📍82 Boulevard Haussmann, 75008 Paris

Demandez votre démo

Article 21 IA ACT - Coopération avec les autorités compétentes

Table des matières

Explication de l’article

L’article 21 de l’IA Act impose aux fournisseurs de systèmes d’IA à haut risque une obligation claire de coopération avec les autorités compétentes.

Cette coopération permet aux autorités de :

  • vérifier que le système d’IA respecte bien les exigences de l’AI Act (robustesse, sécurité, supervision humaine, traçabilité, transparence),
  • accéder aux informations techniques et aux journaux (logs) pour comprendre et évaluer le fonctionnement du système,
  • s’assurer que les utilisateurs finaux et les tiers ne sont pas exposés à des risques non détectés.

L’article précise également que les informations transmises doivent :

  • être fournies dans une langue compréhensible pour l’autorité,
  • être traitées de manière confidentielle, conformément à l’article 78, pour protéger les secrets commerciaux et les données sensibles.

En pratique, cet article traduit le principe fondamental de responsabilité et de transparence : un fournisseur ne peut pas se soustraire à un contrôle réglementaire et doit fournir toutes les informations nécessaires pour démontrer la conformité.

Notions clés à comprendre

Fournisseur de systèmes d’IA à haut risque : développeur ou entité qui met sur le marché un système d’IA présentant un risque élevé pour les droits fondamentaux.

Autorité compétente : organisme national ou européen chargé de vérifier la conformité d’un système d’IA.

Coopération motivée : réponse aux demandes explicites et justifiées des autorités pour fournir informations et accès.

Journaux (logs) : enregistrements automatiques du fonctionnement du système (décisions, paramètres, actions), essentiels pour la traçabilité.

Confidentialité (art. 78) : les informations transmises ne peuvent être utilisées à d’autres fins et doivent être protégées contre la divulgation non autorisée.

Exemple pratique

Une entreprise développe un système d’IA pour préparer et prioriser les dossiers de patients dans un hôpital. Ce système est classé à haut risque car il affecte la santé et les droits des patients.

Demande de l’autorité compétente :

  • L’autorité nationale de contrôle de la santé (équivalent CNIL ou ministère) demande la documentation technique complète et les logs générés par le système.

Coopération du fournisseur :

  • Fournit la documentation expliquant le fonctionnement de l’IA, la gestion des biais, la supervision humaine, la sécurité et la robustesse.
  • Donne accès aux journaux de décisions du système (par exemple : les priorisations des patients, les alertes générées par l’IA).
  • Tout est fourni dans une langue officielle de l’UE et dans un format compréhensible pour les auditeurs.

Confidentialité et sécurité :

  • L’autorité ne peut utiliser ces informations que pour le contrôle de conformité.
  • Les données sensibles sur les patients restent protégées et anonymisées si nécessaire.

Grâce à cette coopération, l’autorité peut vérifier que le système est conforme, détecter tout risque et recommander des actions correctives si besoin. 

Vous ne savez pas comment collaborer efficacement avec les autorités de contrôle ?
L’article 21 impose aux fournisseurs de coopérer avec les autorités en fournissant informations, documents et accès nécessaires, tout en respectant la confidentialité.
Échanger avec un expert

Texte original de l’IA Act

Article 21 – Coopération avec les autorités compétentes

1.   À la demande motivée d’une autorité compétente, les fournisseurs de systèmes d’IA à haut risque fournissent à ladite autorité toutes les informations et tous les documents nécessaires pour démontrer la conformité du système d’IA à haut risque avec les exigences énoncées à la section 2, dans une langue aisément compréhensible par l’autorité dans l’une des langues officielles des institutions de l’Union, telle qu’indiquée par l’État membre concerné.

2.   À la demande motivée d’une autorité compétente, les fournisseurs accordent également à l’autorité compétente à l’origine de la demande, le cas échéant, l’accès aux journaux générés automatiquement par le système d’IA à haut risque visés à l’article 12, paragraphe 1, dans la mesure où ces journaux sont sous leur contrôle.

3.   Les informations obtenues par une autorité compétente en application du présent article sont traitées conformément aux obligations de confidentialité énoncées à l’article 78.

Perspective avec d’autres textes

Perspectives européennes

Règlement (UE) 2019/1020 – Surveillance du marché : les opérateurs doivent coopérer avec les autorités pour prouver la conformité des produits.

Directive 2001/95/CE – Sécurité générale des produits : obligation de fournir informations et documentation aux autorités compétentes.

RGPD – Article 24 et 32 : obligation de coopérer avec la CNIL pour démontrer la conformité des traitements de données personnelles.

IA Act – Articles 25 à 30 : les articles sur la chaîne de valeur et les organismes notifiés complètent l’obligation de coopération.

Perspectives française

Code de la consommation – Article L.221‑1 et suivants : obligation de sécurité et coopération en cas de contrôle par la DGCCRF.

CNIL – Guide IA et RGPD : insiste sur la coopération des responsables de traitement pour prouver la conformité et fournir les logs si nécessaire.

Code civil – Responsabilité civile : coopération et transparence comme preuve de diligence et de bonne foi.

Lignes directrices et recommandations

Avis CEPD sur l’IA et la supervision humaine : importance de fournir toutes les informations pertinentes aux autorités.

OCDE – Principes pour l’IA responsable : coopération transparente et traçabilité des systèmes d’IA.

Guidelines Commission européenne sur la surveillance du marché : bonnes pratiques pour la fourniture d’informations et la collaboration avec les autorités.

La coopération avec les autorités peut sembler complexe. L’équipe de DPO externe de Mon Expert RGPD vous accompagne.

← Article précédent - Article 20 : La coopération avec les autorités peut sembler complexe.
Article suivant – Article 22 : Mandataires des fournisseurs →

Menu IA Act

Newsletter S'inscrire

Recevez nos derniers articles et actualités directement dans votre boîte de réception !

Votre e-mail est en sécurité 🔒. En entrant votre e-mail, vous acceptez de recevoir nos newsletter et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.