Quand nos clients nous ont demandé : “Comment mettre en place un système de surveillance post-commercialisation pour nos produits d’IA ?”, nous avons réalisé que peu de fournisseurs étaient préparés. Or, cette obligation du règlement européen sur l’intelligence artificielle (AI Act) est loin d’être anodine : elle structure tout le cycle de vie post-déploiement d’un système à haut risque.
Aujourd’hui, nous partageons ce que nous avons appris et comment nous avons outillé nos clients pour y répondre sereinement, dès maintenant.
Un nouveau chapitre pour les systèmes d’IA réglementés
Avec l’entrée en vigueur de l’AI Act, les exigences ne s’arrêtent pas à la mise sur le marché. Au contraire : elles s’intensifient. L’article 72 du règlement introduit une obligation méconnue mais centrale : la surveillance après commercialisation des systèmes d’intelligence artificielle à haut risque.
Ce suivi continu est une réponse directe à un enjeu critique : assurer que les IA restent sûres, éthiques et performantes même après leur déploiement. Et cela, nous devons tous l’anticiper dès aujourd’hui.
Qu’est-ce que la surveillance post-commercialisation dans l’AI Act ?
D’après l’article 72, les fournisseurs doivent mettre en place un système de surveillance IA après commercialisation, proportionné aux risques du système d’IA concerné. Ce système doit :
- Collecter et analyser activement les données d’usage
- Inclure les interactions avec d’autres systèmes d’IA (si pertinent)
- Fournir une évaluation continue de la conformité
- S’appuyer sur un plan de surveillance post-commercialisation (modèle attendu de la Commission européenne d’ici février 2026)
IA et Incidents graves : une obligation de transparence renforcée
L’article 73 de l’AI Act introduit une obligation claire : nous devons signaler tout incident grave aux autorités compétentes dans l’État membre concerné, dès que nous en avons connaissance.
Quels sont les délais de signalement ?
Les délais varient selon la gravité de l’incident :
- 15 jours maximum pour tout incident grave (et immédiatement si possible)
- 10 jours maximum (et immédiatement si possible) si l’incident a entraîné la mort d’une personne
- 2 jours maximum (et immédiatement si possible) s’il s’agit :
- d’une infraction de grande ampleur
- d’une perturbation grave et irréversible d’une infrastructure critique
Si un signalement complet n’est pas possible dans les temps, nous avons la possibilité de soumettre un premier rapport incomplet, suivi d’un complément.
Que se passe-t-il après le signalement ?
Une fois l’incident signalé, il est impératif de :
- lancer une enquête interne sans délai,
- évaluer les risques,
- proposer des mesures correctives adaptées.
Nous devons également coopérer pleinement avec les autorités nationales de surveillance du marché. Ces dernières sont tenues de :
- notifier immédiatement l’incident aux autorités ou organismes publics concernés,
- prendre des mesures concrètes dans les 7 jours suivant la réception du signalement.
La Commission européenne prévoit par ailleurs de publier des lignes directrices d’ici au 2 août 2025 pour aider les acteurs à se conformer à ces exigences. Une évaluation régulière de ce cadre sera également mise en place.
Et si nous sommes déjà soumis à d’autres réglementations ?
L’AI Act prend en compte les cas spécifiques :
Si nous sommes déjà soumis à des obligations de signalement équivalentes dans d’autres cadres réglementaires européens, ou si nos systèmes d’IA sont intégrés à des dispositifs couverts par d’autres règlements, des règles spécifiques s’appliquent pour éviter les doublons ou incohérences.
Ce niveau de rigueur transforme la gestion des risques IA en un processus structuré, transparent, et interopérable à l’échelle européenne. À lire : Systèmes d’IA interdits par l’AI Act
Pourquoi c’est un tournant pour la gouvernance de l’IA
La surveillance post-commercialisation n’est pas une simple formalité administrative. Elle représente un changement culturel majeur dans la façon dont nous déployons, surveillons et corrigeons nos systèmes d’IA. Elle permet notamment :
- Une amélioration continue des modèles à partir des usages réels
- Une réduction des risques légaux et éthiques
- Une meilleure gestion des dérives ou des biais en production
- Une capacité à réagir vite en cas d’incident
Ce n’est pas une contrainte réglementaire : c’est une opportunité d’aligner performance et responsabilité.
Ce que nous mettons en place avec Naaia
Chez Naaia, nous avons conçu notre plateforme pour transformer les exigences de l’AI Act en actions concrètes et documentées. Plutôt que de laisser nos clients seuls face à une réglementation complexe, nous leur fournissons des outils prêts à l’emploi, des modèles clairs et une interface collaborative pour piloter la conformité IA dans la durée.
1. Mettre en place un système de surveillance après commercialisation
Nous aidons les fournisseurs à établir un système structuré de surveillance post-commercialisation, tel que requis par l’article 72 de l’AI Act. Ce système permet :
- Une collecte systématique des données d’usage des IA déployées
- Une analyse active des performances et des éventuelles dérives
- Une traçabilité complète pour documenter toute évolution
- Une base solide pour évaluer la conformité continue du système
Action clé proposée : Établir et documenter un système de surveillance post-commercialisation
Template inclus : Un plan de surveillance post-commercialisation, opérationnel dès maintenant, en attendant le modèle officiel de la Commission (prévu en 2026)
2. Gérer le signalement des incidents graves
Conformément à l’article 73, nous proposons une méthodologie claire pour aider les fournisseurs (et les déployeurs, le cas échéant) à signaler tout incident grave dans les délais impartis :
- Centralisation des signalements à destination du Bureau de l’IA (peut-être utiliser « aux autorités compétentes » vu que AI office n’est pas cité dans l’Article 73)
- Historique documenté des incidents, mesures correctives et décisions
- Procédures claires pour initier une enquête interne après signalement
Actions pour les fournisseurs :
- Signaler les incidents graves aux autorités
- Communiquer les mesures correctives mises en place
- Mettre en place un système de suivi des incidents et de leurs traitements
Action pour les déployeurs :
- Signaler les incidents graves observés dans leur contexte d’usage
Template inclus :
→ Une procédure de gestion des incidents, modulaire et adaptée aux exigences du règlement
3. Piloter la vigilance IA avec notre Event Tracker
Notre module AI Vigilance – Event Tracker est conçu pour déclarer, tracer et superviser tous les événements critiques liés à la vie d’un système d’IA :
- Déclaration d’incidents graves
- Détection de modifications substantielles
- Signalement de risques :
- Atteinte à la santé des personnes
- Atteinte à la sécurité
- Atteinte aux droits fondamentaux
- Discrimination interdite (je propose de séparer avec droits fondamentaux, vu que c’est séparé dans notre plateforme)
Chaque événement peut être lié à des alertes, à des actions de suspension ou retrait, ou encore à des décisions de gouvernance internes.
Notre objectif : permettre aux parties prenantes internes et externes de rester informées et alignées, en assurant une supervision claire et continue des produits d’IA.
Anticiper plutôt que subir
Le post-market monitoring est une pièce maîtresse de la gouvernance IA en Europe. Il ne s’agit pas d’un détail réglementaire, mais d’un mécanisme de confiance à long terme.
Chez Naaia, nous aidons les équipes IA à transformer cette contrainte en levier de performance pour plus de rigueur, diminuer les risques et surtout une meilleure maîtrise de vos systèmes en production.
Prêts à piloter la conformité de vos IA à haut risque ?
Nous avons déjà accompagné des acteurs dans la mise en place de leur système de surveillance post-commercialisation.
Contactez-nous pour découvrir comment Naaia peut vous aider à anticiper les obligations de l’AI Act — simplement, dès aujourd’hui. → Parler à un expert Naaia.