📍82 Boulevard Haussmann, 75008 Paris

Demandez votre démo

Article 28 IA ACT - Autorités notifiantes

Table des matières

Explication de l’article

L’article 28 de l’IA Act organise la désignation des autorités notifiantes dans chaque État membre. Ces autorités sont chargées de superviser et de notifier les organismes qui évaluent la conformité des systèmes d’IA à haut risque.

Elles constituent un maillon institutionnel essentiel : sans elles, aucun organisme ne peut être officiellement reconnu pour certifier qu’un système d’IA respecte les exigences de l’AI Act.

L’article impose des garanties strictes d’indépendance, de compétence et d’impartialité afin d’éviter tout conflit d’intérêts.

Notions clés à comprendre

Autorité notifiante : autorité publique chargée de reconnaître les organismes de certification.

Indépendance : absence de liens économiques ou structurels avec les acteurs évalués.

Compétence technique et juridique : expertise en IA, cybersécurité, droit et droits fondamentaux.

Exemple pratique

Imaginons une entreprise française qui développe un logiciel d’IA à haut risque pour le diagnostic radiologique. Pour pouvoir commercialiser ce logiciel en Europe, elle doit passer par un organisme d’évaluation de la conformité.

Étape 1 : rôle de l’autorité notifiante

Autorité notifiante française : par exemple, un service rattaché au ministère de la Santé ou un organisme désigné par l’État (type COFRAC ou équivalent spécialisé IA).

Cette autorité est responsable de :

    • évaluer les demandes des organismes qui veulent devenir notifiés,
    • notifier officiellement ces organismes,
    • contrôler régulièrement leur conformité aux exigences de l’AI Act,
    • garantir l’impartialité et éviter tout conflit d’intérêt (elle ne fournit pas de services de conseil à l’IA ou aux entreprises qui souhaitent se faire certifier).

Étape 2 : demande de notification

L’organisme d’évaluation de la conformité (ex. un laboratoire indépendant spécialisé en IA médicale) dépose une demande auprès de l’autorité notifiante.

L’autorité vérifie que l’organisme dispose :

    • des compétences techniques nécessaires (IA, cybersécurité, droit de la santé),
    • d’un personnel suffisant,
    • de procédures internes garantissant l’impartialité et la confidentialité.

Étape 3 : supervision et contrôle continu

Une fois notifié, l’organisme peut certifier le logiciel d’IA pour le marché européen.

L’autorité notifiante continue de contrôler l’organisme, par exemple en effectuant des audits ou en vérifiant la documentation technique des évaluations.

Si un conflit d’intérêt ou un problème de compétence est détecté, l’autorité peut révoquer la notification de l’organisme.

Illustration concrète

  1. L’entreprise française soumet son logiciel à un organisme notifié pour certification.
  2. L’organisme notifié évalue la conformité du logiciel aux exigences de l’AI Act (sécurité, supervision humaine, robustesse, traçabilité).
  3. L’autorité notifiante a examiné et validé que l’organisme notifié dispose de toutes les compétences et de l’impartialité nécessaires.
  4. Après certification, le logiciel peut être commercialisé dans toute l’UE, et l’autorité notifiante continue à superviser l’organisme notifié pour garantir que toutes les certifications restent fiables.
Vous ne savez pas vers quelles autorités vous tourner ?
L’article 28 indique le fait que autorités notifiantes jouent un rôle clé dans la supervision des organismes d’évaluation de la conformité.
Comprendre le cadre de conformité IA

Texte original de l’IA Act

 Article 28 – Autorités notifiantes

1.   Chaque État membre désigne ou établit au moins une autorité notifiante chargée de mettre en place et d’accomplir les procédures nécessaires à l’évaluation, à la désignation et à la notification des organismes d’évaluation de la conformité et à leur contrôle. Ces procédures sont élaborées en coopération entre les autorités notifiantes de tous les États membres.

2.   Les États membres peuvent décider que l’évaluation et le contrôle visés au paragraphe 1 doivent être effectués par un organisme national d’accréditation au sens du règlement (CE) no 765/2008 et conformément à ses dispositions.

3.   Les autorités notifiantes sont établies, organisées et gérées de manière à éviter tout conflit d’intérêts avec les organismes d’évaluation de la conformité et à garantir l’objectivité et l’impartialité de leurs activités.

4.   Les autorités notifiantes sont organisées de telle sorte que les décisions concernant la notification des organismes d’évaluation de la conformité soient prises par des personnes compétentes différentes de celles qui ont réalisé l’évaluation de ces organismes.

5.   Les autorités notifiantes ne proposent ni ne fournissent aucune des activités réalisées par les organismes d’évaluation de la conformité, ni aucun service de conseil sur une base commerciale ou concurrentielle.

6.   Les autorités notifiantes garantissent la confidentialité des informations qu’elles obtiennent conformément à l’article 78.

7.   Les autorités notifiantes disposent d’un personnel compétent en nombre suffisant pour la bonne exécution de leurs tâches. Le personnel compétent possède l’expertise nécessaire, le cas échéant, pour sa fonction, dans des domaines tels que les technologies de l’information, l’IA et le droit, y compris le contrôle du respect des droits fondamentaux.

Perspectives avec d’autres textes 

Règlement (CE) n° 765/2008 sur l’accréditation

Approche déjà utilisée pour le marquage CE

En France : rôle potentiel de l’ANSSI ou d’organismes d’accréditation

L’équipe DPO externe de Mon Expert RGPD vous aide à comprendre ce cadre institutionnel et ses impacts sur votre projet IA.

← Article précédent - Article 27 : Analyse d’impact sur les droits fondamentaux
Article suivant – Article 29 : Demande de notification d’un organisme d’évaluation de la conformité →

Menu IA Act

Newsletter S'inscrire

Recevez nos derniers articles et actualités directement dans votre boîte de réception !

Votre e-mail est en sécurité 🔒. En entrant votre e-mail, vous acceptez de recevoir nos newsletter et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.