L'article 21 du Règlement (UE) 2024/1689 établit l'obligation de coopération des fournisseurs de systèmes d'IA à haut risque avec les autorités nationales compétentes. Cette disposition constitue un élément essentiel du dispositif de surveillance du marché prévu par le règlement.
La coopération avec les autorités traduit le principe selon lequel la conformité réglementaire ne repose pas uniquement sur l'auto-évaluation des fournisseurs, mais implique un contrôle effectif par les pouvoirs publics. Cette supervision est d'autant plus importante que les systèmes d'IA à haut risque peuvent avoir des impacts significatifs sur les droits fondamentaux des personnes.
L'article 21 définit le périmètre de cette coopération et les conditions dans lesquelles elle doit s'exercer, tout en la limitant aux demandes motivées des autorités, garantissant ainsi un équilibre entre le pouvoir de contrôle et la protection des intérêts légitimes des opérateurs économiques.
Texte officiel de l'article 21 de l'AI Act
L'article 21 de l'AI Act dispose :
Les fournisseurs de systèmes d'IA à haut risque, à la demande motivée d'une autorité nationale compétente, fournissent à cette autorité toutes les informations et la documentation nécessaires pour démontrer la conformité du système d'IA à haut risque avec les exigences énoncées à la section 2, dans une langue aisément compréhensible par l'autorité. À la demande motivée d'une autorité nationale compétente, les fournisseurs accordent également à ladite autorité, le cas échéant, l'accès aux journaux générés automatiquement du système d'IA à haut risque visés à l'article 12, paragraphe 1, dans la mesure où ces journaux sont sous leur contrôle.
Analyse juridique de l'article 21
Nature de l'obligation de coopération
L'article 21 impose une obligation de coopération active des fournisseurs avec les autorités. Cette coopération ne se limite pas à une attitude passive de non-obstruction ; elle implique une fourniture proactive des informations et documents demandés. Le fournisseur doit s'organiser pour être en mesure de répondre efficacement aux demandes des autorités.
Condition de demande motivée
La coopération s'exerce « à la demande motivée » d'une autorité nationale compétente. Cette condition protège les fournisseurs contre des demandes arbitraires ou abusives. L'autorité doit justifier sa demande, ce qui implique généralement l'existence d'un contexte de contrôle, d'une plainte ou d'un signalement, ou d'une action de surveillance du marché.
Cette exigence de motivation ne signifie pas que le fournisseur peut contester systématiquement les demandes, mais qu'il peut légitimement demander des éclaircissements sur le fondement et la portée de la demande.
Périmètre des informations à fournir
Le fournisseur doit fournir « toutes les informations et la documentation nécessaires pour démontrer la conformité » aux exigences de la section 2 (articles 8-15). Ce périmètre est large et peut inclure :
- La documentation technique prévue à l'article 18
- Les résultats des évaluations de conformité
- La déclaration UE de conformité
- Les procédures du système de gestion de la qualité
- Les résultats des tests et validations
- Les rapports de gestion des risques
Accès aux journaux automatiques
L'article prévoit spécifiquement l'accès aux journaux générés automatiquement visés à l'article 12. Cette disposition est particulièrement importante pour permettre aux autorités d'analyser le fonctionnement effectif du système et de vérifier sa conformité en conditions réelles d'utilisation.
L'accès aux journaux est toutefois limité à ceux « sous le contrôle » du fournisseur. Lorsque les journaux sont sous le contrôle du déployeur, l'obligation correspondante relève de l'article 26.
Exigence linguistique
Les informations doivent être fournies « dans une langue aisément compréhensible par l'autorité ». En pratique, cela signifie généralement la langue officielle de l'État membre dont relève l'autorité, ou une langue acceptée par celle-ci (souvent l'anglais pour les documents techniques).
Exemples concrets d'application
📋 Exemple concret d'application de l'article 21 de l'AI Act
Cas 1 - Contrôle suite à une plainte : L'autorité de surveillance du marché française reçoit une plainte concernant un système d'IA de scoring bancaire accusé de discrimination. Elle adresse au fournisseur une demande motivée sollicitant : la documentation technique décrivant le modèle et les données d'entraînement, les résultats des tests de biais et d'équité, les mesures d'atténuation des risques de discrimination, et les journaux de décisions sur un échantillon de cas. Le fournisseur doit fournir ces éléments en français ou en anglais si l'autorité l'accepte.
Cas 2 - Campagne de surveillance sectorielle : L'autorité allemande lance une campagne de contrôle des systèmes d'IA utilisés dans le recrutement. Elle adresse à plusieurs fournisseurs des demandes standardisées portant sur la démonstration de conformité aux exigences de transparence (article 13) et de contrôle humain (article 14). Chaque fournisseur doit répondre individuellement en fournissant les éléments spécifiques à son système.
Cas 3 - Coopération transfrontalière : Un fournisseur établi aux Pays-Bas commercialise son système dans plusieurs États membres. L'autorité espagnole, suite à un signalement, demande des informations. Le fournisseur doit coopérer directement avec l'autorité espagnole, en fournissant les documents requis en espagnol ou en anglais. L'autorité néerlandaise peut également être impliquée via les mécanismes de coopération entre autorités.
Cas 4 - Accès aux logs pour investigation : Suite à un incident impliquant un système d'IA de surveillance vidéo, l'autorité demande l'accès aux journaux pour analyser le comportement du système au moment des faits. Le fournisseur, qui héberge les journaux sur son cloud, doit fournir un export des logs pertinents ou un accès à sa plateforme de consultation, selon les modalités convenues avec l'autorité.
Articulation avec les autres dispositions de l'AI Act
L'article 21 s'inscrit dans l'ensemble des dispositions relatives à la surveillance du marché (chapitre IX) et complète les pouvoirs d'investigation des autorités définis à l'article 74. Il est également lié à l'article 16, point k), qui liste l'obligation de démontrer la conformité parmi les obligations générales des fournisseurs.
Les informations susceptibles d'être demandées au titre de l'article 21 correspondent principalement à celles que le fournisseur doit établir et conserver en vertu des articles 17 (système de gestion de la qualité), 18 (documentation technique) et 19 (journaux). Une bonne organisation de ces éléments facilite la réponse aux demandes des autorités.
L'article 21 complète également les obligations d'information proactive prévues à l'article 20 (mesures correctives) et à l'article 73 (notification des incidents graves). L'ensemble forme un dispositif complet d'échange d'informations entre fournisseurs et autorités.
Implications pratiques pour les organisations
Les fournisseurs doivent organiser leur documentation et leurs systèmes d'information pour être en mesure de répondre efficacement aux demandes des autorités. Cela implique une indexation claire de la documentation, des procédures d'extraction des journaux, et une identification des personnes habilitées à communiquer avec les autorités.
La question linguistique peut nécessiter une anticipation, notamment pour les fournisseurs opérant dans plusieurs États membres. La traduction de documents techniques volumineux peut prendre du temps ; il peut être pertinent de maintenir certains documents clés dans plusieurs langues ou en anglais comme langue pivot.
Les fournisseurs doivent également former leurs équipes aux procédures de réponse aux demandes des autorités : qui est le point de contact, quels sont les délais de réponse attendus, comment gérer les demandes portant sur des informations confidentielles (secrets d'affaires, données personnelles).
Enfin, il est recommandé d'établir un registre des demandes reçues et des réponses apportées, permettant un suivi et une amélioration continue des processus de coopération.
L'article 21 de l'AI Act établit une obligation de coopération substantielle des fournisseurs de systèmes d'IA à haut risque avec les autorités nationales compétentes. Cette coopération, encadrée par l'exigence de demande motivée, couvre la fourniture d'informations et de documentation nécessaires à la démonstration de conformité, ainsi que l'accès aux journaux du système.
Cette disposition reflète l'importance accordée par le législateur européen à une supervision effective des systèmes d'IA à haut risque, au-delà de la seule auto-évaluation des fournisseurs. Elle constitue un outil essentiel pour les autorités dans l'exercice de leur mission de protection des personnes.
Pour les fournisseurs, la capacité à répondre efficacement aux demandes des autorités dépend d'une bonne organisation préalable : documentation structurée, journaux accessibles, procédures établies et personnel formé. Cette préparation est également un indicateur de maturité dans la démarche de conformité globale.