L'article 41 du Règlement (UE) 2024/1689 établit un mécanisme de "filet de sécurité" permettant à la Commission européenne d'adopter des spécifications communes lorsque les normes harmonisées font défaut. Ce dispositif garantit que les fournisseurs de systèmes d'IA disposent toujours de références techniques pour démontrer leur conformité.

L'élaboration de normes harmonisées par les organismes européens de normalisation (CEN, CENELEC, ETSI) peut prendre plusieurs années. Dans un secteur aussi dynamique que l'intelligence artificielle, ce délai pourrait créer une période d'incertitude juridique préjudiciable aux opérateurs économiques et à la protection des citoyens.

Les spécifications communes constituent donc un outil subsidiaire mais essentiel, permettant à la Commission d'agir rapidement pour combler les lacunes du système normatif tout en maintenant la cohérence avec les objectifs du règlement.

Texte officiel de l'article 41 de l'AI Act

1. La Commission peut adopter des actes d'exécution établissant des spécifications communes pour les exigences énoncées à la section 2 ou, le cas échéant, pour les obligations énoncées aux chapitres III et V du présent règlement, lorsque les conditions suivantes sont remplies :

a) la Commission a demandé, en vertu de l'article 10, paragraphe 1, du règlement (UE) n° 1025/2012, à une ou plusieurs organisations européennes de normalisation d'élaborer une norme harmonisée pour les exigences énoncées à la section 2 du présent chapitre et :

i) la demande n'a pas été acceptée par les organisations européennes de normalisation ; ou

ii) les normes harmonisées répondant à cette demande ne sont pas livrées dans le délai fixé conformément à l'article 10, paragraphe 1, du règlement (UE) n° 1025/2012 ; ou

iii) les normes harmonisées pertinentes ne répondent pas suffisamment aux préoccupations en matière de droits fondamentaux ; ou

iv) les normes harmonisées ne satisfont pas à la demande ; et

b) aucune référence à des normes harmonisées couvrant les exigences pertinentes énoncées à la section 2 du présent chapitre n'est publiée au Journal officiel de l'Union européenne conformément au règlement (UE) n° 1025/2012, et aucune publication de cette nature n'est attendue dans un délai raisonnable.

2. Les systèmes d'IA à haut risque ou, le cas échéant, les modèles d'IA à usage général qui sont conformes aux spécifications communes visées au paragraphe 1, ou à des parties de ces spécifications, sont présumés conformes aux exigences visées à la section 2 du présent chapitre ou, le cas échéant, aux obligations visées aux chapitres III et V, dans la mesure où ces exigences ou ces obligations sont couvertes par ces spécifications communes ou par des parties de celles-ci.

3. Lorsqu'une norme harmonisée est adoptée par une organisation européenne de normalisation et qu'une référence à cette norme est publiée au Journal officiel de l'Union européenne, la Commission abroge les actes d'exécution visés au paragraphe 1, ou des parties de ceux-ci, qui couvrent les mêmes exigences que cette norme harmonisée.

Analyse juridique approfondie

Le caractère subsidiaire des spécifications communes

L'article 41 établit clairement que les spécifications communes sont un mécanisme de dernier recours. La Commission ne peut y recourir que si :

  • Elle a d'abord sollicité les organismes de normalisation européens
  • Cette sollicitation n'a pas abouti (refus, retard, qualité insuffisante)
  • Aucune norme harmonisée n'est disponible ni attendue à court terme

Cette subsidiarité préserve le rôle central des organismes de normalisation tout en garantissant une solution de repli efficace.

Les quatre cas d'échec de la normalisation

Le paragraphe 1 énumère quatre situations justifiant l'adoption de spécifications communes :

  1. Refus des organismes de normalisation : Les organisations européennes (CEN, CENELEC, ETSI) peuvent refuser une demande de normalisation, par exemple si le sujet est trop complexe ou controversé
  2. Non-respect des délais : Les normes ne sont pas livrées dans les délais fixés par la Commission
  3. Insuffisance sur les droits fondamentaux : Les normes élaborées ne prennent pas suffisamment en compte les préoccupations relatives aux droits fondamentaux - critère particulièrement important pour l'IA
  4. Non-satisfaction de la demande : Les normes produites ne répondent pas aux spécifications techniques demandées par la Commission

La procédure d'adoption

Les spécifications communes sont adoptées par actes d'exécution de la Commission. Cette procédure, plus rapide que l'élaboration de normes harmonisées, implique néanmoins :

  • La consultation d'experts techniques
  • L'examen par un comité de représentants des États membres
  • La publication au Journal officiel de l'Union européenne

La présomption de conformité

Le paragraphe 2 confère aux spécifications communes le même effet que les normes harmonisées : une présomption de conformité aux exigences qu'elles couvrent. Les fournisseurs qui les appliquent bénéficient donc d'une simplification significative de la charge de la preuve.

L'abrogation automatique

Le paragraphe 3 prévoit l'abrogation des spécifications communes dès qu'une norme harmonisée couvrant les mêmes exigences est publiée. Ce mécanisme confirme le caractère transitoire des spécifications communes et la priorité accordée aux normes élaborées par le processus de normalisation.

Exemple d'application

📋 Spécifications pour l'évaluation des biais

La Commission demande au CEN d'élaborer une norme harmonisée sur les méthodes d'évaluation des biais dans les systèmes d'IA à haut risque. Après deux ans, le CEN livre un projet qui ne traite que des biais statistiques simples, sans aborder les biais intersectionnels et les impacts sur les droits fondamentaux.

Constatant cette insuffisance (cas iii du paragraphe 1), la Commission peut adopter des spécifications communes :

  • Définissant les types de biais à évaluer (statistiques, sociaux, intersectionnels)
  • Précisant les métriques d'équité à utiliser
  • Établissant les seuils d'acceptabilité
  • Décrivant les procédures de test sur données représentatives

Ces spécifications s'appliquent immédiatement et confèrent une présomption de conformité jusqu'à l'adoption d'une norme harmonisée complète.

Articulation avec d'autres dispositions

L'article 41 s'insère dans le système normatif de l'AI Act :

  • Article 40 (Normes harmonisées) : Établit la règle générale de présomption de conformité par les normes harmonisées, dont l'article 41 constitue le complément subsidiaire
  • Article 42 (Présomption de conformité aux certifications) : Étend les présomptions à d'autres sources de conformité (certifications cybersécurité, données contextualisées)
  • Règlement (UE) n° 1025/2012 : Cadre général de la normalisation européenne, auquel l'article 41 fait référence pour la procédure de demande de normes
  • Section 2 du Chapitre III : Définit les exigences applicables aux systèmes d'IA à haut risque que les spécifications communes peuvent couvrir

Implications pratiques

Pour les fournisseurs de systèmes d'IA

Les fournisseurs doivent surveiller attentivement les publications de la Commission pour identifier les spécifications communes applicables à leurs systèmes. L'application de ces spécifications leur offre une présomption de conformité équivalente à celle des normes harmonisées.

Pour les organismes de normalisation

L'existence de ce mécanisme subsidiaire incite les organismes de normalisation à travailler efficacement. L'adoption de spécifications communes par la Commission peut être perçue comme un échec du processus de normalisation.

État actuel

À ce jour, les travaux de normalisation pour l'AI Act sont en cours au sein du CEN et du CENELEC. La Commission a émis plusieurs demandes de normalisation. Si ces travaux n'aboutissent pas dans les délais, des spécifications communes pourraient être adoptées pour combler les lacunes.

L'article 41 constitue un filet de sécurité essentiel pour garantir l'applicabilité effective de l'AI Act. En permettant à la Commission d'adopter des spécifications communes lorsque les normes harmonisées font défaut, cette disposition assure que les fournisseurs de systèmes d'IA disposent toujours de références techniques claires pour démontrer leur conformité. Ce mécanisme subsidiaire mais crucial contribue à la sécurité juridique des opérateurs économiques tout en maintenant le niveau élevé de protection voulu par le législateur européen.