L'article 42 du Règlement (UE) 2024/1689 établit un mécanisme de présomption de conformité particulièrement précieux pour les fournisseurs de systèmes d'IA. Cette disposition permet de valoriser les efforts de conformité déjà réalisés dans d'autres cadres réglementaires, notamment en matière de cybersécurité.

Le principe de présomption de conformité est un pilier du droit européen des produits. Il permet aux opérateurs économiques qui respectent certains standards reconnus de bénéficier d'une simplification de la charge de la preuve. Cette approche évite la duplication coûteuse des évaluations et favorise la cohérence entre les différents régimes réglementaires.

L'article 42 crée ainsi des passerelles entre l'AI Act et d'autres régimes européens, particulièrement le Cybersecurity Act (règlement 2019/881), reconnaissant que les systèmes d'IA ne fonctionnent pas de manière isolée mais s'inscrivent dans des écosystèmes technologiques déjà soumis à diverses exigences.

Texte officiel de l'article 42 de l'AI Act

1. Les systèmes d'IA à haut risque qui ont été entraînés et testés sur des données reflétant le contexte géographique, comportemental, contextuel ou fonctionnel spécifique dans lequel ils sont destinés à être utilisés sont présumés conformes à l'exigence pertinente énoncée à l'article 10, paragraphe 4.

2. Les systèmes d'IA à haut risque qui ont été certifiés ou pour lesquels une déclaration de conformité a été établie conformément à un schéma de cybersécurité au titre du règlement (UE) 2019/881 sont présumés conformes aux exigences de cybersécurité énoncées à l'article 15 du présent règlement, dans la mesure où le certificat de cybersécurité ou la déclaration de conformité ou des parties de ceux-ci couvrent ces exigences.

Analyse juridique approfondie

Présomption liée aux données contextualisées (paragraphe 1)

Le premier paragraphe traite de la conformité aux exigences relatives aux données d'entraînement et de test. L'article 10, paragraphe 4 de l'AI Act exige que les jeux de données soient pertinents, représentatifs, et dans la mesure du possible, exempts d'erreurs et complets au regard de la finalité prévue.

La présomption de conformité s'applique lorsque le fournisseur peut démontrer que les données d'entraînement et de test reflètent effectivement :

  • Le contexte géographique : les données proviennent ou représentent la zone géographique où le système sera déployé (ex : données françaises pour un système destiné à la France)
  • Le contexte comportemental : les données reflètent les comportements réels des utilisateurs ou des sujets du système
  • Le contexte contextuel : les données correspondent aux conditions d'utilisation prévues (environnement, conditions techniques, etc.)
  • Le contexte fonctionnel : les données sont appropriées pour les fonctions spécifiques du système

Présomption liée aux certifications cybersécurité (paragraphe 2)

Le second paragraphe crée une passerelle majeure avec le Cybersecurity Act (règlement 2019/881). Ce règlement établit un cadre européen de certification de cybersécurité avec différents niveaux d'assurance (élémentaire, substantiel, élevé).

Les systèmes d'IA certifiés selon un schéma européen de cybersécurité bénéficient d'une présomption de conformité aux exigences de l'article 15 de l'AI Act, qui traite de :

  • La robustesse et la précision du système d'IA
  • La cybersécurité et la résilience face aux attaques
  • La protection contre les manipulations et les intrusions
  • La gestion des erreurs et des incohérences

Nature et portée de la présomption

Il est essentiel de comprendre que ces présomptions sont réfragables (juris tantum), ce qui signifie qu'elles peuvent être renversées par la preuve contraire. Si des éléments concrets démontrent une non-conformité malgré la certification ou les données contextualisées, la présomption tombe.

La présomption opère un transfert de la charge de la preuve : ce n'est plus au fournisseur de démontrer sa conformité, mais à celui qui la conteste d'apporter des éléments probants.

Exemple d'application

📋 Système d'IA avec certification cybersécurité

Une entreprise développe un système d'IA de détection de fraudes pour le secteur bancaire européen. Ce système est classé à haut risque au titre de l'annexe III de l'AI Act.

L'entreprise a obtenu une certification selon le schéma européen de cybersécurité pour les services cloud (EUCS) au niveau d'assurance "substantiel". Lors de l'évaluation de conformité AI Act, elle peut invoquer l'article 42, paragraphe 2 :

  • Les exigences de cybersécurité de l'article 15 relatives à la protection contre les attaques sont couvertes par la certification EUCS
  • Le fournisseur n'a pas à dupliquer les tests de pénétration et audits de sécurité déjà réalisés
  • L'organisme notifié peut se concentrer sur les autres exigences de l'AI Act

Résultat : le processus de certification AI Act est simplifié et accéléré, les coûts sont réduits.

Articulation avec d'autres dispositions

L'article 42 s'inscrit dans un cadre plus large de reconnaissance des certifications et normes :

  • Article 10 (Données et gouvernance des données) : Définit les exigences auxquelles le paragraphe 1 fait référence concernant les données d'entraînement
  • Article 15 (Exactitude, robustesse et cybersécurité) : Établit les exigences de cybersécurité auxquelles le paragraphe 2 fait référence
  • Article 40 (Normes harmonisées) : Prévoit également une présomption de conformité pour le respect des normes harmonisées
  • Article 41 (Spécifications communes) : Étend la présomption aux spécifications techniques adoptées par la Commission
  • Règlement 2019/881 (Cybersecurity Act) : Établit le cadre européen de certification de cybersécurité référencé au paragraphe 2

Implications pratiques

Pour les fournisseurs de systèmes d'IA

Les fournisseurs ont intérêt à documenter soigneusement la représentativité de leurs données d'entraînement et à obtenir des certifications de cybersécurité reconnues. Ces investissements préalables se traduisent par des économies significatives lors de l'évaluation de conformité AI Act.

Pour les organismes notifiés

Les organismes notifiés doivent prendre en compte les certifications existantes et adapter leur évaluation en conséquence. Ils ne peuvent exiger une nouvelle évaluation des aspects déjà couverts par une certification reconnue.

Schémas de cybersécurité pertinents

À ce jour, les schémas européens de cybersécurité les plus pertinents pour les systèmes d'IA incluent :

  • EUCS (European Cybersecurity Certification Scheme for Cloud Services)
  • Schémas nationaux en cours de reconnaissance mutuelle
  • Futurs schémas spécifiques à l'IA en développement

L'article 42 illustre la volonté du législateur européen de créer un cadre réglementaire cohérent et efficace pour l'IA. En établissant des présomptions de conformité basées sur des certifications reconnues et des bonnes pratiques en matière de données, cette disposition réduit la charge administrative des opérateurs sans compromettre le niveau de protection. Les fournisseurs ont tout intérêt à anticiper ces synergies en intégrant les certifications de cybersécurité et les bonnes pratiques de gestion des données dans leur stratégie de conformité globale.