1. Les fournisseurs de systèmes d'IA à haut risque mettent en place un système de gestion de la qualité qui garantit le respect du présent règlement. Ce système est documenté de manière systématique et ordonnée sous la forme de politiques, de procédures et d'instructions écrites et comprend au moins les aspects suivants :
(a) une stratégie de conformité réglementaire, y compris le respect des procédures d'évaluation de la conformité et des procédures de gestion des modifications apportées au système d'IA à haut risque ;
(b) les techniques, procédures et actions systématiques à utiliser pour la conception, le contrôle et la vérification de la conception du système d'IA à haut risque ;
(c) les techniques, procédures et actions systématiques à utiliser pour l'élaboration, le contrôle et l'assurance de la qualité du système d'IA à haut risque ;
(d) les procédures d'examen, d'essai et de validation à mettre en œuvre avant, pendant et après la mise au point du système d'IA à haut risque, ainsi que la fréquence à laquelle elles doivent être exécutées ;
(e) les spécifications techniques, y compris les normes, à appliquer et, lorsque les normes harmonisées pertinentes ne sont pas appliquées intégralement ou ne couvrent pas toutes les exigences pertinentes énoncées à la section 2, les moyens à utiliser pour garantir que le système d'IA à haut risque est conforme à ces exigences ;
(f) les systèmes et procédures de gestion des données, y compris l'acquisition, la collecte, l'analyse, l'étiquetage, le stockage, le filtrage, l'exploration, l'agrégation et la conservation des données, ainsi que toute autre opération concernant les données effectuée avant et aux fins de la mise sur le marché ou de la mise en service de systèmes d'IA à haut risque ;
(g) le système de gestion des risques visé à l'article 9;
(h) l'établissement, la mise en œuvre et la maintenance d'un système de surveillance consécutive à la mise sur le marché, conformément à l'article 72;
(i) les procédures relatives à la notification d'un incident grave conformément à l'article 73;
(j) la gestion de la communication avec les autorités nationales compétentes, les autres autorités concernées, y compris celles qui fournissent ou soutiennent l'accès aux données, les organismes notifiés, les autres opérateurs, les clients ou les autres parties intéressées ;
(k) des systèmes et des procédures d'archivage de tous les documents et informations pertinents ;
(l) la gestion des ressources, y compris les mesures liées à la sécurité de l'approvisionnement ;
(m) un cadre de responsabilisation définissant les responsabilités de la direction et des autres membres du personnel en ce qui concerne tous les aspects énumérés dans le présent paragraphe.
2. La mise en œuvre des aspects visés au paragraphe 1 est proportionnée à la taille de l'organisation du prestataire. En tout état de cause, les prestataires respectent le degré de rigueur et le niveau de protection requis pour garantir la conformité de leurs systèmes d'IA à haut risque avec le présent règlement.
3. Les fournisseurs de systèmes d'IA à haut risque qui sont soumis à des obligations en matière de systèmes de gestion de la qualité ou à une fonction équivalente en vertu du droit sectoriel pertinent de l'Union peuvent inclure les aspects énumérés au paragraphe 1 dans les systèmes de gestion de la qualité conformément à ce droit.
4. Pour les prestataires qui sont des établissements financiers soumis à des exigences concernant leur gouvernance interne, leurs dispositifs ou leurs processus en vertu de la législation de l'Union sur les services financiers, l'obligation de mettre en place un système de gestion de la qualité, à l'exception du paragraphe 1, points g), h) et i), du présent article, est réputée satisfaite par le respect des règles relatives aux dispositifs ou aux processus de gouvernance interne en vertu de la législation de l'Union sur les services financiers concernée. À cette fin, toute norme harmonisée visée à l'article 40 est prise en compte.