L'article 40 du Règlement (UE) 2024/1689 établit le principe de présomption de conformité pour les systèmes d'IA à haut risque qui respectent les normes harmonisées. Ce mécanisme facilite la démonstration de conformité tout en maintenant la rigueur des exigences réglementaires.
Texte officiel de l'article 40 de l'AI Act
1. Les systèmes d'IA à haut risque ou les modèles d'IA à usage général qui sont conformes aux normes harmonisées ou à des parties de celles-ci dont les références ont été publiées au Journal officiel de l'Union européenne conformément au règlement (UE) n° 1025/2012 sont présumés conformes aux exigences visées à la section 2 du présent chapitre ou, le cas échéant, aux obligations prévues au chapitre V du présent règlement, dans la mesure où ces exigences ou obligations sont couvertes par ces normes.
2. La Commission publie, au Journal officiel de l'Union européenne, les références des normes harmonisées visées au paragraphe 1.
3. La Commission peut demander aux organisations européennes de normalisation d'élaborer des normes harmonisées pour les exigences énoncées à la section 2.
Analyse juridique
Principe de la présomption de conformité
Les normes harmonisées offrent une voie privilégiée pour démontrer la conformité aux exigences de l'AI Act. Un système respectant ces normes bénéficie d'une présomption de conformité pour les exigences qu'elles couvrent. Cette présomption est réfragable : elle peut être remise en cause si des éléments démontrent une non-conformité malgré le respect de la norme.
Élaboration des normes
Les normes harmonisées sont élaborées par les organismes européens de normalisation (CEN, CENELEC, ETSI) sur mandat de la Commission. Pour l'IA, ces normes couvrent notamment :
- Les systèmes de gestion des risques
- La qualité et la gouvernance des données
- La transparence et l'explicabilité
- La robustesse et la cybersécurité
- Le contrôle humain
Publication au Journal officiel
Seules les normes dont les références sont publiées au Journal officiel de l'UE confèrent la présomption de conformité. Cette publication fait suite à une évaluation par la Commission de l'adéquation de la norme aux exigences du règlement.
Exemple d'application
📋 Utilisation des normes harmonisées
Un fournisseur de système d'IA de scoring crédit applique la norme harmonisée EN xxxxx sur la gestion des risques des systèmes d'IA et la norme EN yyyyy sur la qualité des données. Ces normes étant publiées au JO de l'UE, le fournisseur bénéficie d'une présomption de conformité aux articles 9 et 10 de l'AI Act. L'organisme notifié vérifie l'application effective des normes sans avoir à réaliser une évaluation complète des exigences couvertes.
L'article 40 établit un pont entre la réglementation et la normalisation technique, facilitant la mise en conformité des systèmes d'IA tout en garantissant un niveau élevé de protection. Les normes harmonisées constituent un outil précieux pour les fournisseurs et les organismes notifiés.