L'article 29 du Règlement (UE) 2024/1689 définit le rôle et les obligations des autorités notifiantes dans le cadre du système d'évaluation de conformité des systèmes d'IA à haut risque. Les autorités notifiantes sont les organismes nationaux responsables de l'accréditation et de la surveillance des organismes notifiés qui procèdent aux évaluations de conformité par tierce partie.
Le système des organismes notifiés est un élément classique de la réglementation européenne des produits. Il permet de confier à des organismes privés, accrédités et surveillés par les autorités publiques, la tâche d'évaluer la conformité des produits aux exigences réglementaires. Pour l'IA à haut risque, ce système garantit une évaluation indépendante et experte.
L'article 29 établit les principes d'organisation des autorités notifiantes, leurs pouvoirs et leurs responsabilités, assurant ainsi la fiabilité du système de certification des systèmes d'IA à haut risque.
Texte officiel de l'article 29 de l'AI Act
L'article 29 de l'AI Act dispose :
1. Chaque État membre désigne ou établit au moins une autorité notifiante responsable de mettre en place et d'exécuter les procédures nécessaires à l'évaluation, à la désignation et à la notification des organismes d'évaluation de la conformité et à leur surveillance.
2. Les États membres peuvent décider que l'évaluation et la surveillance visées au paragraphe 1 sont effectuées par un organisme national d'accréditation au sens du règlement (CE) n° 765/2008 et conformément à celui-ci.
3. Les autorités notifiantes sont établies, organisées et gérées de manière à éviter tout conflit d'intérêts avec les organismes d'évaluation de la conformité et à garantir l'objectivité et l'impartialité de leurs activités.
4. Les autorités notifiantes sont organisées de façon à ce que les décisions concernant la notification des organismes d'évaluation de la conformité soient prises par des personnes compétentes différentes de celles qui ont réalisé l'évaluation de ces organismes.
5. Les autorités notifiantes n'offrent ni ne fournissent aucune des activités réalisées par les organismes d'évaluation de la conformité ni aucun service de conseil sur une base commerciale ou concurrentielle.
6. Les autorités notifiantes veillent à la confidentialité des informations qu'elles obtiennent conformément à l'article 78.
7. Les autorités notifiantes disposent d'un personnel compétent en nombre suffisant pour la bonne exécution de leurs tâches.
Analyse juridique de l'article 29
Désignation des autorités notifiantes
Chaque État membre doit désigner ou établir au moins une autorité notifiante. Cette obligation garantit la présence d'une structure nationale capable de gérer le système d'organismes notifiés. Les États membres ont une flexibilité dans le choix de l'organisation, pouvant créer une autorité nouvelle ou confier cette mission à un organisme existant.
Recours aux organismes d'accréditation nationaux
Le paragraphe 2 permet aux États membres de confier l'évaluation et la surveillance des organismes notifiés à l'organisme national d'accréditation (en France, le COFRAC). Cette option s'inscrit dans le cadre général du règlement (CE) n° 765/2008 sur l'accréditation et la surveillance du marché, assurant une cohérence avec les pratiques existantes pour d'autres réglementations de produits.
Indépendance et impartialité
Les paragraphes 3 à 5 établissent des garanties d'indépendance pour les autorités notifiantes :
- Absence de conflit d'intérêts avec les organismes d'évaluation de la conformité
- Séparation des fonctions d'évaluation et de décision de notification
- Interdiction d'exercer des activités d'évaluation de conformité ou de conseil commercial
Ces exigences visent à garantir que les décisions de notification (autorisation d'un organisme à devenir organisme notifié) sont prises de manière objective et impartiale.
Confidentialité et compétences
Les autorités notifiantes doivent respecter la confidentialité des informations obtenues dans l'exercice de leurs fonctions et disposer d'un personnel compétent en nombre suffisant. Ces exigences garantissent la qualité et la fiabilité du travail des autorités notifiantes.
Exemples concrets d'application
📋 Exemple concret d'application de l'article 29 de l'AI Act
Cas 1 - Désignation nationale en France : La France désigne la Direction générale des entreprises (DGE) comme autorité notifiante pour l'IA Act, en coordination avec le COFRAC pour l'accréditation technique des organismes candidats. Cette organisation s'appuie sur l'expérience acquise dans d'autres domaines réglementés (dispositifs médicaux, machines).
Cas 2 - Évaluation d'un organisme candidat : Un laboratoire d'essais souhaite devenir organisme notifié pour l'évaluation des systèmes d'IA à haut risque dans le domaine des infrastructures critiques. L'autorité notifiante examine sa compétence technique, son indépendance, ses procédures qualité, et ses ressources. L'évaluation est réalisée par des experts techniques, et la décision de notification est prise par une autre instance de l'autorité.
Cas 3 - Surveillance d'un organisme notifié : L'autorité notifiante effectue une surveillance annuelle des organismes notifiés qu'elle a désignés. Elle vérifie le maintien des compétences, la qualité des évaluations réalisées, et le respect des procédures. En cas de manquement, elle peut suspendre ou retirer la notification.
Cas 4 - Garantie d'indépendance : Un membre du personnel de l'autorité notifiante qui a précédemment travaillé pour un organisme d'évaluation de conformité ne peut participer aux décisions concernant cet organisme pendant une période appropriée, pour éviter tout conflit d'intérêts.
Articulation avec les autres dispositions de l'AI Act
L'article 29 s'inscrit dans le chapitre relatif aux organismes notifiés (articles 29-39). Il définit le cadre institutionnel dans lequel s'exercent les activités des organismes notifiés. Les articles suivants précisent les exigences applicables aux organismes notifiés eux-mêmes (article 30), la procédure de demande de notification (article 31), et les règles de fonctionnement des organismes notifiés (articles 32-39).
L'autorité notifiante joue également un rôle dans le dispositif de surveillance du marché, en coordination avec les autorités de surveillance du marché définies aux articles 74 et suivants. Elle contribue à la fiabilité du système de certification des systèmes d'IA à haut risque.
Implications pratiques pour les organisations
Pour les organismes souhaitant devenir organismes notifiés au titre de l'AI Act, la connaissance de l'autorité notifiante nationale et de ses procédures est essentielle. Le processus de candidature à la notification peut être long et exigeant, nécessitant de démontrer des compétences spécifiques en matière d'évaluation des systèmes d'IA.
Pour les fournisseurs de systèmes d'IA à haut risque devant recourir à une évaluation par tierce partie, le système des autorités notifiantes garantit que les organismes notifiés disponibles ont été évalués et surveillés par une autorité publique compétente. Cela contribue à la confiance dans les certifications obtenues.
Les États membres qui n'ont pas encore désigné leur autorité notifiante pour l'AI Act doivent le faire avant l'entrée en application des dispositions relatives aux organismes notifiés, afin de permettre la mise en place d'un réseau d'organismes notifiés opérationnel.
L'article 29 de l'AI Act établit le cadre institutionnel des autorités notifiantes, pilier du système d'évaluation de conformité par tierce partie. En imposant des exigences d'indépendance, d'impartialité et de compétence, le règlement garantit la fiabilité du processus de notification des organismes d'évaluation de conformité.
Ce système, inspiré des pratiques éprouvées dans d'autres domaines de la réglementation européenne des produits, permet de confier à des organismes privés accrédités la tâche d'évaluer la conformité des systèmes d'IA à haut risque, sous la surveillance des autorités publiques.
Pour les acteurs de l'écosystème IA, les autorités notifiantes représentent un interlocuteur clé dans le processus de mise sur le marché des systèmes à haut risque nécessitant une évaluation par tierce partie.