Récital 65
Le système de gestion des risques devrait consister en un processus continu et itératif, planifié et mis en œuvre tout au long du cycle de vie d'un système d'IA à haut risque. Ce processus doit viser à identifier et à atténuer les risques pertinents des systèmes d'IA pour la santé, la sécurité et les droits fondamentaux. Le système de gestion des risques devrait être régulièrement réexaminé et mis à jour afin de garantir son efficacité permanente, ainsi que la justification et la documentation de toutes les décisions et actions importantes prises en vertu du présent règlement. Ce processus devrait garantir que le fournisseur identifie les risques ou les effets négatifs et met en œuvre des mesures d'atténuation des risques connus et raisonnablement prévisibles des systèmes d'IA pour la santé, la sécurité et les droits fondamentaux, compte tenu de leur finalité et de leur mauvaise utilisation raisonnablement prévisible, y compris les risques éventuels découlant de l'interaction entre le système d'IA et l'environnement dans lequel il fonctionne. Le système de gestion des risques doit adopter les mesures de gestion des risques les plus appropriées compte tenu de l'état de l'art en matière d'IA. Lors de l'identification des mesures de gestion des risques les plus appropriées, le fournisseur doit documenter et expliquer les choix effectués et, le cas échéant, faire appel à des experts et à des parties prenantes externes. Lors de l'identification du mauvais usage raisonnablement prévisible des systèmes d'IA à haut risque, le fournisseur devrait couvrir les utilisations des systèmes d'IA qui, bien qu'elles ne soient pas directement couvertes par l'objectif visé et prévues dans les instructions d'utilisation, peuvent néanmoins être raisonnablement attendues comme résultant d'un comportement humain facilement prévisible dans le contexte des caractéristiques et de l'utilisation spécifiques d'un système d'IA particulier. Toute circonstance connue ou prévisible liée à l'utilisation du système d'IA à haut risque conformément à sa destination ou dans des conditions de mauvaise utilisation raisonnablement prévisibles, qui peut entraîner des risques pour la santé et la sécurité ou les droits fondamentaux, devrait être incluse dans les instructions d'utilisation fournies par le fournisseur. Cela permet de s'assurer que le déployeur en est conscient et en tient compte lors de l'utilisation du système d'IA à haut risque. L'identification et la mise en œuvre de mesures d'atténuation des risques en cas d'utilisation abusive prévisible au titre du présent règlement ne devraient pas nécessiter de formation supplémentaire spécifique pour le système d'IA à haut risque de la part du fournisseur afin de remédier à l'utilisation abusive prévisible. Les fournisseurs sont toutefois encouragés à envisager de telles mesures de formation supplémentaires pour atténuer les abus prévisibles raisonnables, si nécessaire et approprié.