📍82 Boulevard Haussmann, 75008 Paris

Demandez votre démo

Article 73 – Signalement des incidents graves

Table des matières

Explication de l’article

L’article 73 impose aux fournisseurs de systèmes d’IA à haut risque une obligation de notification proactive auprès des autorités nationales de surveillance du marché (market surveillance authorities – MSA) dès qu’un incident grave est identifié.

Le mécanisme repose sur trois piliers :

Le déclencheur : la notification intervient dès qu’un lien de causalité (plausible causal link) est établi — ou raisonnablement suspecté — entre le système d’IA et l’incident. Il n’est pas nécessaire d’attendre une certitude absolue.

Les délais : l’article distingue plusieurs niveaux d’urgence. Pour un incident entraînant un décès, la notification doit intervenir dans les 24 heures. Pour tout autre incident grave, le délai est de 72 heures. Des informations complémentaires peuvent être transmises ultérieurement au fur et à mesure de l’enquête interne.

Les destinataires : la notification est adressée aux MSA des États membres sur le territoire desquels l’incident s’est produit ou dont les utilisateurs sont affectés.

L’article 73 impose aux fournisseurs de systèmes d’IA à haut risque une obligation de notification proactive auprès des autorités nationales de surveillance du marché (market surveillance authorities – MSA) dès qu’un incident grave est identifié.

Le mécanisme repose sur trois piliers :

Le déclencheur : la notification intervient dès qu’un lien de causalité (plausible causal link) est établi — ou raisonnablement suspecté — entre le système d’IA et l’incident. Il n’est pas nécessaire d’attendre une certitude absolue.

Les délais : l’article distingue plusieurs niveaux d’urgence. Pour un incident entraînant un décès, la notification doit intervenir dans les 24 heures. Pour tout autre incident grave, le délai est de 72 heures. Des informations complémentaires peuvent être transmises ultérieurement au fur et à mesure de l’enquête interne.

Les destinataires : la notification est adressée aux MSA des États membres sur le territoire desquels l’incident s’est produit ou dont les utilisateurs sont affectés.

Notions clés à comprendre

Incident grave (serious incident) — défini à l’article 3(49) de l’IA Act : tout incident ou dysfonctionnement d’un système d’IA à haut risque qui entraîne directement ou indirectement la mort d’une personne, un dommage grave à la santé, une atteinte grave aux droits fondamentaux, ou des dommages graves aux biens ou à l’environnement dans le contexte de certains systèmes (ex. : infrastructures critiques).

Fournisseur (provider) : l’entité qui développe ou fait développer le système d’IA et le met sur le marché sous son propre nom. C’est lui qui porte l’obligation principale — et non le déployeur (deployer), même si ce dernier peut avoir un rôle d’information en amont.

Lien de causalité plausible : notion intentionnellement souple. Elle évite le blocage de la notification dans l’attente d’une expertise technique complète. Une suspicion raisonnée suffit à déclencher l’obligation.

MSA (Market Surveillance Authority) : autorité désignée par chaque État membre pour contrôler la conformité des systèmes d’IA sur son territoire. En France, ce rôle devrait être assuré conjointement par la CNIL (pour les dimensions données personnelles) et d’autres autorités sectorielles selon le domaine (ex. : HAS pour la santé, ACPR pour la finance).

Exemple pratique

Contexte : Une entreprise française commercialise un système d’IA de diagnostic médical assisté (classé à haut risque – Annexe III, point 5.a). Ce système est déployé dans plusieurs hôpitaux en France et en Belgique.

Un patient décède à Lyon après qu’une tumeur n’a pas été détectée par le système d’IA, alors qu’un radiologue humain aurait selon les experts probablement identifié l’anomalie.

Ce que doit faire le fournisseur :

– Dès que son équipe technique identifie un lien plausible entre la défaillance du système et le décès : notification dans les 24 heures à la MSA française (et à la MSA belge si des patients belges utilisent le même système dans la même version).

– La notification initiale peut être partielle : identité du fournisseur, description du système, nature de l’incident, mesures conservatoires prises (ex. : suspension du système).

– Une notification complémentaire est transmise sous 15 jours avec les résultats de l’investigation interne.

– Si une mise à jour corrective est déployée, elle doit elle-même respecter les procédures de conformité (potentiellement re-évaluation de conformité).

Erreur fréquente à éviter : attendre les conclusions du service juridique ou d’un audit interne avant de notifier. L’article 73 exige une notification immédiate après identification du lien plausible ; le droit au silence ou à la prudence ne prime pas ici.

Vous avez un incident grave avec un système d'IA ?
Entre la qualification du lien de causalité, l'ouverture de l'enquête et le respect de vos obligations de signalement, la réactivité est votre meilleure défense juridique.
Anticiper mes obligations réglementaires

Texte original de l’IA Act

 Article 73 : Notification des incidents graves
  1. Les fournisseurs de systèmes d’IA à haut risque mis sur le marché de l’Union signalent tout incident grave aux autorités de surveillance du marché des États membres où cet incident s’est produit.
  2. Le rapport visé au paragraphe 1 est établi immédiatement après que le fournisseur a établi un lien de causalité entre le système d’IA et l’incident grave ou la probabilité raisonnable d’un tel lien, et, en tout état de cause, au plus tard quinze jours après que le fournisseur ou, le cas échéant, le déployeur, a eu connaissance de l’incident grave. Le délai de notification visé au premier alinéa tient compte de la gravité de l’incident grave.
  3. Nonobstant le paragraphe 2 du présent article, en cas de violation généralisée ou d’incident grave tel que défini à l ‘article 3, point 49 b), le rapport visé au paragraphe 1 du présent article est fourni immédiatement, et au plus tard deux jours après que le fournisseur ou, le cas échéant, le déployeur a eu connaissance de cet incident.
  4. Nonobstant le paragraphe 2, en cas de décès d’une personne, le rapport est fourni immédiatement après que le fournisseur ou le déployeur a établi, ou dès qu’il soupçonne, une relation de cause à effet entre le système d’IA à haut risque et l’incident grave, mais au plus tard dix jours après la date à laquelle le fournisseur ou, le cas échéant, le déployeur a eu connaissance de l’incident grave.
  5. Si cela s’avère nécessaire pour garantir le respect des délais, le fournisseur ou, le cas échéant, le déployeur, peut soumettre un rapport initial incomplet, suivi d’un rapport complet.
  6. À la suite de la notification d’un incident grave conformément au paragraphe 1, le fournisseur effectue sans délai les enquêtes nécessaires concernant l’incident grave et le système d’IA concerné. Il procède notamment à une évaluation des risques liés à l’incident et prend des mesures correctives. Le fournisseur coopère avec les autorités compétentes et, le cas échéant, avec l’organisme notifié concerné, au cours des enquêtes visées au premier alinéa, et ne procède à aucune enquête impliquant une modification du système d’IA concerné susceptible d’affecter toute évaluation ultérieure des causes de l’incident, avant d’avoir informé les autorités compétentes de cette action.
  7. Dès réception d’une notification relative à un incident grave visé à l’article 3, point 49 c), l’autorité de surveillance du marché concernée informe les autorités ou organismes publics nationaux visés à l’article 77, paragraphe 1. La Commission élabore des orientations spécifiques pour faciliter le respect des obligations énoncées au paragraphe 1 du présent article. Ces orientations sont publiées au plus tard le 2 août 2025 et font l’objet d’une évaluation régulière.
  8. L’autorité de surveillance du marché prend les mesures appropriées, conformément à l’article 19 du règlement (UE) 2019/1020, dans un délai de sept jours à compter de la date de réception de la notification visée au paragraphe 1 du présent article, et suit les procédures de notification prévues par ledit règlement.
  9. Pour les systèmes d’IA à haut risque visés à l’annexe III qui sont mis sur le marché ou mis en service par des fournisseurs soumis à des instruments législatifs de l’Union prévoyant des obligations de notification équivalentes à celles énoncées dans le présent règlement, la notification des incidents graves est limitée à ceux visés à l’article 3, point 49) c).
  10. Pour les systèmes IA à haut risque qui sont des composants de sécurité de dispositifs, ou qui sont eux-mêmes des dispositifs, couverts par les règlements (UE) 2017/745 et (UE) 2017/746, la notification des incidents graves est limitée à ceux visés à l’article 3, point (49) c), du présent règlement, et est faite à l’autorité nationale compétente choisie à cette fin par les États membres où l’incident s’est produit.
  11. Les autorités nationales compétentes notifient immédiatement à la Commission tout incident grave, qu’elles y aient ou non donné suite, conformément à l’article 20 du règlement (UE) 2019/1020.

Perspectives avec d’autres textes

Article 33 du RGPD 

La convergence est ici la plus immédiate. Le RGPD impose déjà une notification sous 72 heures à l’autorité de contrôle en cas de violation de données personnelles. Lorsqu’un incident grave au sens de l’IA Act implique simultanément des données personnelles, les deux obligations se cumulent avec des destinataires distincts : la MSA pour l’IA Act, la CNIL pour le RGPD. Les délais et les formulaires sont différents ; une procédure interne unifiée est indispensable pour ne pas manquer l’un ou l’autre.

Article 32 du RGPD

Un incident grave peut révéler une défaillance des mesures de sécurité techniques et organisationnelles. La responsabilité est alors croisée entre le DPO et l’équipe conformité IA, ce qui impose une gouvernance interne clairement définie en amont.

Directive NIS 2 (2022/2555)

Pour les systèmes d’IA intégrés dans des infrastructures critiques, NIS 2 impose ses propres obligations de notification d’incidents de sécurité. Un triple cumul est possible : IA Act, RGPD et NIS 2. Chaque régime a ses propres délais et ses propres autorités compétentes.

Règlement sur les dispositifs médicaux (2017/745)

Pour les systèmes d’IA qualifiés de dispositifs médicaux, l’article 87 du MDR impose déjà une vigilance post-marché avec des obligations de signalement. L’article 73 de l’IA Act s’y superpose sans se substituer, créant un double régime de signalement que la Commission devrait clarifier à terme.

L’IA ACT peut sembler complexe. L’équipe de DPO externe de Mon Expert RGPD vous accompagne  pour notifier vos incidents graves.

← Article précédent - 72 IA ACT : Surveillance après commercialisation
Article suivant – Article 74 IA Act : Surveillance de marché

Menu IA Act

Besoin d’aide pour cet article ?

Comprendre les obligations liées à cet article et éviter les erreurs.

Échanger avec un expert

🔓 Échange confidentiel – Sans engagement

Newsletter S'inscrire

Recevez nos derniers articles et actualités directement dans votre boîte de réception !

Votre e-mail est en sécurité 🔒. En entrant votre e-mail, vous acceptez de recevoir nos newsletter et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.