Une liste de contrôle étape par étape pour atteindre et documenter la conformité.

Calculateur de coût de conformité

Estimez vos efforts et coûts de conformité à la loi européenne sur l'IA.

Délais et calendrier

Dates clés d'application, y compris le délai du 2 août 2026.

Amendes et pénalités

Niveaux de pénalité allant jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial.

Obligations de transparence (art. 13 et 50)

Devoirs de divulgation pour les systèmes d'IA et leurs sorties.

Gestion des risques et évaluation de la conformité

Construire un système de gestion des risques et évaluer la conformité.

Obligations GPAI

Règles pour les fournisseurs de modèles d'IA à usage général.

Loi européenne sur l'IA pour les entreprises américaines

Portée extraterritoriale et ce que les fournisseurs américains doivent faire.

Mise à jour omnibus

Les derniers changements apportés au calendrier et aux règles de la loi européenne sur l'IA.

Calculatrice de pénalité

Estimez votre amende maximale en vertu des niveaux de l'article 99.

Article 11 + Annexe IV

Quelle documentation technique l'Acte IA de l'UE exige.

Article 26 : Obligations des déploieurs

Ce que les déploieurs d'IA à haut risque doivent faire, y compris la conservation des journaux.

Article 10 : Gouvernance des données

Qualité des données, mitigation des biais et devoirs de gouvernance.

Article 4 : Littératie en IA

L'obligation de littératie en IA du personnel en vigueur depuis février 2025.

Déploieur vs Fournisseur

Qui assume quelle obligation — et quand un déploieur devient un fournisseur.

FRIA (Article 27)

Qui doit effectuer une évaluation d'impact sur les droits fondamentaux, et comment.

À qui s'applique-t-il ?

Champ d'application, opérateurs et portée extraterritoriale de l'Acte IA de l'UE.

Surveillance post-marché

Articles 72–73 : surveillance continue et déclaration d'incidents.

ISO 42001 vs Acte IA de l'UE

Comment la norme volontaire et la loi contraignante s'harmonisent.

NIST AI RMF vs Acte IA de l'UE

Un guide pratique entre le cadre et la loi.

Acte IA de l'UE pour les soins de santé

IA médicale à haut risque, interaction avec les règlements MDR/IVDR et surveillance clinique.

Acte IA de l'UE pour les services financiers

Notation de crédit, tarification des assurances et réglementation financière existante.

Acte IA de l'UE pour les RH et l'emploi

Embauche d'IA à haut risque, ainsi que chevauchement avec la loi NYC LL144 et la commission EEOC.