📍82 Boulevard Haussmann, 75008 Paris

Demandez votre démo

Article 42 IA ACT : Présomption de conformité avec certaines exigences

Table des matières

Explication de l’article

L’article 42 du Règlement européen sur l’intelligence artificielle instaure un mécanisme de présomption de conformité pour les systèmes d’IA à haut risque.

Cela signifie que :

Lorsqu’un système d’IA à haut risque est :

    • formé sur des données adaptées à son contexte d’utilisation, ou

    • certifié dans le cadre d’un schéma européen de cybersécurité,

alors il est présumé respecter certaines exigences du règlement, notamment en matière de :

  • cybersécurité,

  • sécurité,

  • robustesse technique,

  • gestion des risques liés au contexte d’usage.

Concrètement, la présomption de conformité facilite la démonstration du respect des obligations réglementaires.
Elle n’exonère pas totalement de responsabilité, mais elle allège la charge de la preuve pour le fournisseur.

Notions clés à comprendre

Système d’IA à haut risque : Un système classé comme “haut risque” au sens des articles 6 et de l’annexe III du AI Act.
Il s’agit notamment des IA utilisées dans :

  • la santé,

  • le recrutement,

  • l’éducation,

  • les infrastructures critiques,

  • l’accès aux services essentiels.

Ces systèmes sont soumis à des exigences strictes (gestion des risques, qualité des données, documentation technique, supervision humaine, cybersécurité, etc.).

Présomption de conformité : Mécanisme juridique selon lequel un produit ou système est considéré conforme aux exigences légales s’il respecte certaines normes ou certifications reconnues.

Ce mécanisme est classique en droit européen (ex. marquage CE).

Données adaptées au contexte :  Il s’agit de données :

  • pertinentes par rapport à l’objectif du système,

  • représentatives du contexte réel d’utilisation,

  • suffisamment diversifiées,

  • exemptes de biais significatifs.

Cette exigence renvoie aux obligations de qualité des données prévues à l’article 10 du AI Act.

Schémas européens de cybersécurité

L’article 42 fait référence aux mécanismes de certification prévus par le Cybersecurity Act.

Ce règlement établit des schémas européens de certification de cybersécurité garantissant :

  • la robustesse technique,

  • la résilience face aux cyberattaques,

  • la protection des données.

Exemple pratique

Une startup développe un système d’IA destiné à aider au diagnostic de cancers pulmonaires à partir d’imageries médicales.

Ce système est classé IA à haut risque (secteur santé).

Pour bénéficier de la présomption de conformité :

  1. Le modèle est entraîné sur :

    • des bases de données hospitalières européennes,

    • des images représentatives de différentes populations,

    • des données validées cliniquement.

  2. Le système obtient une certification européenne de cybersécurité attestant :

    • protection contre les intrusions,

    • sécurité des données de santé,

    • résilience face aux cyberattaques.

Résultat :
Lors de l’évaluation de conformité, les autorités considéreront que certaines exigences (notamment en cybersécurité et robustesse) sont présumées respectées, sauf preuve contraire.

Votre système d’IA bénéficie-t-il réellement d’une présomption de conformité en matière de cybersécurité ?
L'article 42 indique que certains systèmes certifiés ou entraînés dans un contexte adapté peuvent être présumés conformes à des exigences spécifiques, notamment en cybersécurité.
Vérifier ma conformité IA en cybersécurité

Texte original de l’IA Act

Article 42 – Présomption de conformité avec certaines exigences

1.   Les systèmes d’IA à haut risque qui ont été entraînés et testés avec des données tenant compte du cadre géographique, comportemental, contextuel ou fonctionnel spécifique dans lequel ils sont destinés à être utilisés sont présumés conformes aux exigences pertinentes établies à l’article 10, paragraphe 4.

2.   Les systèmes d’IA à haut risque qui ont été certifiés ou pour lesquels une déclaration de conformité a été délivrée dans le cadre d’un schéma de cybersécurité conformément au règlement (UE) 2019/881 et dont les références ont été publiées au Journal officiel de l’Union européenne sont présumés conformes aux exigences de cybersécurité énoncées à l’article 15 du présent règlement, dans la mesure où ces dernières sont couvertes par tout ou partie du certificat de cybersécurité ou de la déclaration de conformité.

L’IA ACT peut sembler complexe. L’équipe de DPO externe de Mon Expert RGPD vous accompagne  pour vérifier et documenter cette présomption.

← Article précédent - Article 41 : Spécifications communes
Article suivant – Article 43 : Évaluation de la conformité →

Menu IA Act

Besoin d’aide pour cet article ?

Comprendre les obligations liées à cet article et éviter les erreurs.

Échanger avec un expert

🔓 Échange confidentiel – Sans engagement

Newsletter S'inscrire

Recevez nos derniers articles et actualités directement dans votre boîte de réception !

Votre e-mail est en sécurité 🔒. En entrant votre e-mail, vous acceptez de recevoir nos newsletter et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.