L'article 37 du Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024, dit AI Act, établit une procédure de surveillance permettant à la Commission européenne d'examiner et de contester la compétence des organismes notifiés. Ce mécanisme constitue une garantie essentielle pour assurer l'intégrité et la crédibilité du système d'évaluation de la conformité des systèmes d'IA à haut risque dans l'ensemble de l'Union européenne.
Les organismes notifiés jouent un rôle central dans l'AI Act : ils sont chargés d'effectuer les évaluations de conformité des systèmes d'IA à haut risque, de délivrer les certificats nécessaires à leur mise sur le marché, et de surveiller leur conformité continue. La qualité et l'indépendance de ces organismes conditionnent directement l'efficacité du règlement et la protection des citoyens européens.
L'article 37 permet à la Commission de jouer un rôle de supervision au niveau européen, garantissant que tous les organismes notifiés, quel que soit l'État membre qui les a désignés, satisfont aux mêmes exigences de compétence et d'impartialité. Ce mécanisme de contrôle mutuel renforce la confiance entre États membres et assure une application uniforme du règlement.
Texte officiel de l'article 37 de l'AI Act
L'article 37 de l'AI Act dispose :
Contestation de la compétence des organismes notifiés
1. La Commission examine tout cas dans lequel elle a des raisons de douter, ou dans lequel des raisons de douter sont portées à son attention, de la compétence d'un organisme notifié ou de sa conformité continue aux exigences qui lui sont applicables et aux responsabilités qui lui incombent en vertu du présent règlement.
2. L'autorité notifiante fournit à la Commission, sur demande, toutes les informations relatives à la notification ou au maintien de la compétence de l'organisme notifié concerné.
3. La Commission veille à ce que toutes les informations sensibles obtenues au cours de ses enquêtes en vertu du présent article soient traitées de manière confidentielle, conformément à l'article 78.
4. Lorsque la Commission estime qu'un organisme notifié ne satisfait pas ou ne satisfait plus aux exigences relatives à sa notification, elle en informe l'État membre notifiant et lui demande de prendre les mesures correctives qui s'imposent, y compris, si nécessaire, la suspension ou le retrait de la notification.
5. Si l'État membre notifiant ne prend pas les mesures correctives nécessaires, la Commission peut, par voie d'acte d'exécution, suspendre, restreindre ou retirer la désignation. Cet acte d'exécution est adopté conformément à la procédure d'examen visée à l'article 98, paragraphe 2.
Cet article établit donc un mécanisme de surveillance à plusieurs niveaux, permettant à la Commission d'intervenir tant de manière informelle (recommandations à l'État membre) que formelle (actes d'exécution contraignants).
Analyse juridique de l'article 37
Le rôle de supervision de la Commission européenne
L'article 37 confère à la Commission européenne un rôle de supervision sur l'ensemble du réseau des organismes notifiés de l'Union. Cette compétence de supervision s'exerce indépendamment des États membres, permettant à la Commission d'agir comme gardienne de l'intégrité du système d'évaluation de la conformité.
La Commission peut initier un examen de sa propre initiative lorsqu'elle dispose d'informations suggérant qu'un organisme notifié ne répond plus aux exigences requises. Elle peut également être saisie par d'autres parties prenantes : États membres, opérateurs économiques, organisations de consommateurs, ou toute personne ayant connaissance de dysfonctionnements.
Déclenchement de la procédure d'examen
Le paragraphe 1 précise que la Commission examine tout cas où elle a des « raisons de douter » de la compétence d'un organisme ou de sa conformité continue. Ce standard relativement bas de déclenchement (le doute plutôt que la certitude) facilite l'intervention préventive et permet d'agir avant qu'un organisme défaillant ne cause des dommages substantiels.
Les raisons de douter peuvent inclure : des plaintes répétées concernant la qualité des évaluations, des résultats d'audit internes défavorables, des conflits d'intérêts découverts, une perte d'accréditation par l'organisme national d'accréditation, ou des défaillances constatées lors de contrôles de surveillance.
Obligation de coopération de l'autorité notifiante
Le paragraphe 2 impose à l'autorité notifiante nationale de fournir à la Commission toutes les informations pertinentes sur demande. Cette obligation de coopération est essentielle pour permettre à la Commission de mener son examen de manière efficace, même si elle ne dispose pas d'un accès direct aux informations détenues par les autorités nationales.
L'autorité notifiante doit communiquer notamment : les dossiers de notification initiaux, les rapports d'évaluation périodiques, les résultats des audits de surveillance, les plaintes reçues et leur traitement, ainsi que toute mesure corrective déjà prise.
Protection de la confidentialité
Le paragraphe 3 garantit que les informations sensibles obtenues par la Commission lors de ses enquêtes sont traitées de manière confidentielle. Cette garantie est essentielle pour encourager la transmission d'informations complètes et pour protéger les secrets commerciaux des organismes examinés.
Mesures correctives graduées
L'article 37 établit une approche graduée des mesures correctives. Dans un premier temps (paragraphe 4), la Commission informe l'État membre concerné et lui demande de prendre les mesures appropriées. Cette approche respecte la compétence première des États membres en matière de désignation et de surveillance de leurs organismes notifiés.
Les mesures que l'État membre peut être invité à prendre incluent : l'exigence de mesures correctives par l'organisme, la restriction du champ de notification, la suspension temporaire de la notification, ou le retrait définitif de la notification.
Pouvoir d'intervention directe de la Commission
Le paragraphe 5 constitue l'ultime recours : si l'État membre ne prend pas les mesures nécessaires, la Commission peut intervenir directement par voie d'acte d'exécution. Elle peut alors suspendre, restreindre ou retirer la désignation de l'organisme. Cette compétence directe, exercée selon la procédure d'examen de l'article 98, garantit qu'aucun organisme défaillant ne puisse continuer à opérer en raison de l'inaction d'un État membre.
Exemples concrets d'application
Exemple concret d'application de l'article 37 de l'AI Act
Cas 1 - Contestation suite à des plaintes multiples :
La Commission reçoit plusieurs plaintes de fournisseurs de systèmes d'IA à haut risque concernant un organisme notifié établi dans un État membre A. Les plaintes font état de délais excessifs dans les procédures d'évaluation, de demandes d'informations incohérentes, et de divergences d'interprétation des exigences réglementaires. La Commission ouvre un examen et demande à l'autorité notifiante de l'État A de fournir les informations pertinentes.
L'examen révèle que l'organisme a perdu plusieurs experts clés et n'a pas maintenu les compétences requises. La Commission informe l'État membre et lui demande de restreindre temporairement le champ de notification de l'organisme jusqu'à ce que les compétences soient rétablies.
Cas 2 - Conflit d'intérêts découvert :
Une enquête journalistique révèle qu'un organisme notifié détient des participations financières dans une société qui développe des systèmes d'IA à haut risque qu'il est censé évaluer. Cette situation constitue un conflit d'intérêts grave incompatible avec les exigences d'indépendance des organismes notifiés.
La Commission examine le cas et constate la violation manifeste des exigences d'impartialité. Elle demande à l'État membre de suspendre immédiatement la notification de l'organisme pour le domaine concerné. L'État membre s'exécute et l'organisme doit céder ses participations et démontrer la restauration de son indépendance avant de pouvoir reprendre ses activités.
Cas 3 - Intervention directe de la Commission :
La Commission identifie des défaillances systémiques dans un organisme notifié : absence de procédures de contrôle qualité, personnel non qualifié, et certificats délivrés sans évaluation adéquate. Elle demande à l'État membre concerné de retirer la notification, mais celui-ci ne prend pas de mesures pendant plusieurs mois, invoquant des procédures administratives nationales.
Face à l'inaction de l'État membre, la Commission adopte un acte d'exécution retirant la désignation de l'organisme. Les certificats délivrés par cet organisme sont examinés au cas par cas et les systèmes d'IA concernés doivent être réévalués par un autre organisme notifié.
Articulation avec les autres dispositions de l'AI Act
L'article 37 s'inscrit dans le Chapitre IV du règlement consacré aux organismes notifiés et aux autorités notifiantes. Il complète les articles 28 à 36 qui définissent les conditions de désignation et les exigences applicables aux organismes notifiés, en établissant le mécanisme de supervision et de sanction au niveau européen.
L'article 37 doit être lu en lien avec l'article 33 (exigences applicables aux organismes notifiés), l'article 34 (filiales et sous-traitants), l'article 35 (numéros d'identification et listes), et l'article 36 (modifications de la notification). Ensemble, ces dispositions forment le cadre complet de gouvernance des organismes notifiés.
La procédure de l'article 37 s'articule également avec l'article 78 relatif à la confidentialité et avec l'article 98 qui définit les procédures de comitologie applicables aux actes d'exécution de la Commission.
Implications pratiques pour les organisations
Pour les organismes notifiés, l'article 37 constitue un rappel constant de l'importance de maintenir les plus hauts standards de compétence et d'intégrité. Ils doivent mettre en place des systèmes de management de la qualité robustes et assurer une veille continue sur l'évolution des exigences réglementaires.
Les organismes notifiés doivent également être préparés à coopérer pleinement avec la Commission en cas d'examen, en tenant à jour une documentation complète de leurs procédures, de leurs compétences et de leurs activités d'évaluation.
Pour les fournisseurs de systèmes d'IA à haut risque, l'article 37 offre une voie de recours en cas de dysfonctionnement d'un organisme notifié. Ils peuvent signaler leurs préoccupations à la Commission, qui dispose des moyens d'enquêter et d'agir. Cette possibilité renforce la protection des opérateurs économiques de bonne foi.
Pour les autorités notifiantes nationales, l'article 37 impose une vigilance accrue dans la surveillance des organismes qu'elles ont désignés. Une défaillance persistante d'un organisme notifié peut conduire à une intervention de la Commission, ce qui peut être perçu comme un échec de la supervision nationale.
L'article 37 de l'AI Act établit un mécanisme de supervision européen des organismes notifiés qui garantit l'intégrité et la crédibilité du système d'évaluation de la conformité des systèmes d'IA à haut risque. En permettant à la Commission d'examiner et, si nécessaire, de contester la compétence des organismes notifiés, il assure une application uniforme et rigoureuse du règlement dans l'ensemble de l'Union.
Ce mécanisme de contrôle mutuel, fondé sur la coopération entre la Commission et les autorités nationales, permet de détecter et de corriger les défaillances avant qu'elles n'affectent la sécurité des systèmes d'IA mis sur le marché. L'ultime recours à l'intervention directe de la Commission garantit qu'aucun organisme défaillant ne puisse continuer à opérer en raison de l'inaction d'un État membre.
L'article 37 contribue ainsi à la confiance des citoyens européens, des opérateurs économiques et des partenaires internationaux dans le cadre réglementaire européen de l'intelligence artificielle. Il affirme que l'évaluation de la conformité des systèmes d'IA à haut risque est une responsabilité partagée, surveillée au plus haut niveau pour garantir la protection des droits fondamentaux et de la sécurité.