L'article 23 du Règlement (UE) 2024/1689 définit les obligations spécifiques des importateurs de systèmes d'IA à haut risque. L'importateur, en tant que premier acteur économique établi dans l'Union à mettre le système sur le marché, joue un rôle de « gardien » (gatekeeper) essentiel pour s'assurer que seuls des systèmes conformes accèdent au marché européen.
La notion d'importateur vise les personnes physiques ou morales établies dans l'Union qui mettent sur le marché de l'Union un système d'IA portant le nom ou la marque d'une personne physique ou morale établie en dehors de l'Union. Cette définition distingue l'importateur du représentant autorisé, qui agit au nom du fournisseur.
Les obligations de l'importateur portent principalement sur des vérifications préalables à la mise sur le marché et sur des obligations d'identification et de traçabilité, contribuant ainsi à l'effectivité du contrôle réglementaire des systèmes d'IA importés.
Texte officiel de l'article 23 de l'AI Act
L'article 23 de l'AI Act dispose :
1. Avant de mettre un système d'IA à haut risque sur le marché, les importateurs s'assurent que :
a) le fournisseur de ce système d'IA a suivi la procédure d'évaluation de la conformité appropriée visée à l'article 43 ;
b) le fournisseur a établi la documentation technique conformément à l'article 11 et à l'annexe IV ;
c) le système porte le marquage CE requis et est accompagné de la déclaration UE de conformité visée à l'article 47 et des instructions d'utilisation ;
d) le fournisseur a désigné un représentant autorisé conformément à l'article 22, paragraphe 1.
2. Lorsqu'un importateur considère ou a des raisons de considérer qu'un système d'IA à haut risque n'est pas conforme au présent règlement, il ne met pas ce système sur le marché tant qu'il n'a pas été mis en conformité. Lorsque le système d'IA à haut risque présente un risque au sens de l'article 79, paragraphe 1, l'importateur en informe le fournisseur du système d'IA, les représentants autorisés et les autorités de surveillance du marché.
3. Les importateurs indiquent sur le système d'IA à haut risque ou, lorsque ce n'est pas possible, sur son emballage ou dans la documentation qui l'accompagne, selon le cas, leur nom, leur raison sociale ou leur marque déposée, ainsi que l'adresse à laquelle ils peuvent être contactés.
4. Les importateurs s'assurent que, tant qu'un système d'IA à haut risque est sous leur responsabilité, ses conditions de stockage ou de transport ne compromettent pas sa conformité avec les exigences énoncées à la section 2, le cas échéant.
5. Les importateurs conservent pendant une période de dix ans après la mise sur le marché ou la mise en service du système d'IA à haut risque une copie du certificat délivré par l'organisme notifié, le cas échéant, des instructions d'utilisation et de la déclaration UE de conformité visée à l'article 47.
6. Les importateurs fournissent à une autorité nationale compétente concernée, sur demande motivée de celle-ci, toutes les informations et la documentation nécessaires, y compris celle visée au paragraphe 5, pour démontrer la conformité d'un système d'IA à haut risque avec les exigences énoncées à la section 2, dans une langue aisément compréhensible par cette autorité nationale compétente. À cette fin, ils veillent également à ce que la documentation technique puisse être mise à la disposition de cette autorité.
7. Les importateurs coopèrent avec les autorités nationales compétentes concernées à toute mesure prise par ces autorités à l'égard d'un système d'IA à haut risque mis sur le marché par ces importateurs, notamment lorsque ce système présente un risque au sens de l'article 79.
Analyse juridique de l'article 23
Vérifications préalables obligatoires
Avant toute mise sur le marché, l'importateur doit procéder à des vérifications documentaires portant sur :
- La réalisation de l'évaluation de conformité par le fournisseur
- L'existence de la documentation technique conforme à l'annexe IV
- La présence du marquage CE, de la déclaration UE de conformité et des instructions d'utilisation
- La désignation d'un représentant autorisé par le fournisseur
Ces vérifications constituent une obligation de moyens : l'importateur doit s'assurer de l'existence et de l'apparente conformité des documents, sans être tenu de procéder lui-même à une évaluation technique complète du système.
Obligation de non-mise sur le marché en cas de doute
Lorsque l'importateur a des raisons de considérer que le système n'est pas conforme, il ne doit pas le mettre sur le marché. Cette obligation de vigilance protège le marché européen contre l'introduction de systèmes potentiellement non conformes. En cas de risque identifié, l'importateur doit informer le fournisseur, le représentant autorisé et les autorités de surveillance.
Identification de l'importateur
L'importateur doit indiquer ses coordonnées sur le système, son emballage ou sa documentation. Cette exigence de traçabilité permet aux autorités et aux utilisateurs d'identifier le responsable de l'importation et de le contacter en cas de besoin.
Conservation et intégrité du système
L'importateur est responsable des conditions de stockage et de transport du système tant qu'il est sous sa responsabilité. Il doit veiller à ce que ces conditions ne compromettent pas la conformité du système.
Obligations documentaires et de coopération
L'importateur doit conserver pendant 10 ans les documents clés (certificat, instructions, déclaration) et coopérer avec les autorités en fournissant les informations demandées et en participant aux mesures prises concernant le système.
Exemples concrets d'application
📋 Exemple concret d'application de l'article 23 de l'AI Act
Cas 1 - Vérifications préalables à l'importation : Une société française souhaite importer et distribuer un système d'IA de reconnaissance vocale développé par un fournisseur coréen. Avant de mettre le système sur le marché, elle vérifie : l'existence du certificat de conformité délivré par un organisme notifié, la présence du marquage CE et de la déclaration UE de conformité en français, la disponibilité des instructions d'utilisation, et la désignation d'un représentant autorisé dans l'UE par le fournisseur coréen.
Cas 2 - Détection d'une non-conformité : Lors de ses vérifications, un importateur constate que la documentation technique fournie par le fournisseur chinois est incomplète (absence d'information sur les données d'entraînement). Il suspend l'importation et demande au fournisseur de compléter la documentation. Tant que les éléments manquants ne sont pas fournis, il refuse de mettre le système sur le marché européen.
Cas 3 - Information des autorités en cas de risque : Après avoir mis un système sur le marché, un importateur apprend par le fournisseur qu'une faille de sécurité a été découverte, créant un risque pour les données des utilisateurs. Il informe immédiatement l'autorité de surveillance du marché française, le représentant autorisé du fournisseur, et coordonne avec le fournisseur les mesures correctives à prendre.
Cas 4 - Contrôle par les autorités : L'autorité de surveillance du marché allemande contrôle un importateur de systèmes d'IA de diagnostic médical. L'importateur fournit les copies des certificats des organismes notifiés, les déclarations de conformité, et les instructions d'utilisation conservées depuis l'importation. Il facilite également l'accès à la documentation technique détenue par le fournisseur via le représentant autorisé.
Articulation avec les autres dispositions de l'AI Act
L'article 23 s'articule avec l'article 22 relatif aux représentants autorisés : l'importateur doit vérifier que le fournisseur a bien désigné un représentant, tandis que le représentant assume des obligations complémentaires de conservation documentaire et de coopération avec les autorités.
Les obligations de l'importateur sont également liées aux obligations des fournisseurs (article 16) : l'importateur vérifie que le fournisseur a rempli ses obligations de conformité avant de permettre l'accès au marché européen. En ce sens, l'importateur joue un rôle de contrôle complémentaire.
L'article 24 relatif aux distributeurs et l'article 25 sur les responsabilités dans la chaîne de valeur complètent ce dispositif en définissant les obligations des autres acteurs intervenant après l'importation.
Implications pratiques pour les organisations
Les importateurs doivent mettre en place des procédures de vérification systématique avant toute importation de systèmes d'IA à haut risque. Ces procédures doivent inclure des checklists couvrant l'ensemble des points de l'article 23, paragraphe 1, et des critères de décision pour les cas de doute sur la conformité.
La relation contractuelle avec les fournisseurs de pays tiers doit intégrer des clauses garantissant la fourniture des documents nécessaires (documentation technique, déclaration de conformité, certificats) et l'engagement du fournisseur à désigner un représentant autorisé.
Les importateurs doivent organiser un système de conservation documentaire permettant de conserver pendant 10 ans les documents requis et de les retrouver facilement en cas de demande des autorités.
La formation du personnel en charge des opérations d'importation est essentielle : identification des systèmes d'IA à haut risque, connaissance des documents à vérifier, procédures d'escalade en cas de doute sur la conformité.
L'article 23 de l'AI Act confère aux importateurs un rôle de « gardien » du marché européen pour les systèmes d'IA à haut risque en provenance de pays tiers. Les vérifications préalables imposées constituent un filtre important pour s'assurer que seuls des systèmes ayant fait l'objet d'une évaluation de conformité et disposant de la documentation requise accèdent au marché de l'Union.
Les obligations d'identification, de conservation documentaire et de coopération avec les autorités complètent ce dispositif en assurant la traçabilité et le contrôle effectif des systèmes importés tout au long de leur cycle de vie.
Pour les entreprises d'importation, la conformité avec l'article 23 nécessite une organisation rigoureuse, des relations contractuelles adaptées avec les fournisseurs, et une vigilance constante face aux risques de non-conformité des systèmes qu'elles introduisent sur le marché européen.