L'article 20 du Règlement (UE) 2024/1689 définit les obligations des fournisseurs de systèmes d'IA à haut risque lorsqu'ils constatent que leur système n'est pas conforme aux exigences du règlement. Cette disposition établit un régime d'action corrective et d'information qui vise à assurer une réaction rapide et efficace face aux situations de non-conformité.
L'article 20 incarne le principe de responsabilité continue du fournisseur après la mise sur le marché de son système. La conformité n'est pas un état figé acquis une fois pour toutes, mais une obligation dynamique qui impose une vigilance permanente et une capacité de réaction face aux non-conformités identifiées.
Cette disposition s'inscrit dans le dispositif plus large de surveillance post-commercialisation et complète les obligations de notification des incidents graves prévues à l'article 73. Elle établit un équilibre entre la nécessité d'une action rapide et le principe de proportionnalité des mesures correctives.
Texte officiel de l'article 20 de l'AI Act
L'article 20 de l'AI Act dispose :
1. Les fournisseurs de systèmes d'IA à haut risque qui considèrent ou ont des raisons de considérer qu'un système d'IA à haut risque qu'ils ont mis sur le marché ou mis en service n'est pas conforme au présent règlement prennent immédiatement les mesures correctives nécessaires pour mettre ce système en conformité, le retirer ou le rappeler, selon le cas. Ils informent les distributeurs du système d'IA à haut risque concerné et, le cas échéant, les déployeurs, le représentant autorisé et les importateurs en conséquence.
2. Lorsque le système d'IA à haut risque présente un risque au sens de l'article 79, paragraphe 1, et que le fournisseur prend connaissance de ce risque, ce dernier examine immédiatement les causes, en coopération avec le déployeur déclarant, le cas échéant, et informe les autorités de surveillance du marché compétentes pour le système d'IA à haut risque concerné et, le cas échéant, l'organisme notifié qui a délivré un certificat pour ce système d'IA à haut risque, en particulier de la nature de la non-conformité et de toute mesure corrective prise.
Analyse juridique de l'article 20
Déclenchement de l'obligation d'action
L'obligation d'action corrective se déclenche dès lors que le fournisseur « considère ou a des raisons de considérer » que son système n'est pas conforme. Ce standard de déclenchement est volontairement large : il ne suffit pas d'attendre une certitude de non-conformité, la simple existence de raisons raisonnables de le croire suffit à engager l'obligation d'agir.
Cette approche préventive vise à encourager une action rapide face aux signaux d'alerte, plutôt qu'une attitude attentiste qui pourrait aggraver les conséquences d'une non-conformité avérée.
Types de mesures correctives
Le règlement prévoit trois types de mesures selon la gravité et la nature de la non-conformité :
- Mise en conformité : correction du système pour éliminer la non-conformité (mise à jour logicielle, modification des paramètres, amélioration des processus)
- Retrait : cessation de la mise à disposition du système sur le marché (arrêt des ventes, suspension des licences)
- Rappel : récupération du système auprès des utilisateurs qui l'ont déjà acquis ou qui l'utilisent
Le choix de la mesure appropriée dépend de la nature de la non-conformité, de sa gravité, et de la possibilité de la corriger à distance ou non.
Devoir d'information de la chaîne de distribution
Le fournisseur doit informer les différents acteurs de la chaîne de valeur : distributeurs, déployeurs, représentant autorisé et importateurs. Cette information leur permet de prendre à leur tour les mesures appropriées et d'éviter que des systèmes non conformes continuent à être distribués ou utilisés.
Cas de risque pour la santé ou la sécurité
Le paragraphe 2 prévoit un régime renforcé lorsque la non-conformité présente un risque au sens de l'article 79, c'est-à-dire un risque pour la santé, la sécurité ou les droits fondamentaux des personnes. Dans ce cas, le fournisseur doit :
- Examiner immédiatement les causes en coopération avec le déployeur concerné
- Informer les autorités de surveillance du marché compétentes
- Informer, le cas échéant, l'organisme notifié ayant délivré un certificat
Cette information doit porter sur la nature de la non-conformité et les mesures correctives prises, permettant aux autorités d'évaluer la situation et de prendre, si nécessaire, des mesures complémentaires.
Caractère immédiat de l'action
L'adverbe « immédiatement » utilisé à deux reprises dans l'article souligne l'urgence attendue dans la réaction du fournisseur. Tout délai injustifié dans la prise de mesures correctives ou dans l'information des parties prenantes pourrait constituer un manquement supplémentaire.
Exemples concrets d'application
📋 Exemple concret d'application de l'article 20 de l'AI Act
Cas 1 - Biais détecté post-commercialisation : Un fournisseur de système de tri de CV découvre, grâce à son système de surveillance post-commercialisation, que son modèle présente un biais significatif défavorable aux candidats de certaines tranches d'âge. Il doit immédiatement : suspendre le système le temps de corriger le biais, informer tous les déployeurs (services RH utilisateurs) de la situation, déployer un correctif après validation, et documenter l'ensemble des actions dans son système de gestion de la qualité.
Cas 2 - Vulnérabilité de sécurité critique : Une faille de cybersécurité est identifiée dans un système d'IA d'authentification biométrique, permettant potentiellement un contournement. Le risque pour les droits fondamentaux étant avéré, le fournisseur doit : informer immédiatement l'autorité de surveillance du marché, notifier l'organisme qui a certifié le système, communiquer avec tous les distributeurs et déployeurs pour une mise à jour d'urgence ou une suspension temporaire, et documenter les causes et les mesures prises.
Cas 3 - Non-conformité documentaire : Lors d'un audit interne, un fournisseur constate que la documentation technique de son système ne couvre pas correctement les exigences de l'article 11. Cette non-conformité, bien que n'affectant pas directement le fonctionnement du système, doit être corrigée immédiatement par mise à jour de la documentation. L'information des distributeurs et déployeurs peut être plus légère si le fonctionnement du système n'est pas impacté.
Cas 4 - Rappel de produit : Un système d'IA embarqué dans un dispositif médical présente des dysfonctionnements graves ne pouvant être corrigés par mise à jour à distance. Le fournisseur doit procéder au rappel du produit : notification à tous les établissements de santé utilisateurs, organisation de la récupération et du remplacement des dispositifs, information des autorités compétentes (surveillance du marché et autorités sanitaires), et mise en place d'un suivi des patients potentiellement affectés.
Articulation avec les autres dispositions de l'AI Act
L'article 20 s'inscrit dans le dispositif de surveillance post-commercialisation établi par l'article 72, qui impose aux fournisseurs de mettre en place un système de surveillance continue de leurs produits. C'est souvent ce système qui permettra de détecter les non-conformités déclenchant l'application de l'article 20.
Lorsque la non-conformité constitue un incident grave au sens de l'article 73, les obligations de notification spécifiques de cet article s'ajoutent à celles de l'article 20. L'article 73 prévoit notamment des délais précis de notification aux autorités.
L'article 79, mentionné au paragraphe 2, définit les situations de risque nécessitant une évaluation et des mesures potentielles de la part des autorités de surveillance du marché. L'information prévue par l'article 20 permet à ces autorités de déclencher le cas échéant les procédures de l'article 79.
Les obligations de l'article 20 sont également liées aux responsabilités définies à l'article 16 (obligations générales des fournisseurs) et aux procédures prévues dans le système de gestion de la qualité de l'article 17.
Implications pratiques pour les organisations
Les fournisseurs doivent mettre en place des procédures internes permettant de détecter rapidement les situations de non-conformité et de déclencher les actions correctives appropriées. Ces procédures doivent être documentées dans le système de gestion de la qualité et testées régulièrement.
Un circuit d'escalade clair doit être défini pour permettre une prise de décision rapide face aux situations de non-conformité. Les responsabilités doivent être clairement attribuées : qui décide du type de mesure corrective, qui communique avec les autorités, qui coordonne l'information des partenaires commerciaux.
Les canaux de communication avec les distributeurs, déployeurs et représentants autorisés doivent être établis à l'avance et testés. En situation de crise, l'efficacité de la communication dépend largement de la préparation préalable.
Les contacts des autorités de surveillance du marché compétentes et des organismes notifiés doivent être identifiés et documentés. La procédure d'information de ces autorités doit être formalisée pour garantir une réaction rapide en cas de risque pour la santé, la sécurité ou les droits fondamentaux.
Enfin, les fournisseurs doivent prévoir des ressources (techniques, humaines, financières) pour gérer les situations de rappel ou de retrait de produit, qui peuvent représenter des opérations lourdes et coûteuses.
L'article 20 de l'AI Act établit un régime d'action corrective et d'information qui constitue un pilier essentiel de la responsabilité post-commercialisation des fournisseurs de systèmes d'IA à haut risque. En imposant une réaction immédiate face aux non-conformités et une communication transparente avec l'ensemble des parties prenantes, le règlement vise à limiter les conséquences négatives des défaillances des systèmes d'IA.
Le régime renforcé applicable aux situations présentant un risque pour la santé, la sécurité ou les droits fondamentaux souligne l'importance accordée par le législateur à la protection des personnes. L'information des autorités de surveillance permet une intervention rapide si les mesures du fournisseur s'avèrent insuffisantes.
Pour les organisations, la mise en conformité avec l'article 20 nécessite une préparation en amont : procédures documentées, circuits de décision identifiés, canaux de communication établis, et ressources prévues pour faire face aux différents scénarios de non-conformité.