L'article 33 du Règlement (UE) 2024/1689 établit le système d'identification unique des organismes notifiés et la publication centralisée de leurs listes au niveau européen. Ce dispositif constitue un pilier essentiel de la transparence et de la traçabilité du système de certification des systèmes d'IA à haut risque.
Dans un marché unique où les systèmes d'IA circulent librement entre États membres, l'identification claire et univoque des organismes habilités à délivrer des certifications est indispensable. Le numéro d'identification unique permet de vérifier instantanément l'authenticité d'un certificat et la compétence de l'organisme qui l'a délivré.
Cette disposition s'inscrit dans la continuité des mécanismes éprouvés du Nouveau Cadre Législatif européen, adaptant au domaine de l'intelligence artificielle les outils de transparence développés pour d'autres secteurs réglementés comme les dispositifs médicaux ou les équipements de protection individuelle.
Texte officiel de l'article 33 de l'AI Act
1. La Commission attribue un numéro d'identification à chaque organisme notifié, y compris lorsqu'un organisme est notifié au titre de plusieurs actes de l'Union.
2. La Commission rend publique la liste des organismes notifiés au titre du présent règlement, y compris leurs numéros d'identification et les activités pour lesquelles ils ont été notifiés. La Commission veille à ce que cette liste soit tenue à jour.
Analyse juridique approfondie
Le système de numérotation unique
Le paragraphe 1 établit un principe fondamental : chaque organisme notifié reçoit un numéro d'identification unique attribué par la Commission européenne. Ce numéro est attribué une seule fois et reste attaché à l'organisme pour toute la durée de sa notification.
La particularité importante est que ce numéro reste le même même lorsqu'un organisme est notifié au titre de plusieurs actes de l'Union. Ainsi, un organisme notifié à la fois pour l'AI Act, le Règlement sur les dispositifs médicaux et la directive Machines portera le même numéro d'identification pour toutes ces notifications. Cette unicité facilite la traçabilité et évite les confusions.
Le numéro d'identification figure obligatoirement sur tous les certificats délivrés par l'organisme notifié, permettant une vérification immédiate de leur authenticité.
La base de données NANDO
Le paragraphe 2 impose la publication d'une liste centralisée et publique de tous les organismes notifiés. Cette liste est gérée via le système NANDO (New Approach Notified and Designated Organisations), la base de données officielle de la Commission européenne.
La base NANDO contient pour chaque organisme notifié :
- Son numéro d'identification unique
- Sa dénomination et ses coordonnées
- L'État membre qui l'a notifié
- Les actes législatifs au titre desquels il est notifié
- Le périmètre précis de ses compétences (catégories de systèmes d'IA)
- Les procédures d'évaluation de la conformité qu'il peut réaliser
- La date de notification et toute restriction éventuelle
L'obligation de mise à jour
La Commission doit veiller à ce que la liste soit "tenue à jour". Cette obligation implique :
- L'ajout rapide des nouveaux organismes notifiés
- La suppression des organismes dont la notification a été retirée ou suspendue
- La mise à jour des périmètres de compétence modifiés
- L'indication de toute restriction ou condition imposée à un organisme
Exemple d'application
📋 Vérification d'un certificat de conformité
Une entreprise française souhaite acheter un système d'IA de recrutement certifié conforme à l'AI Act. Le certificat fourni par le vendeur indique qu'il a été délivré par l'organisme n° 2847.
L'acheteur consulte la base NANDO et vérifie que :
- L'organisme 2847 est bien notifié au titre de l'AI Act
- Son périmètre de compétence couvre les systèmes d'IA de catégorie "emploi et recrutement"
- Sa notification est active et non suspendue
Cette vérification prend quelques minutes et garantit l'authenticité de la certification.
Articulation avec d'autres dispositions
L'article 33 s'articule étroitement avec plusieurs autres dispositions de l'AI Act :
- Article 28 (Désignation des organismes notifiés) : définit les conditions que doivent remplir les organismes pour être notifiés
- Article 31 (Exigences applicables aux organismes notifiés) : précise les compétences techniques requises
- Article 32 (Procédure de notification) : détaille la procédure par laquelle les États membres notifient les organismes à la Commission
- Article 34 (Filiales et sous-traitance) : encadre la délégation d'activités par les organismes notifiés
- Article 44 (Certificats) : définit le contenu et la validité des certificats délivrés par les organismes notifiés
Implications pratiques
Pour les fournisseurs de systèmes d'IA
Les fournisseurs utilisent la base NANDO pour identifier les organismes notifiés compétents dans leur domaine. Ils peuvent comparer les organismes disponibles et choisir celui qui correspond le mieux à leurs besoins en termes de spécialisation, délais et localisation géographique.
Pour les autorités de surveillance
Lorsqu'une autorité de surveillance du marché contrôle un système d'IA certifié, elle vérifie via NANDO que l'organisme qui a délivré le certificat était bien compétent pour le faire. Cette vérification est essentielle pour détecter d'éventuels certificats frauduleux.
Pour les utilisateurs et le public
La transparence du système permet à quiconque de vérifier qu'un système d'IA prétendument certifié l'est effectivement par un organisme dûment habilité. Cette accessibilité renforce la confiance dans le système de certification.
L'article 33 établit un système d'identification et de publication transparent et centralisé pour les organismes notifiés au titre de l'AI Act. En s'appuyant sur l'infrastructure éprouvée de la base NANDO, cette disposition garantit la traçabilité des certifications et permet à tous les acteurs – fournisseurs, autorités, utilisateurs – de vérifier rapidement et facilement la légitimité des organismes certificateurs et l'authenticité des certificats délivrés.