Lifecycle stage — Govern
Le Règlement IA UE est applicable, et les pénalités ne sont pas symboliques. Le déploiement d'un système IA interdit peut entraîner des amendes jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial annuel. Pour les opérateurs industriels, les OEM automobiles, les développeurs de systèmes autonomes et les utilities énergie, les enjeux sont particulièrement aigus : l'Annexe III cite explicitement les composants de sécurité dans les machines, le transport et les infrastructures critiques — et le dossier technique requis pour un déploiement physique est substantiellement plus exigeant que la documentation requise pour une application logicielle. Je suis Ambassadeur IA du Gouvernement Français pour la Transformation Numérique Finance & Entreprise — j'ai passé des années du côté politique de ce règlement, en lisant le texte avec les personnes qui ont façonné sa mise en œuvre.
Vous ne savez pas lesquels de vos systèmes sont à haut risque sous l'Annexe III — et pour les déploiements physiques, la classification est plus susceptible d'être à haut risque que vous ne l'attendez. Les catégories Annexe III pertinentes pour l'IA physique comprennent : les composants de sécurité dans les machines (robots, véhicules guidés autonomes), l'IA dans le transport (ADAS, véhicules autonomes, UAS), les composants de sécurité des infrastructures critiques (énergie, eau, gaz) et l'IA liée à l'emploi.
La documentation technique Annexe IV pour un déploiement physique est substantiellement plus difficile que pour une application logicielle. Pour un système IA physique, elle exige également l'architecture d'intégration avec le système physique, la spécification de l'enveloppe de sûreté, l'analyse de danger, la documentation des modes de défaillance, les résultats de tests de violation d'enveloppe et les enregistrements de gestion des versions matériel et firmware.
L'évaluation de conformité pour un système IA physique à haut risque implique un organisme notifié et prend des mois. Les équipes la planifient comme un exercice administratif. En pratique, la première soumission formelle à un organisme notifié déclenche un cycle de clarification qui dure des mois.
La surveillance post-commercialisation pour l'IA déployée physiquement est opérationnellement complexe. Pour l'IA déployée physiquement, elle nécessite une architecture de collecte de données terrain depuis le matériel déployé, une gestion des mises à jour OTA et du suivi de version, des délais stricts de notification réglementaire.
Le périmètre de l'engagement dépend de la taille de votre empreinte IA et du nombre de systèmes à haut risque concernés. Douze semaines couvrent un seul système à haut risque ; vingt-quatre semaines couvrent un portfolio de trois à cinq systèmes avec une infrastructure de gouvernance partagée.
Nous construisons un inventaire écrit de chaque système IA dans votre organisation avec chaque classification contre les catégories de risque du Règlement IA. Pour les déploiements physiques, cela inclut une analyse explicite contre les catégories Annexe III : composants de sécurité dans les machines (ISO 10218, Directive Machines), IA dans le transport (UNECE R155/R156, homologation de type), IA pour infrastructures critiques (IEC 62443, NIS2).
Pour chaque système à haut risque, nous construisons les artefacts de conformité en parallèle. Pour les systèmes IA physiques, cela inclut l'architecture d'intégration avec le système physique, la spécification de l'enveloppe de sûreté, l'analyse de danger, le document de couverture des modes de défaillance, les résultats de tests de violation d'enveloppe et les enregistrements de gestion des versions matériel et firmware.
Nous mettons en place le programme de surveillance post-commercialisation adapté aux déploiements physiques : le plan écrit, l'architecture de collecte de données terrain depuis le matériel déployé, la gestion des mises à jour OTA et le suivi de version, les critères de classification des incidents pour les incidents terrain impliquant une interaction avec un système physique.
Nous construisons l'infrastructure de gouvernance pour le long terme — la charte du comité de gouvernance IA, le processus d'admission pour les nouveaux systèmes IA (avec un fast-path de classification pour les déploiements physiques), le cycle de revue récurrent.
Industriels déployant des composants de sécurité IA dans des machines ou des véhicules guidés autonomes sous Annexe III point 2. OEM automobiles et équipementiers avec des stacks ADAS ou AD sous homologation de type et UNECE R155/R156. Développeurs de systèmes autonomes (UAS, robotique) dont les produits sont des composants de sécurité sous le Règlement Machines ou la réglementation sectorielle pertinente. Utilities énergie déployant l'IA dans des composants de sécurité d'infrastructure critique sous IEC 62443 et NIS2.
Votre cabinet d'avocats vous dit ce que le règlement exige ; je construis le programme qui le met en œuvre. Pour les déploiements IA physiques, cet écart est énorme : le cabinet ne peut pas écrire votre documentation technique Annexe IV pour un composant de sécurité robotique, concevoir vos contrôles humain-dans-la-boucle pour une flotte AGV, ou mettre en place votre architecture de surveillance post-commercialisation pour un programme véhicule.
Pas automatiquement, mais plus souvent que les équipes logicielles ne s'y attendent. La classification dépend du cas d'usage. Je ne confonds pas les normes cyber (UNECE R155/R156, qui régissent la cybersécurité pour l'homologation de type) avec les normes de sécurité fonctionnelle (ISO 26262/IEC 61508, qui régissent les niveaux d'intégrité de sécurité pour les fonctions à sécurité critique) — elles s'appliquent à des domaines de défaillance différents.
Le calendrier d'application échelonné est législatif. Les interdictions sont applicables depuis février 2025, les règles IA à usage général depuis août 2025, et les obligations à haut risque arrivent en août 2026. Pour les systèmes IA physiques qui nécessitent une revue d'organisme notifié, commencer maintenant la documentation d'évaluation de conformité n'est pas optionnel.
Ces normes sont complémentaires, pas concurrentes. La documentation technique Annexe IV du Règlement IA UE pour un système IA physique s'appuie sur et référence les preuves produites pour ces normes — l'analyse de danger, la FMEA, le dossier de sûreté — mais ajoute des exigences spécifiques à l'IA. Mener ces programmes en parallèle plutôt qu'en séquence est le seul moyen de respecter l'échéance 2026 sans dupliquer les preuves.
Découvrez d'autres services qui complètent cette offre
30 minutes. Je diagnostique votre situation, je vous dis honnêtement si ce service convient — et sinon, lequel conviendrait.