📍82 Boulevard Haussmann, 75008 Paris

Demandez votre démo

Article 74 : Surveillance du marché

Table des matières

Explication de l’article

L’article 74 constitue la colonne vertébrale institutionnelle du contrôle ex-post de l’IA Act. Il organise le pouvoir d’enquête et de surveillance des autorités nationales compétentes (Market Surveillance Authorities – MSA) sur les systèmes d’IA déjà mis sur le marché ou mis en service.

L’article s’articule autour de trois dimensions :

Le périmètre de surveillance : les MSA exercent leur contrôle sur l’ensemble des systèmes d’IA présents sur leur territoire, avec une attention particulière aux systèmes à haut risque. Mais l’article étend également la surveillance aux systèmes d’IA à usage général (GPAI) lorsqu’ils sont intégrés dans des systèmes à haut risque.

Les pouvoirs d’accès : les MSA disposent de prérogatives étendues — accès à la documentation technique, aux données d’entraînement, de validation et de test, et, disposition particulièrement structurante, au code source du système d’IA lorsque cela s’avère nécessaire et proportionné. Cet accès au code source représente une rupture significative avec les régimes de surveillance traditionnels.

La coordination : l’article instaure un mécanisme de coopération obligatoire entre les MSA nationales, les autres autorités sectorielles compétentes (protection des données, sécurité financière, santé…) et la Commission européenne, afin d’éviter les doublons et les contradictions d’appréciation.

Notions clés à comprendre

Market Surveillance Authority (MSA) : autorité nationale désignée par chaque État membre pour assurer le contrôle de conformité des systèmes d’IA. Sa désignation suit le principe de lex specialis sectorielle — en matière de santé, ce sera typiquement une agence sanitaire ; en matière financière, un régulateur prudentiel. La CNIL en France a vocation à être MSA pour les systèmes d’IA traitant des données personnelles, en coordination avec d’autres autorités.

Accès au code source : notion techniquement et juridiquement sensible. L’article 74 l’autorise sous condition de nécessité et de proportionnalité — il ne s’agit pas d’un droit automatique mais d’un pouvoir d’investigation exceptionnel. Des garanties de confidentialité s’appliquent pour protéger les secrets commerciaux (trade secrets), en référence à la directive 2016/943.

Surveillance proactive vs réactive : l’article 74 couvre les deux modes. La surveillance réactive est déclenchée par une notification d’incident (art. 73) ou une plainte. La surveillance proactive permet aux MSA d’initier des contrôles sans attendre un signalement — y compris par des achats-tests ou des audits de marché.

Coordination horizontale : mécanisme de coopération entre MSA de différents États membres lorsqu’un même système est déployé dans plusieurs pays. La Commission joue un rôle d’arbitrage et de facilitation via le Bureau de l’IA (AI Office) institué par l’article 64.

Droit d’accès aux environnements de déploiement : au-delà du code, les MSA peuvent accéder aux infrastructures sur lesquelles le système fonctionne, ce qui soulève des questions pratiques importantes pour les systèmes hébergés sur des clouds non-européens.

Exemple pratique

Contexte : Une fintech allemande commercialise en France et aux Pays-Bas un système d’IA de scoring de crédit automatisé (classé à haut risque — Annexe III, point 5.b). Des associations de consommateurs signalent des décisions systématiquement défavorables aux demandeurs issus de certains codes postaux.

Déroulé de la surveillance :

Étape 1 — Déclenchement : La MSA française (vraisemblablement l’ACPR en coordination avec la CNIL) reçoit les signalements. Elle ouvre une procédure de surveillance au titre de l’article 74.

Étape 2 — Accès documentaire : La MSA demande au fournisseur allemand la documentation technique complète : architecture du modèle, méthodologie d’entraînement, résultats des tests de biais, registre de conformité (art. 11 et 12 IA Act).

Étape 3 — Accès aux données : Constatant des lacunes dans la documentation, la MSA demande l’accès aux jeux de données d’entraînement pour vérifier leur représentativité géographique et sociodémographique.

Étape 4 — Accès au code source : Les données d’entraînement semblent conformes, mais les biais persistent. La MSA invoque le pouvoir exceptionnel d’accès au code source pour analyser les pondérations algorithmiques. La fintech oppose le secret commercial → la MSA applique les garanties de confidentialité prévues (accès restreint à des experts assermentés, locaux sécurisés).

Étape 5 — Coordination transfrontalière : La MSA néerlandaise, saisie des mêmes signalements, coordonne son investigation avec la MSA française via le mécanisme de coopération. Le Bureau de l’IA est informé du cas transfrontalier.

Résultat : Le système est suspendu temporairement (art. 79), une correction algorithmique est exigée, et le fournisseur doit re-soumettre le système à une évaluation de conformité.

Votre système d'IA est-il prêt pour un contrôle des autorités ?
L'article 74 de l'IA Act confère aux autorités nationales des pouvoirs étendus. Anticiper ces contrôles, c'est transformer une contrainte réglementaire en avantage concurrentiel.
Évaluons votre niveau d'exposition

L’IA ACT peut sembler complexe. L’équipe de DPO externe de Mon Expert RGPD vous accompagne pour faire face aux surveillance de marché concernant votre système d’IA. 

Texte original de l’IA Act

Article 74 – Surveillance du marché et contrôle des systèmes d’IA dans le marché de l’Union

  1. Le règlement (UE) 2019/1020 s’applique aux systèmes d’IA couverts par le présent règlement. Aux fins de l’application effective du présent règlement :

(a) toute référence à un opérateur économique en vertu du règlement (UE) 2019/1020 s’entend comme incluant tous les opérateurs visés à l’article 2, paragraphe 1, du présent règlement ;

(b) toute référence à un produit relevant du règlement (UE) 2019/1020 s’entend comme incluant tous les systèmes d’IA relevant du champ d’application du présent règlement.

  1. Dans le cadre de l’obligation d’information qui leur incombe en vertu de l’article 34, paragraphe 4, du règlement (UE) 2019/1020, les autorités de surveillance du marché communiquent chaque année à la Commission et aux autorités nationales de concurrence compétentes toute information recensée dans le cadre des activités de surveillance du marché qui pourrait présenter un intérêt pour l’application du droit de l’Union en matière de règles de concurrence. Elles font également rapport chaque année à la Commission sur le recours à des pratiques interdites survenu au cours de l’année et sur les mesures prises.
  2. Pour les systèmes d’IA à haut risque liés à des produits couverts par la législation d’harmonisation de l’Union énumérée à l’annexe I, section A, l’autorité de surveillance du marché aux fins du présent règlement est l’autorité responsable des activités de surveillance du marché désignée en vertu de ces actes juridiques. Par dérogation au premier alinéa et dans des circonstances appropriées, les États membres peuvent désigner une autre autorité compétente pour agir en tant qu’autorité de surveillance du marché, à condition d’assurer la coordination avec les autorités sectorielles de surveillance du marché chargées de l’application de la législation d’harmonisation de l’Union énumérée à l’annexe I.
  3. Les procédures visées aux articles 79 à 83 du présent règlement ne s’appliquent pas aux systèmes d’IA relatifs aux produits couverts par la législation d’harmonisation de l’Union énumérée à l’annexe I, section A, lorsque ces actes juridiques prévoient déjà des procédures garantissant un niveau de protection équivalent et ayant le même objectif. Dans ce cas, les procédures sectorielles pertinentes s’appliquent à la place.
  4. Sans préjudice des pouvoirs conférés aux autorités de surveillance du marché en vertu de l’article 14 du règlement (UE) 2019/1020, les autorités de surveillance du marché peuvent exercer à distance, le cas échéant, les pouvoirs visés à l’article 14, paragraphe 4, points d) et j), dudit règlement, afin d’assurer l’application effective du présent règlement.
  5. Pour les systèmes d’IA à haut risque mis sur le marché, mis en service ou utilisés par des établissements financiers régis par la législation de l’Union sur les services financiers, l’autorité de surveillance du marché aux fins du présent règlement est l’autorité nationale compétente chargée de la surveillance financière de ces établissements en vertu de cette législation, dans la mesure où la mise sur le marché, la mise en service ou l’utilisation du système d’IA est directement liée à la fourniture de ces services financiers.
  6. Par dérogation au paragraphe 6, dans des circonstances appropriées et à condition que la coordination soit assurée, une autre autorité compétente peut être désignée par l’État membre comme autorité de surveillance du marché aux fins du présent règlement. Les autorités nationales de surveillance du marché qui contrôlent les établissements de crédit réglementés relevant de la directive 2013/36/UE et qui participent au mécanisme de surveillance unique établi par le règlement (UE) n° 1024/2013 devraient communiquer sans délai à la Banque centrale européenne toute information recensée dans le cadre de leurs activités de surveillance du marché qui pourrait présenter un intérêt pour les missions de surveillance prudentielle de la Banque centrale européenne précisées dans ledit règlement.
  7. Pour les systèmes d’IA à haut risque énumérés à l’annexe III, point 1, du présent règlement, dans la mesure où les systèmes sont utilisés à des fins répressives, de gestion des frontières et de justice et démocratie, et pour les systèmes d’IA à haut risque énumérés à l’annexe III, points 6, 7 et 8, du présent règlement, les États membres désignent comme autorités de surveillance du marché aux fins du présent règlement soit les autorités de contrôle de la protection des données compétentes en vertu du règlement (UE) 2016/679 ou de la directive (UE) 2016/680, soit toute autre autorité désignée dans les mêmes conditions que celles énoncées aux articles 41 à 44 de la directive (UE) 2016/680. Les activités de surveillance du marché n’affectent en aucune manière l’indépendance des autorités judiciaires ni n’interfèrent d’une autre manière avec leurs activités lorsqu’elles agissent dans l’exercice de leurs fonctions judiciaires.
  8. Lorsque des institutions, organes ou organismes de l’Union relèvent du champ d’application du présent règlement, le contrôleur européen de la protection des données agit en tant qu’autorité de surveillance du marché, sauf en ce qui concerne la Cour de justice de l’Union européenne agissant dans l’exercice de ses fonctions juridictionnelles.
  9. Les États membres facilitent la coordination entre les autorités de surveillance du marché désignées en vertu du présent règlement et les autres autorités ou organismes nationaux compétents qui supervisent l’application de la législation d’harmonisation de l’Union énumérée à l’annexe I, ou d’une autre législation de l’Union, qui pourrait être pertinente pour les systèmes d’IA à haut risque visés à l’annexe III.
  10. Les autorités de surveillance du marché et la Commission sont en mesure de proposer des activités conjointes, y compris des enquêtes conjointes, à mener par les autorités de surveillance du marché ou par les autorités de surveillance du marché conjointement avec la Commission, dans le but de promouvoir la conformité, de détecter les cas de non-conformité, de sensibiliser ou de fournir des orientations en rapport avec le présent règlement en ce qui concerne des catégories spécifiques de systèmes d’IA à haut risque dont il est établi qu’ils présentent un risque grave dans deux États membres ou plus, conformément à l’article 9 du règlement (UE) 2019/1020. L’Office AI fournit un soutien à la coordination des enquêtes conjointes.
  11. Sans préjudice des pouvoirs prévus par le règlement (UE) 2019/1020 et, le cas échéant, dans la limite de ce qui est nécessaire à l’accomplissement de leurs tâches, les autorités de surveillance du marché se voient accorder par les fournisseurs un accès complet à la documentation ainsi qu’aux ensembles de données de formation, de validation et d’essai utilisés pour le développement de systèmes d’IA à haut risque, y compris, le cas échéant et sous réserve de garanties de sécurité, par l’intermédiaire d’interfaces de programmation d’applications (API) ou d’autres moyens et outils techniques pertinents permettant l’accès à distance.
  12. Les autorités de surveillance des marchés se voient accorder l’accès au code source du système d’IA à haut risque sur demande motivée et uniquement lorsque les deux conditions suivantes sont remplies :

(a) l’accès au code source est nécessaire pour évaluer la conformité d’un système d’IA à haut risque avec les exigences énoncées au chapitre III, section 2 ; et,

(b) les procédures de test ou d’audit et les vérifications fondées sur les données et la documentation fournies par le fournisseur ont été épuisées ou se sont révélées insuffisantes.

  1. Toute information ou documentation obtenue par les autorités de surveillance du marché est traitée conformément aux obligations de confidentialité prévues à l’article 78.

Perspectives avec d’autres textes

Article 58 du RGPD

Les pouvoirs d’enquête des autorités de contrôle RGPD (accès aux locaux, aux traitements, aux données) sont analogues. En cas de cumul, la CNIL pourrait agir simultanément comme MSA relative à l’IA Act et comme autorité RGPD. La CNIL possède des pouvoirs distincts et des investigations potentiellement fusionnées pour des raisons d’efficacité.

Digital Service Act Articles 69 et suivants

Le Digital Services Act prévoit des pouvoirs de surveillance similaires pour les très grandes plateformes. Pour les systèmes d’IA intégrés dans des plateformes DSA (recommandation algorithmique, modération automatisée), les investigations peuvent se chevaucher entre MSA et coordinateur des services numériques.

Directive relative au Secret des Affaires de 2016

Encadre directement les conditions d’accès au code source. Le fournisseur peut invoquer la protection du secret commercial, mais celle-ci ne peut pas faire obstacle à la surveillance, elle en aménage les modalités (confidentialité, cercle d’accès restreint).

Directive NIS 2

Pour les systèmes d’IA embarqués dans des infrastructures critiques, la coordination entre MSA et autorités NIS 2 est indispensable, les périmètres de contrôle se recoupent sur la résilience et la sécurité des systèmes.

Cyber Resilience Act

Le Cyber Resilience Act impose des exigences de sécurité aux produits connectés. Un système d’IA embarqué dans un produit physique peut simultanément relever de la surveillance CRA et IA Act, double couche de contrôle avec des MSA potentiellement distinctes.

Projet de directive sur le responsabilité en matière d’IA (Ai Liability Directive)

Les résultats d’une investigation MSA (art. 74) peuvent alimenter directement une action en responsabilité. La présomption de causalité prévue par la directive joue notamment lorsque le fournisseur a refusé de coopérer avec la MSA.

← Article précédent - Article 73 : Signalements des incidents graves
Article suivant – Article 75 : Supervision des modèles d'IA à usage général

Menu IA Act

Newsletter S'inscrire

Recevez nos derniers articles et actualités directement dans votre boîte de réception !

Votre e-mail est en sécurité 🔒. En entrant votre e-mail, vous acceptez de recevoir nos newsletter et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.