📍82 Boulevard Haussmann, 75008 Paris

Demandez votre démo

Article 43 IA ACT : Évaluation de la conformité

Table des matières

Explication de l’article

L’article 43 du Règlement européen sur l’intelligence artificielle constitue le cœur procédural du régime applicable aux systèmes d’intelligence artificielle à haut risque. Il précise les modalités selon lesquelles la conformité aux exigences de l’AI Act doit être démontrée, ainsi que les acteurs compétents pour procéder à cette évaluation.

Le texte distingue plusieurs hypothèses en fonction de la nature du système d’IA concerné, de son inscription à l’annexe III ou de son intégration dans un produit relevant d’une autre législation de l’Union, de l’existence de normes harmonisées ou de spécifications communes, ainsi que du niveau de risque pour les droits fondamentaux.

L’article repose sur une approche graduée et proportionnée. Selon les cas, la conformité peut être établie soit par une procédure de contrôle interne réalisée par le fournisseur, soit par une évaluation menée par un organisme notifié lorsque les garanties techniques sont insuffisantes ou absentes. Cette architecture vise à concilier la sécurité juridique, la proportionnalité des obligations et un niveau élevé de protection des droits fondamentaux.

Notions clés à comprendre

Le contrôle interne, prévu à l’annexe VI, permet au fournisseur d’évaluer lui-même la conformité de son système sur la base de normes harmonisées ou de spécifications communes. Il ne s’agit pas d’une simple déclaration, mais d’une procédure exigeant une documentation complète et vérifiable a posteriori par les autorités compétentes.

L’intervention d’un organisme notifié, prévue à l’annexe VII, s’impose lorsque les normes applicables sont inexistantes, incomplètes ou seulement partiellement appliquées. Un tiers indépendant procède alors à un contrôle renforcé de la documentation et du système de gestion de la qualité, selon une logique proche de celle du droit des dispositifs médicaux ou des produits industriels à haut risque.

La notion de modification substantielle est centrale : toute modification affectant la performance, la finalité ou le niveau de risque du système impose une nouvelle évaluation de conformité, empêchant ainsi des mises à jour non contrôlées de systèmes d’IA à haut risque.

Exemple pratique

Une entreprise développe un système d’IA de notation de candidats figurant à l’annexe III. Aucune norme harmonisée complète n’existe et seule une norme ISO est partiellement appliquée. L’entreprise est alors tenue de recourir à une évaluation de conformité selon l’annexe VII, impliquant l’intervention d’un organisme notifié.
Deux ans plus tard, le système est modifié afin d’intégrer des données comportementales issues des réseaux sociaux. Cette modification constitue une modification substantielle et impose l’ouverture d’une nouvelle procédure de conformité.

Vous avez un système d’IA à haut risque et vous ne savez pas si vous devez passer une évaluation de conformité ?
L'article 43 indique que Lls systèmes d’IA à haut risque doivent démontrer leur conformité aux exigences de l’AI Act. Selon le type de système, cette évaluation peut être réalisée en interne ou nécessiter l’intervention d’un organisme notifié.
Comprendre la procédure d’évaluation de conformité

Texte original de l’IA Act

Article 43 – Évaluation de la conformité

1.   Pour les systèmes d’IA à haut risque énumérés à l’annexe III, point 1, lorsque, pour démontrer la conformité d’un système d’IA à haut risque avec les exigences énoncées à la section 2, le fournisseur a appliqué les normes harmonisées visées à l’article 40 ou, le cas échéant, les spécifications communes visées à l’article 41, il choisit l’une des procédures d’évaluation de la conformité suivantes sur la base:

a)

du contrôle interne visé à l’annexe VI; ou

b)

de l’évaluation du système de gestion de la qualité et de l’évaluation de la documentation technique, avec l’intervention d’un organisme notifié, visée à l’annexe VII.

Pour démontrer la conformité d’un système d’IA à haut risque avec les exigences énoncées à la section 2, le fournisseur suit la procédure d’évaluation de la conformité prévue à l’annexe VII dans les cas suivants:

a)

les normes harmonisées visées à l’article 40 n’existent pas et les spécifications communes visées à l’article 41 font défaut;

b)

le fournisseur n’a pas appliqué la norme harmonisée ou ne l’a appliquée que partiellement;

c)

les spécifications communes visées au point a) existent, mais le fournisseur ne les a pas appliquées;

d)

une ou plusieurs des normes harmonisées visées au point a), ont été publiées assorties d’une restriction et seulement sur la partie de la norme qui a été soumise à une restriction.

Aux fins de la procédure d’évaluation de la conformité visée à l’annexe VII, le fournisseur peut choisir n’importe lequel des organismes notifiés. Toutefois, lorsque le système d’IA à haut risque est destiné à être mis en service par les autorités répressives, les services de l’immigration ou les autorités compétentes en matière d’asile ou par les institutions, organes ou organismes de l’UE, l’autorité de surveillance du marché visée à l’article 74, paragraphe 8 ou 9, selon le cas, agit en tant qu’organisme notifié.

2.   Pour les systèmes d’IA à haut risque visés à l’annexe III, points 2 à 8, les fournisseurs suivent la procédure d’évaluation de la conformité fondée sur le contrôle interne visée à l’annexe VI, qui ne prévoit pas d’intervention d’un organisme notifié.

3.   Pour les systèmes d’IA à haut risque couverts par la législation d’harmonisation de l’Union dont la liste figure à l’annexe I, section A, le fournisseur suit la procédure d’évaluation de la conformité pertinente selon les modalités requises par ces actes juridiques. Les exigences énoncées à la section 2 du présent chapitre s’appliquent à ces systèmes d’IA à haut risque et font partie de cette évaluation. Les points 4.3, 4.4 et 4.5 de l’annexe VII ainsi que le point 4.6, cinquième alinéa, de ladite annexe s’appliquent également.

Aux fins de ces évaluations, les organismes notifiés qui ont été notifiés en vertu de ces actes juridiques sont habilités à contrôler la conformité des systèmes d’IA à haut risque avec les exigences énoncées à la section 2, à condition que le respect, par ces organismes notifiés, des exigences énoncées à l’article 31, paragraphes 4, 5, 10 et 11, ait été évalué dans le cadre de la procédure de notification prévue par ces actes juridiques.

Lorsqu’un acte juridique énuméré à l’annexe I, section A, confère au fabricant du produit la faculté de ne pas faire procéder à une évaluation de la conformité par un tiers, à condition que ce fabricant ait appliqué toutes les normes harmonisées couvrant toutes les exigences pertinentes, ce fabricant ne peut faire usage de cette faculté que s’il a également appliqué les normes harmonisées ou, le cas échéant, les spécifications communes visées à l’article 41 couvrant toutes les exigences énoncées à la section 2 du présent chapitre.

4.   Les systèmes d’IA à haut risque qui ont déjà été soumis à une procédure d’évaluation de la conformité sont soumis à une nouvelle procédure d’évaluation de la conformité lorsqu’ils font l’objet de modifications substantielles, que le système modifié soit destiné à être distribué plus largement ou reste utilisé par le déployeur actuel.

Pour les systèmes d’IA à haut risque qui continuent leur apprentissage après avoir été mis sur le marché ou mis en service, les modifications apportées au système d’IA à haut risque et à sa performance qui ont été déterminées au préalable par le fournisseur au moment de l’évaluation initiale de la conformité et font partie des informations contenues dans la documentation technique visée à l’annexe IV, point 2), f), ne constituent pas une modification substantielle.

5.   La Commission est habilitée à adopter des actes délégués conformément à l’article 97 pour modifier les annexes VI et VII afin de les mettre à jour compte tenu du progrès technique.

6.   La Commission est habilitée à adopter des actes délégués conformément à l’article 97 pour modifier les paragraphes 1 et 2 du présent article afin de soumettre les systèmes d’IA à haut risque visés à l’annexe III, points 2 à 8, à tout ou partie de la procédure d’évaluation de la conformité visée à l’annexe VII. La Commission adopte ces actes délégués en tenant compte de l’efficacité de la procédure d’évaluation de la conformité fondée sur le contrôle interne visée à l’annexe VI pour prévenir ou réduire au minimum les risques que ces systèmes font peser sur la santé et la sécurité et sur la protection des droits fondamentaux, ainsi que de la disponibilité de capacités et de ressources suffisantes au sein des organismes notifiés.

L’IA ACT peut sembler complexe. L’équipe de DPO externe de Mon Expert RGPD vous accompagne pour déterminer la procédure applicable et sécuriser votre conformité.

← Article précédent - Article 42 : Présomption de conformité avec certaines exigences
Article suivant – Article 44 : Certificats →

Menu IA Act

Besoin d’aide pour cet article ?

Comprendre les obligations liées à cet article et éviter les erreurs.

Échanger avec un expert

🔓 Échange confidentiel – Sans engagement

Newsletter S'inscrire

Recevez nos derniers articles et actualités directement dans votre boîte de réception !

Votre e-mail est en sécurité 🔒. En entrant votre e-mail, vous acceptez de recevoir nos newsletter et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.