28 jours avant l'entrée en vigueur du règlement européen sur l'IA
Pour en savoir plus →

Surveillance et déclaration d'incidents post-marché de l'IA de l'UE (articles 72-73)

La conformité ne se termine pas lorsque le système d'IA à haut risque est expédié. L'article 72 exige que les fournisseurs surveillent les systèmes sur le terrain par rapport à un plan documenté, et l'article 73 fixe des délais stricts pour signaler les incidents graves aux autorités. Les deux alimentent à rebours le système de gestion des risques de l'article 9 afin que les leçons apprises en production conduisent à de véritables changements.

Articles 72 & 73 — Surveillance et déclaration d'incidents post-marché

Surveillance et déclaration d'incidents post-marché de l'IA de l'UE (articles 72-73)

La conformité ne se termine pas lorsque le système d'IA à haut risque est expédié. L'article 72 exige que les fournisseurs surveillent les systèmes sur le terrain par rapport à un plan documenté, et l'article 73 fixe des délais stricts pour signaler les incidents graves aux autorités. Les deux alimentent à rebours le système de gestion des risques de l'article 9 afin que les leçons apprises en production conduisent à de véritables changements.

Dernière mise à jour: 4 juillet 2026

Article 72 : Surveillance post-marché

Les fournisseurs de systèmes d'IA à haut risque doivent surveiller activement la performance de leurs systèmes après leur mise sur le marché ou leur mise en service :

  • Établir et documenter un système de surveillance post-marché proportionné à la nature de la technologie d'IA et à ses risques
  • Collecter, documenter et analyser les données pertinentes sur la performance tout au long de la durée de vie du système, y compris celles provenant des déployeurs et d'autres sources
  • Fonder l'activité sur un plan de surveillance post-marché qui fait partie de la documentation technique — la Commission doit fournir un modèle
  • Utiliser la surveillance pour évaluer la conformité continue et détecter les problèmes nécessitant une action corrective

Article 73 : Déclaration d'incidents graves

Lorsque quelque chose se passe vraiment mal, l'article 73 impose des délais courts et échelonnés pour signaler à l'autorité de surveillance du marché. Un incident grave inclut la mort ou un préjudice grave à la santé, une perturbation grave et irréversible des infrastructures critiques, une violation des obligations relatives aux droits fondamentaux, ou un préjudice grave aux biens ou à l'environnement :

  • Règle générale : signaler immédiatement après que le fournisseur a établi un lien de causalité (ou une probabilité raisonnable) entre le système et l'incident, et au plus tard 15 jours après en avoir pris connaissance
  • Infraction généralisée ou perturbation grave et irréversible des infrastructures critiques : au plus tard 2 jours
  • Décès d'une personne : au plus tard 10 jours
  • Un rapport initial, potentiellement incomplet, peut être déposé en premier pour respecter le délai, suivi d'un rapport complet ; le fournisseur doit également enquêter et prendre des mesures correctives

La fenêtre de temps est courte — des jours, et non des mois. Reconstruire ce qu'un agent a fait, après coup, sans un enregistrement durable est exactement là où les équipes sont prises au dépourvu.

La boucle de rétroaction vers l'article 9

La surveillance et la déclaration d'incidents ne sont pas des formalités isolées — elles referment la boucle vers la gestion des risques :

  • Les résultats de la surveillance post-commercialisation alimentent le système de gestion des risques de l'article 9, qui doit être un processus continu et itératif tout au long du cycle de vie
  • Les incidents graves et les risques identifiés déclenchent l'examen et la mise à jour des contrôles de risque et, le cas échéant, de la documentation technique
  • Cela fait de la conformité une discipline opérationnelle continue, et non un exercice de conformité préalable unique
  • De bonnes preuves de production sont ce qui vous permet de rendre compte avec précision et de prouver que vous avez agi sur ce que vous avez trouvé

Comment AIAgentree aide

La surveillance post-commercialisation et la déclaration d'incidents dépendent toutes deux de la possession d'un enregistrement fiable de ce que vos agents ont réellement fait — ce que capture exactement AIAgentree :

  • Les traces de décision sont vos preuves d'incident : des enregistrements anti-manipulation de ce qu'un agent a décidé et pourquoi donnent la reconstruction dont a besoin un rapport d'incident grave, dans un délai de plusieurs jours
  • Le suivi des résultats met en évidence les dérives et les défaillances en production, soutenant la collecte et l'analyse de données continues que la surveillance de l'article 72 exige
  • La conservation adaptée aux audits (six mois ou plus) avec une résidence de données de l'UE en Allemagne maintient les enregistrements anti-manipulation disponibles pour la déclaration et pour alimenter les leçons dans votre processus de gestion des risques

Foires aux questions

Qu'est-ce que la surveillance post-marché en vertu de l'Acte sur l'IA de l'UE ?

L'article 72 exige que les fournisseurs de systèmes d'IA à haut risque établissent et documentent un système de surveillance, proportionné aux risques, qui collecte et analyse les données de performance tout au long de la durée de vie du système. Il s'exécute contre un plan de surveillance post-marché qui fait partie de la documentation technique.

Combien de temps après avoir établi un lien de cause à effet, un incident grave doit-il être signalé ?

Selon l'article 73, le délai général est immédiatement après avoir établi un lien de cause à effet et au plus tard 15 jours après en avoir pris connaissance. Il est réduit à 10 jours si une personne est décédée, et à 2 jours en cas de violation généralisée ou de perturbation grave et irréversible des infrastructures critiques.

Qu'est-ce qu'un incident grave ?

Un incident grave comprend un incident ou une défaillance entraînant la mort ou un préjudice grave pour la santé, une perturbation grave et irréversible des infrastructures critiques, une violation des obligations destinées à protéger les droits fondamentaux, ou un préjudice grave pour les biens ou l'environnement.

Qui est responsable de la surveillance post-marché et de la notification d'incident ?

Ces obligations incombent principalement aux fournisseurs de systèmes d'IA à haut risque. Les déployeurs contribuent en surveillant l'exploitation et en informant le fournisseur ou l'autorité lorsque cela est pertinent, mais le système de surveillance documenté et les rapports d'incident graves à l'autorité de surveillance du marché relèvent du fournisseur.

Comment la surveillance se connecte-t-elle à la gestion des risques ?

Les résultats alimentent le système de gestion des risques de l'article 9, qui est un processus continu et itératif. Les incidents graves et les résultats de la surveillance déclenchent l'examen et la mise à jour des contrôles de risque et, le cas échéant, la documentation technique — ce qui rend la conformité une discipline continue plutôt qu'un exercice unique.

Continuer à explorer le guide de la loi européenne sur l'IA

Guide de conformité à la loi européenne sur l'IA

Le guide complet pour la conformité à la loi européenne sur l'IA pour les agents d'IA — commencez ici.

Article 12 — Conservation des enregistrements et journalisation

Ce que chaque système d'IA à haut risque doit journaliser et comment le capturer.

Article 14 — Surveillance humaine

Conception de contrôles efficaces avec intervention humaine pour les décisions d'IA.

Annexe III — Systèmes d'IA à haut risque

Quels cas d'utilisation d'IA la loi classe comme à haut risque.

Liste de contrôle de conformité à la loi européenne sur l'IA

Une liste de contrôle étape par étape pour atteindre et documenter la conformité.

Calculateur de coût de conformité

Estimez vos efforts et coûts de conformité à la loi européenne sur l'IA.

Délais et calendrier

Dates clés d'application, y compris le délai du 2 août 2026.

Amendes et pénalités

Niveaux de pénalité allant jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial.

Obligations de transparence (art. 13 et 50)

Devoirs de divulgation pour les systèmes d'IA et leurs sorties.

Gestion des risques et évaluation de la conformité

Construire un système de gestion des risques et évaluer la conformité.

Obligations GPAI

Règles pour les fournisseurs de modèles d'IA à usage général.

Loi européenne sur l'IA pour les entreprises américaines

Portée extraterritoriale et ce que les fournisseurs américains doivent faire.

Mise à jour omnibus

Les derniers changements apportés au calendrier et aux règles de la loi européenne sur l'IA.

Calculatrice de pénalité

Estimez votre amende maximale en vertu des niveaux de l'article 99.

Article 11 + Annexe IV

Quelle documentation technique l'Acte IA de l'UE exige.

Article 26 : Obligations des déploieurs

Ce que les déploieurs d'IA à haut risque doivent faire, y compris la conservation des journaux.

Article 17 : Gestion de la qualité

Le Système de gestion de la qualité (SGQ) que les fournisseurs d'IA à haut risque doivent documenter.

Article 10 : Gouvernance des données

Qualité des données, mitigation des biais et devoirs de gouvernance.

Article 4 : Littératie en IA

L'obligation de littératie en IA du personnel en vigueur depuis février 2025.

Déploieur vs Fournisseur

Qui assume quelle obligation — et quand un déploieur devient un fournisseur.

FRIA (Article 27)

Qui doit effectuer une évaluation d'impact sur les droits fondamentaux, et comment.

À qui s'applique-t-il ?

Champ d'application, opérateurs et portée extraterritoriale de l'Acte IA de l'UE.

ISO 42001 vs Acte IA de l'UE

Comment la norme volontaire et la loi contraignante s'harmonisent.

NIST AI RMF vs Acte IA de l'UE

Un guide pratique entre le cadre et la loi.

Acte IA de l'UE pour les soins de santé

IA médicale à haut risque, interaction avec les règlements MDR/IVDR et surveillance clinique.

Acte IA de l'UE pour les services financiers

Notation de crédit, tarification des assurances et réglementation financière existante.

Acte IA de l'UE pour les RH et l'emploi

Embauche d'IA à haut risque, ainsi que chevauchement avec la loi NYC LL144 et la commission EEOC.