Article 77 – Protection des droits fondamentaux
Table des matières
Explication de l’article
L’article 73 impose aux fournisseurs de systèmes d’IA à haut risque une obligation de notification proactive auprès des autorités nationales de surveillance du marché (market surveillance authorities – MSA) dès qu’un incident grave est identifié.
Le mécanisme repose sur trois piliers :
Le déclencheur : la notification intervient dès qu’un lien de causalité (plausible causal link) est établi — ou raisonnablement suspecté — entre le système d’IA et l’incident. Il n’est pas nécessaire d’attendre une certitude absolue.
Les délais : l’article distingue plusieurs niveaux d’urgence. Pour un incident entraînant un décès, la notification doit intervenir dans les 24 heures. Pour tout autre incident grave, le délai est de 72 heures. Des informations complémentaires peuvent être transmises ultérieurement au fur et à mesure de l’enquête interne.
Les destinataires : la notification est adressée aux MSA des États membres sur le territoire desquels l’incident s’est produit ou dont les utilisateurs sont affectés.
L’article 73 impose aux fournisseurs de systèmes d’IA à haut risque une obligation de notification proactive auprès des autorités nationales de surveillance du marché (market surveillance authorities – MSA) dès qu’un incident grave est identifié.
Le mécanisme repose sur trois piliers :
Le déclencheur : la notification intervient dès qu’un lien de causalité (plausible causal link) est établi — ou raisonnablement suspecté — entre le système d’IA et l’incident. Il n’est pas nécessaire d’attendre une certitude absolue.
Les délais : l’article distingue plusieurs niveaux d’urgence. Pour un incident entraînant un décès, la notification doit intervenir dans les 24 heures. Pour tout autre incident grave, le délai est de 72 heures. Des informations complémentaires peuvent être transmises ultérieurement au fur et à mesure de l’enquête interne.
Les destinataires : la notification est adressée aux MSA des États membres sur le territoire desquels l’incident s’est produit ou dont les utilisateurs sont affectés.
Notions clés à comprendre
Incident grave (serious incident) — défini à l’article 3(49) de l’IA Act : tout incident ou dysfonctionnement d’un système d’IA à haut risque qui entraîne directement ou indirectement la mort d’une personne, un dommage grave à la santé, une atteinte grave aux droits fondamentaux, ou des dommages graves aux biens ou à l’environnement dans le contexte de certains systèmes (ex. : infrastructures critiques).
Fournisseur (provider) : l’entité qui développe ou fait développer le système d’IA et le met sur le marché sous son propre nom. C’est lui qui porte l’obligation principale — et non le déployeur (deployer), même si ce dernier peut avoir un rôle d’information en amont.
Lien de causalité plausible : notion intentionnellement souple. Elle évite le blocage de la notification dans l’attente d’une expertise technique complète. Une suspicion raisonnée suffit à déclencher l’obligation.
MSA (Market Surveillance Authority) : autorité désignée par chaque État membre pour contrôler la conformité des systèmes d’IA sur son territoire. En France, ce rôle devrait être assuré conjointement par la CNIL (pour les dimensions données personnelles) et d’autres autorités sectorielles selon le domaine (ex. : HAS pour la santé, ACPR pour la finance).
Exemple Pratique
Contexte : Une préfecture française déploie un système d’IA à haut risque (Annexe III, point 6) pour prioriser l’instruction des demandes de titre de séjour. Le système analyse des dossiers numérisés et attribue un score de priorité influençant l’ordre de traitement et, indirectement, les délais d’obtention des titres.
Déclenchement de l’investigation :
Une association de défense des droits des étrangers publie une étude statistique montrant que les demandes émanant de ressortissants de certaines nationalités sont systématiquement reléguées en bas de la file d’attente, entraînant des délais deux à trois fois supérieurs à la moyenne. Elle saisit le Défenseur des droits (autorité de protection des droits fondamentaux compétente en matière de discrimination).
Exercice des pouvoirs de l’article 77 :
Étape 1 – Accès à la documentation
Le Défenseur des droits demande au ministère de l’Intérieur (déployeur) et au fournisseur du système l’accès à la documentation technique complète : architecture du modèle, variables utilisées pour le scoring, données d’entraînement, résultats des tests de non-discrimination conduits préalablement au déploiement, FRIA réalisée au titre de l’article 27.
Étape 2 – Analyse de la FRIA
La FRIA révèle que le fournisseur a identifié un risque de proxy discriminatoire lié à la variable pays de naissance du demandeur, mais a conclu que ce risque était acceptable au regard des objectifs opérationnels. Le Défenseur des droits conteste cette appréciation ; la variable pays de naissanc constitue un proxy indirect de la nationalité, critère protégé au titre du droit à la non-discrimination.
Étape 3 -Demande de tests spécifiques
Le Défenseur des droits demande qu’un audit algorithmique soit conduit par un tiers indépendant, portant spécifiquement sur les effets disparates du système selon la nationalité, l’origine ethnique apparente et le genre. Il coordonne cette demande avec la MSA compétente (vraisemblablement la CNIL en raison du traitement massif de données personnelles).
Étape 4 – Coopération avec la CNIL
La CNIL, saisie conjointement, vérifie la licéité du traitement au titre du RGPD — notamment l’absence de discrimination indirecte par le biais de catégories de données sensibles, et le respect du droit à ne pas faire l’objet d’une décision automatisée (art. 22 RGPD, applicable si le scoring entraîne des effets juridiques significatifs).
Résultat :
L’audit révèle un biais statistiquement significatif. Le Défenseur des droits émet une recommandation de suspension du système et d’exclusion de la variable litigieuse. La CNIL prononce une mise en demeure au titre du RGPD. Le ministère suspend le système dans l’attente d’une refonte algorithmique.
Texte original de l’IA Act
Article 77 : Pouvoirs des autorités chargées de la protection des droits fondamentaux
- Les autorités ou organismes publics nationaux qui contrôlent ou veillent au respect des obligations découlant du droit de l’Union en matière de protection des droits fondamentaux, y compris le droit à la non-discrimination, en ce qui concerne l’utilisation des systèmes d’IA à haut risque visés à l’annexe III, sont habilités à demander et à consulter toute documentation créée ou conservée en vertu du présent règlement dans une langue et un format accessibles, lorsque l’accès à cette documentation est nécessaire à l’accomplissement efficace de leur mandat dans les limites de leur compétence. L’autorité ou l’organisme public compétent informe l’autorité de surveillance du marché de l’État membre concerné de toute demande de ce type.
- Au plus tard le 2 novembre 2024, chaque État membre identifie les autorités ou organismes publics visés au paragraphe 1 et met une liste de ceux-ci à la disposition du public. Les États membres notifient cette liste à la Commission et aux autres États membres et la tiennent à jour.
- Lorsque la documentation visée au paragraphe 1 est insuffisante pour déterminer s’il y a eu violation des obligations découlant du droit de l’Union en matière de protection des droits fondamentaux, l’autorité ou l’organisme public visé au paragraphe 1 peut adresser une demande motivée à l’autorité de surveillance du marché pour qu’elle organise un test du système d’IA à haut risque en recourant à des moyens techniques. L’autorité de surveillance du marché organise le test avec la participation étroite de l’autorité ou de l’organisme public demandeur dans un délai raisonnable à compter de la demande.
- Toute information ou documentation obtenue par les autorités publiques nationales ou les organismes visés au paragraphe 1 du présent article en vertu du présent article est traitée conformément aux obligations de confidentialité énoncées à l’article 78.
Perspectives avec d’autres textes
Perspectives européennes
Règlement IA – Article 27 (Évaluation de l’impact sur les droits fondamentaux)
L’article 27 impose l’évaluation ex-ante de l’impact sur les droits fondamentaux. L’article 77 en est le contrôle ex-post. Les autorités peuvent vérifier que l’évaluation de l’impact sur les droits fondamentaux a été sérieusement conduite, que ses conclusions ont été suivies d’effet, et que la réalité du déploiement correspond aux engagements pris lors de l’évaluation préalable.
Règlement général sur la protection des données – Article 22
Droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques. L’article 77 du Règlement IA et l’article 22 du RGPD convergent sur les systèmes de scoring et de prise de décision automatisée. Ils offrent une double protection pour la personne concernée et une double compétence pour les autorités.
Règlement général sur la protection des données – Article 35 (Analyse d’impact relative à la protection des données)
L’analyse d’impact relative à la protection des données et l’évaluation de l’impact sur les droits fondamentaux au titre de l’article 27 du Règlement IA sont deux instruments distincts mais complémentaires d’évaluation des risques. Dans la pratique, il est recommandé de les fusionner dans un document unique pour les systèmes à haut risque traitant des données personnelles. Ce document sera ensuite la cible des investigations menées au titre de l’article 77.
Directive 2000/43/CE relative à l’égalité raciale et Directive 2000/78/CE relative à l’égalité en matière d’emploi
Ces directives prohibent la discrimination directe et indirecte. Les biais algorithmiques constituent typiquement des discriminations indirectes au sens de ces textes. L’article 77 donne aux autorités d’égalité de traitement les outils pour détecter et sanctionner ces discriminations dans les systèmes d’IA.
Charte des droits fondamentaux de l’Union européenne
Référentiel normatif ultime de l’article 77. Les articles 1 (dignité), 8 (données), 21 (non-discrimination), 24 (droits de l’enfant), 41 (bonne administration) et 47 (recours effectif) constituent les grilles d’évaluation que les autorités de droits fondamentaux appliquent aux systèmes d’IA.
Convention européenne des droits de l’homme – Articles 6 et 14
Pour les systèmes d’IA utilisés dans des contextes quasi-judiciaires (évaluation de risque de récidive, scoring d’accès aux prestations sociales), la Convention européenne des droits de l’homme impose des exigences de procès équitable et de non-discrimination que l’article 77 permet de faire respecter dans la pratique algorithmique.
Proposition de règlement sur l’intelligence artificielle et les droits fondamentaux (Agence des droits fondamentaux)
L’Agence des droits fondamentaux de l’Union européenne a publié des orientations sur l’intégration des droits fondamentaux dans les systèmes d’IA. Ces orientations constituent une soft law de référence pour les autorités nationales exerçant leurs pouvoirs au titre de l’article 77.
L’IA ACT peut sembler complexe. L’équipe de DPO externe de Mon Expert RGPD vous accompagne pour auditer votre système d’IA selon les réglementations en vigueur.
Menu IA Act
Besoin d’aide pour cet article ?
Comprendre les obligations liées à cet article et éviter les erreurs.
🔓 Échange confidentiel – Sans engagement