📍82 Boulevard Haussmann, 75008 Paris

Demandez votre démo

Article 82 - Systèmes d'IA conformes présentant un risque

Table des matières

Explication de l’article

L’article 82 traite d’une situation paradoxale mais juridiquement essentielle : celle d’un système d’IA à haut risque qui est conforme à toutes les exigences du règlement, et qui présente pourtant un risque résiduel pour la santé, la sécurité, les droits fondamentaux ou d’autres aspects de l’intérêt public.

Cette hypothèse révèle une vérité importante du droit de la régulation : la conformité ne garantit pas l’absence de risque. Un système peut respecter point par point les exigences techniques, documentaires et procédurales du Chapitre III Section 2, et néanmoins produire des effets indésirables lorsqu’il est déployé dans un contexte particulier ou auprès d’une population spécifique. L’article 82 reconnaît cette limite intrinsèque du système normatif et dote les autorités d’un pouvoir d’intervention résiduel.

La procédure repose sur trois acteurs principaux. L’autorité de surveillance du marché, qui constate le risque après une évaluation menée au titre de l’article 79 et après consultation de l’autorité compétente en matière de droits fondamentaux. L’opérateur, qui doit prendre les mesures appropriées pour éliminer le risque, y compris sur tous les systèmes déjà mis à disposition sur le marché de l’Union. La Commission, qui coordonne l’évaluation au niveau européen et décide de la justification de la mesure nationale.

Contrairement aux articles 79 et 80, qui sanctionnent une non-conformité, l’article 82 organise une intervention en l’absence de toute faute du fournisseur. C’est un mécanisme préventif, fondé sur la précaution, et non répressif.

Notions clés à comprendre

La conformité comme condition nécessaire mais non suffisante L’article 82 affirme implicitement un principe fondamental : le respect des exigences réglementaires ne suffit pas à garantir l’absence de risque. Cette idée, classique en droit de la responsabilité du fait des produits, trouve dans l’IA Act une expression particulièrement marquée, en raison de la nature évolutive et contextuelle des risques posés par les systèmes d’intelligence artificielle.

Le risque résiduel Il s’agit du risque qui subsiste après l’application de toutes les mesures de conformité prévues par le règlement. Ce risque peut résulter de plusieurs facteurs : un contexte d’usage non anticipé par les exigences normatives, une interaction imprévue avec des facteurs externes, une population utilisatrice particulièrement vulnérable, ou une évolution des connaissances scientifiques rendant insuffisantes les exigences initialement prévues.

L’extension du critère au-delà des droits fondamentaux L’article 82 mentionne, en plus de la santé, de la sécurité et des droits fondamentaux, « d’autres aspects de la protection de l’intérêt public ». Cette formulation ouverte élargit considérablement le champ d’intervention des autorités. Elle peut englober des considérations environnementales, démocratiques, économiques ou sociales que les exigences techniques du règlement ne capturent pas directement.

L’absence de faute du fournisseur À la différence des procédures de l’article 79 et de l’article 80, la procédure de l’article 82 ne suppose aucun manquement de la part du fournisseur. Aucune sanction n’est mentionnée, seules des mesures correctives sont prescrites. C’est une dimension importante : le fournisseur conformément diligent peut néanmoins se voir imposer des obligations supplémentaires, sans que cela emporte responsabilité juridique au sens classique.

La consultation préalable de l’autorité compétente en droits fondamentaux Le §1 impose la consultation de l’autorité visée à l’article 77 §1, c’est à dire l’autorité ou l’organisme public chargé de la protection des droits fondamentaux. Cette consultation est obligatoire lorsque le risque identifié relève de cette dimension, et elle assure la transversalité de l’analyse, en évitant que la surveillance du marché soit cantonnée à une logique purement technique.

Exemple pratique

Contexte : Un fournisseur néerlandais commercialise un système d’IA à haut risque destiné au tri de candidatures dans le secteur public (Annexe III, point 4). Le système est parfaitement conforme à toutes les exigences du Chapitre III Section 2 : documentation technique complète, supervision humaine intégrée, données d’entraînement représentatives, évaluation des risques effectuée, marquage CE apposé.

Déroulé de la procédure :

  • L’autorité de surveillance du marché française, dans le cadre d’une évaluation menée au titre de l’article 79, constate que le système, bien que conforme, produit des effets statistiquement défavorables sur les candidats issus de territoires d’outre mer. Le phénomène ne résulte pas d’un biais des données d’entraînement, qui sont équilibrées, mais d’une interaction imprévue avec les modalités de rédaction des candidatures dans ces régions.
  • L’autorité consulte le Défenseur des droits, désigné comme autorité compétente en matière de droits fondamentaux au titre de l’article 77 §1. Le Défenseur confirme que le risque identifié relève bien d’une menace pour le droit à la non-discrimination, sans pour autant constituer une non-conformité au règlement.

  • L’autorité demande à l’opérateur de prendre des mesures appropriées : ajout d’un module de correction contextuelle, formation renforcée des équipes utilisatrices, mise en place d’une procédure de revue manuelle pour les candidatures issues des territoires concernés. Un délai de six mois est fixé.

  • L’autorité française informe immédiatement la Commission et les autres États membres. La notification détaille l’origine du système, la chaîne d’approvisionnement, la nature du risque et la durée des mesures imposées.

  • La Commission entame des consultations avec les Pays Bas, État d’établissement du fournisseur, et avec l’opérateur. Elle conclut que la mesure française est justifiée et propose qu’elle soit étendue à l’ensemble du marché de l’Union, en suggérant en outre une mise à jour des lignes directrices applicables aux systèmes de tri de candidatures.
Comment gérer une plainte déposée contre votre système d'IA ?
L'Article 82 de l'IA Act permet à tout utilisateur ou tiers de signaler officiellement une suspicion de non-conformité auprès des autorités. Chaque plainte déclenche une enquête obligatoire qui peut exposer vos processus internes et paralyser vos opérations.
Préparer mon dispositif de réponse aux plaintes

Texte original de l’IA Act

Article 82 : Systèmes d’IA conformes présentant un risque

  1. Lorsque l’autorité de surveillance du marché d’un État membre, après avoir procédé à une évaluation au titre de l’article 79 et consulté l’autorité publique nationale compétente visée à l’article 77, paragraphe 1, constate que, bien qu’un système d’IA à haut risque soit conforme au présent règlement, il présente néanmoins un risque pour la santé ou la sécurité des personnes, pour les droits fondamentaux ou pour d’autres aspects de la protection de l’intérêt public, elle demande à l’opérateur concerné de prendre toutes les mesures appropriées pour que le système d’IA en question, lorsqu’il est mis sur le marché ou mis en service, ne présente plus ce risque, sans retard injustifié, dans un délai qu’elle peut fixer.
  2. Le fournisseur ou autre opérateur concerné veille à ce que des mesures correctives soient prises pour tous les systèmes d’IA concernés qu’il a mis à disposition sur le marché de l’Union dans le délai prescrit par l’autorité de surveillance du marché de l’État membre visé au paragraphe 1.
  3. Les États membres informent immédiatement la Commission et les autres États membres des constatations faites au titre du paragraphe 1. Ces informations comprennent tous les détails disponibles, en particulier les données nécessaires à l’identification du système d’IA concerné, l’origine et la chaîne d’approvisionnement du système d’IA, la nature du risque encouru ainsi que la nature et la durée des mesures nationales prises.
  4. La Commission entame sans tarder des consultations avec les États membres concernés et les opérateurs compétents et évalue les mesures nationales prises. Sur la base des résultats de cette évaluation, la Commission décide si la mesure est justifiée et, le cas échéant, propose d’autres mesures appropriées.
  5. La Commission communique immédiatement sa décision aux États membres concernés et aux opérateurs concernés. Elle en informe également les autres États membres.

Perspectives avec d’autres textes

Règlement (UE) 2019/1020 du Parlement européen et du Conseil sur la surveillance du marché et la conformité des produits

L’article 82 s’inspire directement du mécanisme prévu à l’article 19 du règlement 2019/1020, qui traite des produits formellement conformes mais présentant néanmoins un risque. Cette transposition dans le contexte de l’IA Act n’est pas anodine : elle confirme que les systèmes d’IA sont traités, sur le plan de la surveillance du marché, comme des produits soumis au droit commun de la sécurité. L’innovation de l’IA Act consiste à élargir le critère du risque au delà de la santé et de la sécurité, en y intégrant explicitement les droits fondamentaux et l’intérêt public, ce qui constitue une avancée significative par rapport au cadre traditionnel applicable aux produits manufacturés.

Règlement (UE) 2016/679 — Règlement Général sur la Protection des Données (RGPD)

L’article 82 trouve un écho dans le mécanisme de l’analyse d’impact relative à la protection des données prévu à l’article 35 du RGPD, qui impose au responsable de traitement d’identifier et de mitiger les risques pour les droits et libertés des personnes physiques, même en l’absence de violation manifeste du règlement. La logique est identique : la conformité formelle ne suffit pas, une appréciation contextuelle du risque est requise. Lorsqu’un système d’IA à haut risque traite des données personnelles, l’article 82 et l’article 35 du RGPD peuvent s’articuler, l’un fondant l’intervention de l’autorité de surveillance du marché, l’autre justifiant celle de l’autorité de protection des données. Une coordination entre les deux régimes devient alors indispensable pour éviter des injonctions divergentes.

Directive 2001/95/CE relative à la sécurité générale des produits

Cette directive, qui sera prochainement remplacée par le règlement 2023/988, pose le principe général selon lequel un produit ne peut être mis sur le marché que s’il est sûr, et reconnaît qu’un produit conforme à des normes peut néanmoins être considéré comme dangereux si des éléments de preuve démontrent un risque pour les consommateurs. L’article 82 s’inscrit dans cette tradition juridique européenne du contrôle de sécurité résiduelle. Il l’étend toutefois à des risques que la directive ne couvre pas, notamment les atteintes aux droits fondamentaux et à l’intérêt public, ce qui marque une évolution significative dans le périmètre de la régulation des produits numériques.

Charte des droits fondamentaux de l’Union européenne

L’article 82 est l’une des dispositions de l’IA Act qui mobilise le plus directement la Charte. Le risque pour les droits fondamentaux y est érigé en critère autonome d’intervention administrative, indépendamment de toute violation d’une norme technique. Cela signifie que les autorités de surveillance du marché doivent disposer d’une capacité d’analyse juridique permettant d’apprécier la portée des droits garantis par la Charte, notamment la dignité humaine, la non-discrimination, la vie privée et la protection des données. L’article 82 transforme ainsi les autorités de surveillance, traditionnellement orientées vers la conformité technique, en gardiennes indirectes des droits fondamentaux dans le domaine numérique.

Principe de précaution, Article 191 §2 du TFUE

Bien que formellement consacré en matière d’environnement, le principe de précaution irrigue plus largement le droit de l’Union et fonde la logique de l’article 82. Lorsque les exigences réglementaires ne suffisent pas à écarter tout risque, l’intervention publique est justifiée par la nécessité de prévenir des dommages potentiels avant qu’ils ne se concrétisent. L’article 82 est l’une des expressions les plus claires de ce principe appliqué à la régulation de l’intelligence artificielle : il autorise une action publique fondée non sur la certitude d’un dommage, mais sur la suspicion raisonnable d’un risque persistant malgré la conformité formelle du système

L’IA ACT peut sembler complexe. L’équipe de DPO externe de Mon Expert RGPD vous accompagne  pour auditer votre système d’IA selon les réglementations en vigueur. 

← Article précédent - Article 81 - Procédure de de sauvegarde de l'Union
Article suivant – Article 83 : Non-respect formel

Menu IA Act

Besoin d’aide pour cet article ?

Comprendre les obligations liées à cet article et éviter les erreurs.

Échanger avec un expert

🔓 Échange confidentiel – Sans engagement

Newsletter S'inscrire

Recevez nos derniers articles et actualités directement dans votre boîte de réception !

Votre e-mail est en sécurité 🔒. En entrant votre e-mail, vous acceptez de recevoir nos newsletter et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.