📍82 Boulevard Haussmann, 75008 Paris

Demandez votre démo

Article 79 - Procédure au niveau national pour traiter les systèmes d'IA présentant un risque

Table des matières

Explication de l’article

L’article 79 organise la procédure que les autorités nationales de surveillance du marché doivent suivre lorsqu’elles identifient un système d’IA présentant un risque. Il constitue le bras armé opérationnel de la supervision nationale, en articulant trois temps distincts : la détection du risque, la réponse corrective, et la coordination européenne.

Le point de départ est la notion de « risque suffisant » : dès lors qu’une autorité nationale dispose de raisons suffisantes de s’interroger sur la conformité d’un système, elle est tenue d’ouvrir une évaluation. Cette évaluation porte sur l’ensemble des exigences du règlement, avec une attention particulière accordée aux groupes vulnérables et aux risques pour les droits fondamentaux.

Si la non-conformité est avérée, l’autorité dispose d’un arsenal gradué : demande de mesures correctives, retrait du marché ou rappel dans un délai de quinze jours ouvrables. En cas d’inaction de l’opérateur, elle peut prendre des mesures provisoires unilatérales d’interdiction ou de restriction.

Le mécanisme de coordination entre États membres est au cœur du dispositif : toute mesure nationale est notifiée à la Commission et aux autres États membres, qui disposent d’un délai de trois mois pour formuler des objections. L’absence d’objection vaut validation tacite de la mesure.

Notions clés à comprendre

Système d’IA présentant un risque L’article 79 §1 ancre la notion dans le règlement 2019/1020 sur la surveillance du marché : un système d’IA est un « produit présentant un risque » s’il menace la santé, la sécurité ou les droits fondamentaux. Cette double extension, vers la sécurité physique et vers les droits fondamentaux, est propre à l’IA Act et dépasse le champ traditionnel de la surveillance du marché des produits.

Raisons suffisantes Ce seuil conditionne l’ouverture de la procédure. Il ne requiert pas une certitude de non-conformité, mais une suspicion raisonnablement étayée. C’est un standard probatoire intermédiaire, comparable à celui que l’on retrouve en droit pénal pour la mise en cause d’une personne : suffisant pour agir, insuffisant pour condamner.

Délai de quinze jours ouvrables Ce délai s’impose à l’opérateur pour prendre les mesures correctives demandées. Il est court, volontairement contraignant, et peut être raccourci si la législation d’harmonisation sectorielle applicable prévoit un délai plus bref. Il reflète l’urgence attachée à la mise hors marché d’un système présentant un risque.

Mesures provisoires En cas d’inaction de l’opérateur, l’autorité peut interdire, restreindre, retirer ou rappeler le système sans attendre une décision définitive. Ces mesures ont un caractère conservatoire ; elles sont notifiées immédiatement à la Commission et aux autres États membres.

Validation tacite à trois mois Si aucune objection n’est soulevée dans les trois mois suivant la notification d’une mesure provisoire, celle-ci est réputée justifiée. Ce mécanisme crée une présomption de légitimité par le silence, ce qui allège la charge procédurale des autorités nationales tout en garantissant un droit de regard collectif européen. Le délai est réduit à trente jours en cas de violation des pratiques interdites par l’article 5.

Exemple pratique

Contexte : Une autorité de surveillance du marché italienne est alertée par des signalements d’utilisateurs concernant un système d’IA à haut risque utilisé pour l’évaluation de la solvabilité de particuliers (Annexe III, point 5(b)). Les signalements indiquent que le système produit des résultats discriminatoires à l’égard de certaines minorités ethniques.

Déroulé de la procédure :

  • L’autorité italienne estime disposer de « raisons suffisantes » et ouvre une évaluation de conformité au regard de l’ensemble des exigences du Chapitre III, Section 2.
  • Elle identifie des manquements aux exigences de non-discrimination et de robustesse, et constate un risque pour les droits fondamentaux. Elle en informe les autorités compétentes en matière de droits fondamentaux conformément à l’article 77 §1.
  • Elle met en demeure le fournisseur de prendre des mesures correctives dans un délai de quinze jours ouvrables, faute de quoi le système devra être retiré du marché.
  • Le fournisseur ne réagit pas dans le délai imparti. L’autorité italienne prononce une mesure provisoire d’interdiction de mise à disposition sur le territoire national et en informe immédiatement la Commission et les autres États membres.
  • La notification détaille l’origine du système, la chaîne d’approvisionnement, la nature de la non-conformité (article 79 §6(b)), le risque identifié et les arguments présentés par l’opérateur.
  • Aucun État membre ni la Commission ne soulève d’objection dans les trois mois. La mesure italienne est réputée justifiée et le fournisseur reste interdit de marché national jusqu’à mise en conformité.
Comment éviter l'interdiction de mise sur le marché ?
Une évaluation défavorable peut mener à des mesures correctives contraignantes, voire au retrait pur et simple de votre solution sur le marché européen. Ne subissez pas l'enquête : anticipez la conformité de vos processus et sécurisez votre déploiement grâce à une préparation rigoureuse.
Sécuriser mon IA et anticiper les audits

Texte original de l’IA Act

Article 79 : Procédure au niveau national pour traiter les systèmes d’IA présentant un risque

  1. Les systèmes d’IA présentant un risque s’entendent comme un « produit présentant un risque » au sens de l’article 3, point 19, du règlement (UE) 2019/1020, dans la mesure où ils présentent des risques pour la santé ou la sécurité, ou pour les droits fondamentaux, des personnes.
  2. Lorsque l’autorité de surveillance du marché d’un État membre a des raisons suffisantes de considérer qu’un système d’IA présente un risque au sens du paragraphe 1 du présent article, elle procède à une évaluation du système d’IA concerné en ce qui concerne sa conformité à l’ensemble des exigences et obligations prévues par le présent règlement. Une attention particulière est accordée aux systèmes d’IA présentant un risque pour les groupes vulnérables. Lorsque des risques pour les droits fondamentaux sont identifiés, l’autorité de surveillance du marché informe également les autorités ou organismes publics nationaux compétents visés à l’article 77, paragraphe 1, et coopère pleinement avec eux. Les opérateurs concernés coopèrent, si nécessaire, avec l’autorité de surveillance du marché et avec les autres autorités ou organismes publics nationaux visés à l’article 77, paragraphe 1. Si, au cours de cette évaluation, l’autorité de surveillance du marché ou, le cas échéant, l’autorité de surveillance du marché en coopération avec l’autorité publique nationale visée à l’article 77, paragraphe 1, constate que le système d’IA n’est pas conforme aux exigences et obligations prévues par le présent règlement, elle demande sans délai injustifié à l’opérateur concerné de prendre toutes les mesures correctives appropriées pour mettre le système d’IA en conformité, de le retirer du marché ou de le rappeler dans un délai qu’elle peut prescrire et, en tout état de cause, dans un délai de quinze jours ouvrables ou, si ce délai est plus court, dans les conditions prévues par la législation d’harmonisation de l’Union applicable. L’autorité de surveillance du marché en informe l’organisme notifié concerné. L’article 18 du règlement (UE) 2019/1020 s’applique aux mesures visées au deuxième alinéa du présent paragraphe.
  3. Lorsque l’autorité de surveillance du marché estime que le non-respect ne se limite pas à son territoire national, elle informe sans délai la Commission et les autres États membres des résultats de l’évaluation et des mesures qu’elle a demandé à l’opérateur de prendre.
  4. L’opérateur veille à ce que toutes les mesures correctives appropriées soient prises pour tous les systèmes d’IA concernés qu’il a mis à disposition sur le marché de l’Union.
  5. Lorsque l’exploitant d’un système d’IA ne prend pas de mesures correctives adéquates dans le délai visé au paragraphe 2, l’autorité de surveillance du marché prend toutes les mesures provisoires appropriées pour interdire ou restreindre la mise à disposition ou la mise en service du système d’IA sur son marché national, pour retirer le produit ou le système d’IA autonome de ce marché ou pour le rappeler. Cette autorité informe sans délai la Commission et les autres États membres de ces mesures.
  6. La notification visée au paragraphe 5 comprend tous les détails disponibles, en particulier les informations nécessaires à l’identification du système d’IA non conforme, l’origine du système d’IA et de la chaîne d’approvisionnement, la nature de la non-conformité alléguée et le risque encouru, la nature et la durée des mesures nationales prises et les arguments avancés par l’opérateur concerné. En particulier, les autorités de surveillance du marché indiquent si la non-conformité est due à un ou plusieurs des éléments suivants :

(a) le non-respect de l’interdiction des pratiques d’IA visées à l’article 5;

(b) le non-respect, par un système d’IA à haut risque, des exigences énoncées au chapitre III,
la section 2 ;

(c) les lacunes des normes harmonisées ou des spécifications communes visées aux articles 40 et 41, qui confèrent une présomption de conformité ;

(d) le non-respect de l’article 50.

  1. Les autorités de surveillance du marché autres que celle de l’État membre qui ouvre la procédure informent sans délai la Commission et les autres États membres de toute mesure adoptée et de toute information supplémentaire dont elles disposent concernant la non-conformité du système d’IA concerné et, en cas de désaccord avec la mesure nationale notifiée, de leurs objections.
  2. Lorsque, dans les trois mois suivant la réception de la notification visée au paragraphe 5 du présent article, aucune objection n’a été soulevée par une autorité de surveillance du marché d’un État membre ou par la Commission à l’égard d’une mesure provisoire prise par une autorité de surveillance du marché d’un autre État membre, cette mesure est réputée justifiée. Cette disposition s’applique sans préjudice des droits procéduraux de l’opérateur concerné conformément à l’article 18 du règlement (UE) 2019/1020. Le délai de trois mois visé au présent paragraphe est ramené à trente jours en cas de non-respect de l’interdiction des pratiques d’IA visée à l’article 5 du présent règlement.
  3. Les autorités de surveillance du marché veillent à ce que des mesures restrictives appropriées soient prises à l’égard du produit ou du système d’IA concerné, telles que le retrait du produit ou du système d’IA de leur marché, dans les meilleurs délais.

Perspectives avec d’autres textes

Règlement (UE) 2019/1020 du Parlement européen et du Conseil sur la surveillance du marché et la conformité des produits

L’article 79 s’inscrit explicitement dans la continuité de ce règlement, qui constitue le socle procédural général de la surveillance du marché dans l’Union. Le §1 de l’article 79 définit le système d’IA à risque par renvoi à l’article 3, point 19, du règlement 2019/1020. Le §2 mobilise l’article 18 de ce même règlement pour encadrer les mesures correctives. Cette articulation signifie que les autorités nationales appliquent une procédure hybride : les outils procéduraux généraux du règlement 2019/1020, complétés par les spécificités substantielles de l’IA Act, notamment l’extension du risque aux droits fondamentaux, qui est étrangère au régime classique de surveillance des produits.

Règlement (UE) 2016/679 — Règlement Général sur la Protection des Données (RGPD)

Lorsque le risque identifié par l’autorité de surveillance touche aux droits fondamentaux, et qu’un système d’IA à haut risque traite des données personnelles, la procédure de l’article 79 peut interagir avec les mécanismes de contrôle du RGPD. Une autorité de protection des données pourrait simultanément instruire une violation du RGPD sur le même système, notamment en cas de traitement discriminatoire fondé sur des données personnelles sensibles. Les deux procédures sont indépendantes mais convergentes, et la coopération entre l’autorité de surveillance du marché et l’autorité de contrôle des données personnelles devient alors une nécessité pratique pour éviter des injonctions contradictoires adressées au même opérateur.

Directive (UE) 2019/882 du Parlement européen et du Conseil relative aux exigences en matière d’accessibilité applicables aux produits et services

L’article 79 §2 impose une attention particulière aux systèmes d’IA présentant un risque pour les groupes vulnérables. Cette notion de vulnérabilité rejoint les préoccupations centrales de la directive accessibilité, qui impose aux fournisseurs de services numériques de garantir l’accès aux personnes en situation de handicap. Lorsqu’un système d’IA à haut risque est déployé dans un secteur couvert par cette directive, comme les services bancaires en ligne ou les services de communication, les autorités de surveillance devront apprécier le risque pour les groupes vulnérables en tenant compte également des exigences d’accessibilité.

Charte des droits fondamentaux de l’Union européenne

L’article 79 constitue l’une des rares procédures de surveillance du marché qui intègre explicitement les droits fondamentaux comme critère déclencheur. Lorsqu’une autorité identifie un risque pour ces droits, elle est tenue d’informer et de coopérer avec les autorités compétentes en la matière. La Charte fournit ici le référentiel substantiel : dignité humaine (article 1), non-discrimination (article 21), protection des données (article 8), droit à un recours effectif (article 47). En pratique, cela signifie que l’évaluation d’un système d’IA par une autorité de surveillance n’est plus seulement technique et économique ; elle comporte désormais une dimension constitutionnelle que les inspecteurs doivent être en mesure d’apprécier.

L’IA ACT peut sembler complexe. L’équipe de DPO externe de Mon Expert RGPD vous accompagne  pour auditer votre système d’IA selon les réglementations en vigueur. 

← Article précédent - Article 78 : Confidentialité
Article suivant –Article 80 : Procédure de traitement des systèmes d'IA classés par le fournisseur comme ne présentant pas de risque élevé en application de l'annexe III

Menu IA Act

Besoin d’aide pour cet article ?

Comprendre les obligations liées à cet article et éviter les erreurs.

Échanger avec un expert

🔓 Échange confidentiel – Sans engagement

Newsletter S'inscrire

Recevez nos derniers articles et actualités directement dans votre boîte de réception !

Votre e-mail est en sécurité 🔒. En entrant votre e-mail, vous acceptez de recevoir nos newsletter et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.