L'article 30 du Règlement (UE) 2024/1689 définit les exigences que doivent satisfaire les organismes souhaitant être notifiés pour procéder aux évaluations de conformité des systèmes d'IA à haut risque. Ces exigences visent à garantir la compétence, l'indépendance et la fiabilité des organismes notifiés.
Les organismes notifiés jouent un rôle central dans le système de certification des systèmes d'IA à haut risque nécessitant une évaluation par tierce partie. Leur travail détermine si un système peut légalement être mis sur le marché européen avec le marquage CE. La qualité de leurs évaluations conditionne directement la sécurité des systèmes d'IA déployés.
L'article 30 établit un ensemble complet d'exigences couvrant le statut juridique, l'indépendance, les compétences techniques, les procédures de travail et les assurances des organismes notifiés, créant un cadre exigeant pour ces acteurs clés de la conformité.
Texte officiel de l'article 30 de l'AI Act (extraits)
L'article 30 de l'AI Act dispose :
1. Un organisme notifié est établi en vertu du droit national d'un État membre et a la personnalité juridique.
2. Les organismes notifiés satisfont aux exigences organisationnelles et opérationnelles et aux exigences en matière de responsabilité et de compétences nécessaires pour exécuter leurs tâches.
3. La structure organisationnelle, l'attribution des responsabilités, la chaîne hiérarchique et le fonctionnement des organismes notifiés sont tels qu'ils garantissent la confiance dans les activités d'évaluation de la conformité réalisées par les organismes notifiés et dans les résultats de celles-ci.
4. Les organismes notifiés sont indépendants du fournisseur d'un système d'IA à haut risque à l'égard duquel ils réalisent des activités d'évaluation de la conformité. (...)
5. Les organismes notifiés et leur personnel réalisent les activités d'évaluation de la conformité avec la plus grande intégrité professionnelle et la compétence technique requise dans le domaine spécifique, et sont libres de toutes pressions et incitations, notamment financières, susceptibles d'influer sur leur jugement ou les résultats de leurs activités d'évaluation de la conformité.
6. Les organismes notifiés sont capables de réaliser l'ensemble des tâches d'évaluation de la conformité qui leur sont confiées par le présent règlement (...)
7. Les organismes notifiés disposent d'un personnel compétent suffisant et possèdent ou ont accès aux installations, équipements et systèmes nécessaires (...)
8. Les organismes notifiés participent aux activités de normalisation pertinentes et aux activités du groupe de coordination des organismes notifiés établi en vertu de l'article 38 (...)
Analyse juridique de l'article 30
Statut juridique et établissement
L'organisme notifié doit être établi en vertu du droit national d'un État membre et avoir la personnalité juridique. Cette exigence garantit que l'organisme est une entité juridique clairement identifiée, soumise à un cadre juridique national, et pouvant engager sa responsabilité.
Exigences d'indépendance
L'indépendance des organismes notifiés est une exigence fondamentale. Ils doivent être indépendants des fournisseurs dont ils évaluent les systèmes, ce qui exclut toute relation commerciale, capitalistique ou hiérarchique susceptible d'influencer leur jugement. Cette indépendance s'applique également aux sous-traitants et filiales.
Le personnel doit être libre de toute pression ou incitation, notamment financière, susceptible d'affecter l'impartialité des évaluations. Des règles strictes de conflit d'intérêts doivent être appliquées.
Compétences techniques
Les organismes notifiés doivent disposer de la compétence technique requise dans le domaine spécifique de l'IA. Cette exigence implique :
- Du personnel qualifié ayant une expertise en intelligence artificielle, en sécurité informatique, et dans les domaines d'application concernés
- Des connaissances actualisées des évolutions technologiques et réglementaires
- La capacité d'évaluer les aspects techniques spécifiques aux systèmes d'IA (qualité des données, performances, robustesse, etc.)
Capacités opérationnelles
L'organisme doit disposer des ressources matérielles et humaines nécessaires à ses missions : personnel suffisant, installations adaptées, équipements et systèmes pour réaliser les tests et analyses requis. Il doit pouvoir réaliser l'ensemble des tâches d'évaluation de conformité prévues par le règlement.
Participation aux activités collectives
Les organismes notifiés doivent participer aux activités de normalisation pertinentes et au groupe de coordination des organismes notifiés (article 38). Cette participation garantit une harmonisation des pratiques et un partage d'expérience entre organismes.
Exemples concrets d'application
📋 Exemple concret d'application de l'article 30 de l'AI Act
Cas 1 - Constitution d'une équipe d'évaluation : Un organisme notifié constitue une équipe pour évaluer un système d'IA de diagnostic médical. L'équipe comprend : un expert en apprentissage automatique, un spécialiste en imagerie médicale, un auditeur de systèmes qualité, et un expert en cybersécurité. Aucun membre n'a de lien avec le fournisseur évalué.
Cas 2 - Vérification d'indépendance : Avant d'accepter une mission d'évaluation, l'organisme notifié vérifie l'absence de conflit d'intérêts : aucun de ses salariés n'a travaillé pour le fournisseur dans les 24 derniers mois, l'organisme n'a pas fourni de services de conseil au fournisseur, et aucune relation capitalistique n'existe entre les deux entités.
Cas 3 - Maintien des compétences : Un organisme notifié met en place un programme de formation continue pour son personnel évaluateur. Celui-ci inclut : veille technologique sur les évolutions de l'IA, participation à des conférences spécialisées, formation aux nouvelles normes harmonisées, et échanges avec d'autres organismes notifiés dans le cadre du groupe de coordination.
Cas 4 - Infrastructure d'évaluation : Pour évaluer des systèmes d'IA de reconnaissance faciale, l'organisme notifié se dote d'une infrastructure de test comprenant : des bases de données de référence pour mesurer les performances, des environnements de test sécurisés, et des outils d'analyse des biais et de la robustesse.
Articulation avec les autres dispositions de l'AI Act
L'article 30 définit les conditions préalables à la notification, qui est formalisée par la procédure de l'article 31 (demande de notification) et l'article 32 (procédure de notification). Une fois notifiés, les organismes doivent respecter les obligations opérationnelles définies aux articles 33 à 37.
Le groupe de coordination des organismes notifiés (article 38) assure l'harmonisation des pratiques et l'échange d'expérience. Ce groupe contribue à la qualité globale des évaluations de conformité au niveau européen.
Les exigences de l'article 30 sont évaluées par l'autorité notifiante (article 29) avant toute notification. Le maintien de ces exigences est surveillé tout au long de la période de notification.
Implications pratiques pour les organisations
Pour les organismes souhaitant devenir organismes notifiés au titre de l'AI Act, les exigences de l'article 30 impliquent des investissements significatifs en compétences, en infrastructure et en organisation. Le recrutement ou la formation de personnel expert en IA est un enjeu majeur compte tenu de la rareté de ces compétences.
Les organismes déjà notifiés pour d'autres réglementations (dispositifs médicaux, machines, etc.) peuvent capitaliser sur leur expérience, mais doivent compléter leurs compétences en matière d'intelligence artificielle. La spécificité des systèmes d'IA (apprentissage automatique, qualité des données, biais algorithmiques) requiert des expertises nouvelles.
Pour les fournisseurs de systèmes d'IA à haut risque, les exigences imposées aux organismes notifiés garantissent la qualité et la fiabilité des évaluations de conformité. Le choix d'un organisme notifié compétent et expérimenté contribue à la qualité de l'évaluation et à la crédibilité de la certification.
L'article 30 de l'AI Act établit un cadre exigeant pour les organismes notifiés chargés des évaluations de conformité des systèmes d'IA à haut risque. Les exigences d'indépendance, de compétence technique et de capacité opérationnelle visent à garantir la qualité et la fiabilité des évaluations.
La spécificité des systèmes d'IA justifie des exigences de compétences techniques particulières, notamment en matière d'apprentissage automatique, de qualité des données et de robustesse des systèmes. Les organismes notifiés doivent maintenir ces compétences à jour face aux évolutions rapides des technologies d'IA.
Pour l'écosystème européen de l'IA, la qualité des organismes notifiés est un facteur clé de confiance dans le système de certification. Des organismes compétents et indépendants contribuent à la sécurité des systèmes d'IA déployés sur le marché européen.