📍82 Boulevard Haussmann, 75008 Paris

Demandez votre démo

Article 31 IA ACT - Exigences concernant les organismes notifiés

Table des matières

Explication de l’article

L’article 31 de l’IA Act établit les conditions pour qu’un organisme soit reconnu comme “notifié” pour évaluer la conformité des systèmes d’IA à haut risque.

Ces organismes sont essentiels au système de régulation de l’IA en Europe : sans eux, il n’y aurait aucune certification fiable ni garantie que les systèmes d’IA à haut risque respectent la législation européenne.

Les principaux points :

  1. Personnalité juridique et constitution nationale : un organisme notifié doit être légalement constitué dans un État membre et être juridiquement reconnu pour agir en tant qu’entité indépendante.
  2. Organisation et gestion : il doit disposer d’une structure interne claire, avec répartition des responsabilités, procédures de qualité et ressources suffisantes (humaines, techniques et financières).
  3. Indépendance et impartialité : l’organisme doit être indépendant du fournisseur du système évalué, de ses concurrents et de tout acteur économique intéressé.
  4. Confidentialité : les informations obtenues lors de l’évaluation sont strictement confidentielles, et le personnel est soumis à des obligations de secret professionnel.
  5. Compétences techniques et juridiques : le personnel doit avoir les connaissances nécessaires en IA, cybersécurité, droit et sciences connexes pour évaluer correctement les systèmes.
  6. Assurance responsabilité civile : pour couvrir les risques liés aux erreurs d’évaluation.

L’objectif : assurer la confiance dans les certificats délivrés et la fiabilité des évaluations pour protéger les utilisateurs et les citoyens européens.

Notions clés à comprendre

Organisme notifié : entité habilitée à délivrer des certificats CE pour les systèmes d’IA à haut risque.

Indépendance et impartialité : aucune relation économique ou hiérarchique avec le fournisseur ou ses concurrents.

Confidentialité et secret professionnel : protection des informations sensibles.

Compétences internes : techniques, juridiques, scientifiques.

Assurance responsabilité civile : garantie contre les risques liés aux erreurs ou omissions.

Exemple pratique

Une entreprise allemande développe un logiciel IA pour le diagnostic médical.

L’organisme notifié évalue la conformité du logiciel aux exigences de l’AI Act, vérifie la documentation technique, supervise les tests de sécurité et de biais.

Il conserve les documents confidentiels et fournit uniquement les informations demandées aux autorités compétentes.

Si un problème est détecté, il peut suspendre la certification jusqu’à correction.

Vous ne savez pas quelles garanties doivent offrir les organismes qui évaluent les IA à haut risque ?
L’article 31 impose indépendance, compétences, cybersécurité, impartialité strictes aux organismes notifiés.
Prendre rendez-vous avec un expert

Texte original de l’IA Act

Article 31 – Exigences concernant les organismes notifiés

1.   Un organisme notifié est constitué en vertu du droit national d’un État membre et a la personnalité juridique.

2.   Les organismes notifiés se conforment aux exigences en matière d’organisation, de gestion de la qualité, de ressources et de procédures qui sont nécessaires à l’exécution de leurs tâches, ainsi qu’aux exigences appropriées en matière de cybersécurité.

3.   La structure organisationnelle, la répartition des responsabilités, les liens hiérarchiques et le fonctionnement des organismes notifiés garantissent la confiance dans leurs activités et la fiabilité des résultats des activités d’évaluation de la conformité menées par les organismes notifiés.

4.   Les organismes notifiés sont indépendants du fournisseur du système d’IA à haut risque pour lequel ils mènent les activités d’évaluation de la conformité. Les organismes notifiés sont également indépendants de tout autre opérateur ayant un intérêt économique dans les systèmes d’IA à haut risque qui font l’objet de l’évaluation, ainsi que de tout concurrent du fournisseur. Cela n’exclut pas l’utilisation de systèmes d’IA à haut risque évalués qui sont nécessaires au fonctionnement de l’organisme d’évaluation de la conformité ou l’utilisation de ces systèmes d’IA à haut risque à des fins personnelles.

5.   L’organisme d’évaluation de la conformité, ses cadres supérieurs et le personnel chargé d’exécuter ses tâches d’évaluation de la conformité ne participent pas directement à la conception, au développement, à la commercialisation ou à l’utilisation de systèmes d’IA à haut risque, pas plus qu’ils ne représentent les parties engagées dans ces activités. Ils n’exercent aucune activité susceptible d’entrer en conflit avec leur indépendance de jugement ou leur intégrité en ce qui concerne les activités d’évaluation de la conformité pour lesquelles ils sont notifiés. Cela s’applique en particulier aux services de conseil.

6.   Les organismes notifiés sont organisés et fonctionnent de façon à garantir l’indépendance, l’objectivité et l’impartialité de leurs activités. Les organismes notifiés documentent et appliquent une structure et des procédures visant à garantir l’impartialité et à encourager et appliquer les principes d’impartialité dans l’ensemble de leur organisation, du personnel et des activités d’évaluation.

7.   Les organismes notifiés disposent de procédures documentées pour veiller à ce que leur personnel, leurs comités, leurs filiales, leurs sous-traitants et tout organisme associé ou le personnel d’organismes externes préservent, conformément à l’article 78, la confidentialité des informations auxquelles ils accèdent durant l’exercice de leurs activités d’évaluation de la conformité, sauf lorsque leur divulgation est requise par la loi. Le personnel des organismes notifiés est lié par le secret professionnel pour toutes les informations dont il a connaissance dans l’exercice de ses fonctions au titre du présent règlement, sauf à l’égard des autorités notifiantes de l’État membre où il exerce ses activités.

8.   Les organismes notifiés disposent de procédures pour accomplir leurs activités qui tiennent dûment compte de la taille des fournisseurs, du secteur dans lequel ils exercent leurs activités, de leur structure et du degré de complexité du système d’IA concerné.

9.   Les organismes notifiés souscrivent, pour leurs activités d’évaluation de la conformité, une assurance de responsabilité civile appropriée à moins que cette responsabilité ne soit couverte par l’État membre dans lequel ils sont établis sur la base du droit national ou que l’État membre soit lui-même responsable de l’évaluation de la conformité.

10.   Les organismes notifiés sont en mesure d’accomplir toutes leurs tâches au titre du présent règlement avec la plus haute intégrité professionnelle et la compétence requise dans le domaine spécifique, qu’ils exécutent eux-mêmes ces tâches ou que celles-ci soient exécutées pour leur compte et sous leur responsabilité.

11.   Les organismes notifiés disposent de compétences internes suffisantes pour pouvoir évaluer efficacement les tâches effectuées pour leur compte par des parties extérieures. L’organisme notifié dispose en permanence d’un personnel administratif, technique, juridique et scientifique en nombre suffisant et doté d’une expérience et de connaissances liées aux données, au traitement des données et aux types de systèmes d’IA en cause et aux exigences énoncées à la section 2.

12.   Les organismes notifiés prennent part aux activités de coordination visées à l’article 38. Ils participent également, directement ou par l’intermédiaire d’un représentant, aux activités des organisations européennes de normalisation, ou font en sorte de se tenir informés des normes applicables et de leur état.

Comprendre les exigences peut sembler complexe. L’équipe de DPO externe de Mon Expert RGPD vous accompagne.

← Article précédent - Article 30 : Procédure de notification
Article suivant – Article 32 : Présomption de conformité →

Menu IA Act

Newsletter S'inscrire

Recevez nos derniers articles et actualités directement dans votre boîte de réception !

Votre e-mail est en sécurité 🔒. En entrant votre e-mail, vous acceptez de recevoir nos newsletter et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.