L'article 28 du Règlement (UE) 2024/1689 établit les obligations de notification des incidents graves impliquant des systèmes d'IA à haut risque. Cette disposition vise à garantir que les autorités compétentes soient rapidement informées des situations où un système d'IA a causé ou aurait pu causer un préjudice significatif.
La notification des incidents graves constitue un élément essentiel du dispositif de surveillance post-commercialisation. Elle permet aux autorités de prendre les mesures appropriées pour protéger les personnes, d'identifier les défaillances systémiques, et d'améliorer globalement la sécurité des systèmes d'IA sur le marché européen.
L'article 28 précise les acteurs tenus de notifier, les critères de définition d'un incident grave, les délais de notification, et le contenu des informations à communiquer aux autorités.
Texte officiel de l'article 28 de l'AI Act
L'article 28 de l'AI Act établit le cadre de notification des incidents graves :
Les fournisseurs et, le cas échéant, les déployeurs de systèmes d'IA à haut risque notifient tout incident grave aux autorités de surveillance du marché des États membres dans lesquels cet incident s'est produit.
Par « incident grave », on entend tout incident ou dysfonctionnement d'un système d'IA à haut risque qui, directement ou indirectement, entraîne l'une des conséquences suivantes :
a) le décès d'une personne ou une atteinte grave à la santé d'une personne ;
b) une perturbation grave et irréversible de la gestion ou du fonctionnement d'une infrastructure critique ;
c) une violation des obligations au titre du droit de l'Union destinées à protéger les droits fondamentaux ;
d) un dommage grave aux biens ou à l'environnement.
La notification est effectuée immédiatement après que le fournisseur ou le déployeur a établi un lien de causalité entre le système d'IA et l'incident, ou dès qu'il existe une possibilité raisonnable qu'un tel lien existe, et en tout état de cause dans un délai de 15 jours à compter de la date à laquelle le fournisseur ou le déployeur a pris connaissance de l'incident grave.
Analyse juridique de l'article 28
Acteurs soumis à l'obligation de notification
L'obligation de notification pèse sur les fournisseurs et, « le cas échéant », sur les déployeurs. Cette formulation reconnaît que le premier informé de l'incident peut être soit le fournisseur (via son système de surveillance post-commercialisation) soit le déployeur (qui observe le dysfonctionnement sur le terrain). L'un ou l'autre doit procéder à la notification, l'essentiel étant que l'autorité soit informée.
Définition de l'incident grave
Quatre catégories de conséquences caractérisent un incident grave :
- Atteinte aux personnes : décès ou atteinte grave à la santé
- Perturbation d'infrastructure critique : dysfonctionnement grave et irréversible
- Violation des droits fondamentaux : manquement aux obligations de protection établies par le droit de l'Union
- Dommage aux biens ou à l'environnement : préjudice matériel ou environnemental grave
Le lien entre le système d'IA et l'incident doit être établi ou raisonnablement suspecté pour déclencher l'obligation de notification.
Délais de notification
La notification doit intervenir « immédiatement » après l'établissement d'un lien de causalité ou dès qu'une « possibilité raisonnable » de tel lien existe. En tout état de cause, le délai maximum est de 15 jours à compter de la connaissance de l'incident. Ce délai est strict et vise à permettre une réaction rapide des autorités.
Autorité destinataire
La notification est adressée aux autorités de surveillance du marché des États membres dans lesquels l'incident s'est produit. En cas d'incident transfrontalier, plusieurs autorités nationales peuvent être concernées.
Exemples concrets d'application
📋 Exemple concret d'application de l'article 28 de l'AI Act
Cas 1 - Atteinte à la santé (dispositif médical IA) : Un système d'IA d'aide au diagnostic fournit une recommandation erronée conduisant à un retard de traitement et à l'aggravation de l'état d'un patient. Le fournisseur, informé par l'établissement de santé, doit notifier l'incident à l'autorité de surveillance dans les 15 jours maximum, en fournissant les informations disponibles sur le dysfonctionnement.
Cas 2 - Perturbation d'infrastructure critique : Un système d'IA de gestion du trafic ferroviaire génère des instructions contradictoires causant un blocage prolongé du réseau. L'opérateur ferroviaire (déployeur) notifie immédiatement l'incident à l'autorité compétente, compte tenu de la perturbation grave du service public.
Cas 3 - Violation des droits fondamentaux : Un système d'IA de présélection de candidats est identifié comme discriminant systématiquement les candidatures féminines pour certains postes. Le déployeur, après investigation confirmant le biais, notifie la violation du principe d'égalité de traitement à l'autorité de surveillance.
Cas 4 - Suspicion raisonnable : Plusieurs utilisateurs d'un véhicule autonome signalent des freinages brutaux inexpliqués. Bien que le lien avec le système d'IA de conduite ne soit pas formellement établi, le constructeur notifie les incidents par précaution, une possibilité raisonnable de lien existant.
Articulation avec les autres dispositions de l'AI Act
L'article 28 s'inscrit dans le dispositif de surveillance post-commercialisation établi par l'article 72, qui impose aux fournisseurs de mettre en place un système de collecte et d'analyse des informations sur les performances de leurs systèmes. La notification des incidents graves en est l'aboutissement pour les cas les plus sérieux.
Cette disposition complète l'article 20 relatif aux mesures correctives : face à un incident grave, le fournisseur doit simultanément notifier l'incident et prendre les mesures correctives appropriées (retrait, rappel, mise en conformité).
L'obligation de notification s'articule également avec les réglementations sectorielles : pour les dispositifs médicaux, les véhicules ou d'autres produits réglementés, les notifications au titre de l'AI Act s'ajoutent aux notifications prévues par les réglementations spécifiques.
Implications pratiques pour les organisations
Les fournisseurs et déployeurs doivent mettre en place des procédures internes de détection et d'escalade des incidents. Ces procédures doivent permettre d'identifier rapidement les incidents potentiellement graves et de les faire remonter aux personnes habilitées à décider de la notification.
La qualification de l'incident comme « grave » au sens de l'article 28 nécessite une analyse rapide mais rigoureuse. Des critères pré-établis peuvent faciliter cette qualification et éviter les hésitations préjudiciables au respect du délai.
Les coordonnées des autorités de surveillance du marché des différents États membres où le système est déployé doivent être identifiées à l'avance. Un formulaire de notification standardisé peut accélérer le processus.
La documentation de l'incident (circonstances, analyses réalisées, mesures prises) est essentielle, tant pour la notification elle-même que pour les investigations ultérieures des autorités.
L'article 28 de l'AI Act établit une obligation de notification rapide des incidents graves impliquant des systèmes d'IA à haut risque. Cette obligation, qui pèse sur les fournisseurs et les déployeurs, vise à garantir une information rapide des autorités pour la protection des personnes et l'amélioration de la sécurité des systèmes.
Les critères de gravité, couvrant les atteintes aux personnes, aux infrastructures critiques, aux droits fondamentaux et aux biens ou à l'environnement, définissent un périmètre large reflétant les différents types de préjudices que peuvent causer les systèmes d'IA défaillants.
Pour les organisations, la mise en conformité implique la mise en place de procédures d'escalade, de qualification et de notification des incidents, intégrées au système global de surveillance post-commercialisation.