L'article 35 du Règlement (UE) 2024/1689 définit les obligations opérationnelles que doivent respecter les organismes notifiés dans l'exercice quotidien de leurs activités d'évaluation de conformité. Ces obligations encadrent la manière dont les évaluations sont conduites et garantissent leur qualité et leur cohérence.

Au-delà des exigences structurelles de l'article 31 (compétence, indépendance, impartialité), l'article 35 précise comment les organismes doivent concrètement mener leurs activités. Il introduit notamment le principe de proportionnalité, essentiel pour assurer l'accessibilité du système de certification aux entreprises de toutes tailles.

Ces obligations opérationnelles contribuent à la crédibilité du système de certification européen et à la confiance que les utilisateurs peuvent accorder aux systèmes d'IA certifiés conformes.

Texte officiel de l'article 35 de l'AI Act

1. Les organismes notifiés effectuent des évaluations de la conformité conformément aux procédures d'évaluation de la conformité prévues à l'article 43.

2. Les évaluations de la conformité sont effectuées de manière proportionnée, en évitant d'imposer aux fournisseurs des charges inutiles. Les organismes d'évaluation de la conformité exercent leurs activités en tenant dûment compte de la taille de l'entreprise, du secteur dans lequel elle exerce ses activités, de sa structure, du degré de complexité du système d'IA concerné.

3. Les organismes notifiés respectent néanmoins le degré de rigueur et le niveau de protection requis pour la conformité du système d'IA à haut risque avec les exigences du présent règlement.

4. Lorsqu'un organisme notifié constate que les exigences énoncées à la section 2 du chapitre III ou dans les normes harmonisées correspondantes ou les spécifications communes visées aux articles 40 et 41 n'ont pas été respectées par un fournisseur, il demande à ce dernier de prendre les mesures correctives appropriées et ne délivre pas de certificat de conformité de l'UE.

5. Lorsque, au cours du suivi de la conformité faisant suite à la délivrance d'un certificat, un organisme notifié constate qu'un système d'IA ne satisfait plus aux exigences, il demande au fournisseur de prendre les mesures correctives appropriées et suspend ou retire le certificat si nécessaire.

6. Les organismes notifiés rendent compte aux autorités notifiantes compétentes de leurs activités d'évaluation de la conformité et fournissent, sur demande, toutes les informations pertinentes.

Analyse juridique approfondie

Le respect des procédures d'évaluation (paragraphe 1)

Le paragraphe 1 renvoie à l'article 43 qui définit les procédures d'évaluation de la conformité applicables. Les organismes notifiés doivent strictement respecter ces procédures, qui peuvent varier selon :

  • Le type de système d'IA (annexe III)
  • La procédure choisie (contrôle interne ou évaluation par tierce partie)
  • Les annexes VI et VII qui détaillent les procédures

Le principe de proportionnalité (paragraphes 2 et 3)

Le paragraphe 2 introduit un principe fondamental : la proportionnalité des évaluations. Les organismes notifiés doivent adapter leurs méthodes en fonction de :

  • La taille de l'entreprise : Une startup ne peut supporter les mêmes charges qu'une multinationale
  • Le secteur d'activité : Les pratiques varient selon les domaines (santé, finance, transport...)
  • La structure de l'entreprise : PME isolée vs filiale de groupe
  • La complexité du système d'IA : Système simple vs architecture complexe multi-modèles

Toutefois, le paragraphe 3 pose une limite essentielle : cette proportionnalité ne doit jamais compromettre la rigueur de l'évaluation ni le niveau de protection requis. Les exigences substantielles restent identiques quel que soit le profil du fournisseur.

Modalités pratiques de la proportionnalité

La proportionnalité peut se traduire par :

  • Des formulaires simplifiés pour les PME
  • Des audits par visioconférence plutôt que sur site
  • Un échelonnement des paiements
  • Une documentation allégée mais exhaustive sur les points essentiels
  • Un accompagnement renforcé pour les primo-accédants

Le refus de certification (paragraphe 4)

Lorsque les exigences ne sont pas respectées, l'organisme notifié doit :

  1. Identifier précisément les non-conformités
  2. Demander au fournisseur de prendre des mesures correctives
  3. Ne délivrer le certificat qu'après mise en conformité effective

L'organisme ne peut pas délivrer un certificat sous conditions ou avec réserves majeures. La conformité doit être pleine et entière.

Le suivi post-certification (paragraphe 5)

L'activité de l'organisme notifié ne s'arrête pas à la délivrance du certificat. Un suivi continu est requis :

  • Audits de surveillance : Vérifications périodiques de la conformité continue
  • Suivi des modifications : Évaluation des changements apportés au système
  • Traitement des signalements : Investigation en cas d'incidents signalés

En cas de non-conformité détectée après certification, l'organisme peut :

  • Demander des mesures correctives
  • Suspendre le certificat (mesure temporaire)
  • Retirer le certificat (mesure définitive)

L'obligation de reporting (paragraphe 6)

Les organismes notifiés doivent rendre compte de leurs activités aux autorités notifiantes. Ce reporting inclut :

  • Des rapports périodiques d'activité
  • Des informations sur demande des autorités
  • Le signalement des situations problématiques
  • Les statistiques sur les évaluations menées

Exemple d'application

📋 Évaluation proportionnée d'une PME

Une PME de 15 personnes développe un système d'IA d'aide au recrutement pour les TPE. Elle sollicite un organisme notifié pour l'évaluation de conformité.

Application du principe de proportionnalité :

  • Documentation : L'organisme fournit des templates de documentation adaptés aux petites structures, évitant les formalités excessives
  • Audit : L'audit initial se fait en 2 jours par visioconférence au lieu de 5 jours sur site
  • Paiement : Les honoraires sont échelonnés sur 6 mois
  • Accompagnement : Un consultant dédié aide la PME à comprendre les exigences

En revanche, l'évaluation technique du système reste aussi rigoureuse que pour un grand groupe : tests de biais, vérification de la gouvernance des données, contrôle de la documentation technique complète.

Articulation avec d'autres dispositions

  • Article 31 (Exigences applicables aux organismes notifiés) : Définit les exigences structurelles que l'article 35 complète par des obligations opérationnelles
  • Article 34 (Filiales et sous-traitance) : Les obligations opérationnelles s'appliquent aussi aux activités sous-traitées
  • Article 36 (Modifications de la notification) : Le non-respect des obligations opérationnelles peut justifier des mesures
  • Article 40 (Normes harmonisées) : Les normes guident la conduite des évaluations
  • Article 43 (Évaluation de la conformité) : Définit les procédures que l'article 35 encadre opérationnellement
  • Article 44 (Certificats) : Les obligations de l'article 35 conditionnent la délivrance et le maintien des certificats

Implications pratiques

Pour les organismes notifiés

  • Développer des procédures adaptées aux différents profils de fournisseurs
  • Former les évaluateurs au principe de proportionnalité
  • Mettre en place des systèmes de suivi post-certification efficaces
  • Documenter les décisions et leur motivation
  • Établir des canaux de reporting vers les autorités notifiantes

Pour les fournisseurs

  • Dialoguer avec l'organisme notifié sur les modalités d'évaluation adaptées
  • Signaler sa situation (PME, startup, etc.) pour bénéficier de la proportionnalité
  • Anticiper le suivi post-certification dans l'organisation
  • Prévoir les ressources pour les mesures correctives éventuelles

Pour les autorités notifiantes

  • Vérifier que les organismes appliquent effectivement la proportionnalité
  • S'assurer que la proportionnalité ne compromet pas la rigueur
  • Analyser les rapports d'activité des organismes notifiés
  • Intervenir en cas de pratiques non conformes

L'article 35 établit un cadre opérationnel équilibré pour les organismes notifiés. Le principe de proportionnalité garantit l'accessibilité du système de certification aux entreprises de toutes tailles, évitant que les charges administratives ne deviennent un obstacle à l'innovation. Dans le même temps, l'exigence de maintenir le niveau de rigueur et de protection assure que tous les systèmes d'IA certifiés offrent les mêmes garanties aux utilisateurs. Ce double impératif - accessibilité et rigueur - est au cœur de l'efficacité du système européen de certification de l'IA.