L'article 44 du Règlement (UE) 2024/1689 établit le cadre juridique des certificats de conformité délivrés par les organismes notifiés. Ces certificats constituent la preuve formelle qu'un système d'IA à haut risque a été évalué et jugé conforme aux exigences du règlement par un tiers indépendant.

Le certificat est l'aboutissement du processus d'évaluation de la conformité par tierce partie. Il confère au système d'IA évalué une présomption de conformité et permet au fournisseur de commercialiser son système sur l'ensemble du marché européen en apposant le marquage CE.

L'article 44 définit les règles relatives au contenu des certificats, à leur durée de validité, à leur renouvellement ainsi qu'aux conditions de leur suspension ou retrait. Ces règles garantissent la fiabilité et la pertinence continue des certificats dans le temps.

Texte officiel de l'article 44 de l'AI Act

1. Les certificats sont délivrés dans une langue officielle de l'Union déterminée par l'État membre dans lequel l'organisme notifié est établi ou dans une langue officielle de l'Union acceptable pour l'organisme notifié.

2. Les certificats sont valables pour la période qu'ils indiquent, laquelle n'excède pas cinq ans. À la demande du fournisseur, la validité d'un certificat peut être prolongée pour de nouvelles périodes, chacune n'excédant pas cinq ans, sur la base d'une nouvelle évaluation conformément aux procédures d'évaluation de la conformité applicables. Tout supplément à un certificat reste valable tant que le certificat auquel il se rapporte est valable.

3. Lorsqu'un organisme notifié constate qu'un système d'IA ne satisfait plus aux exigences énoncées à la section 2, il suspend ou retire le certificat délivré ou l'assortit de restrictions, en tenant compte du principe de proportionnalité, à moins que la conformité à ces exigences soit assurée par des mesures correctives appropriées prises par le fournisseur du système dans un délai approprié fixé par l'organisme notifié. L'organisme notifié motive sa décision.

Analyse juridique approfondie

La langue des certificats (paragraphe 1)

Les certificats doivent être rédigés dans une langue officielle de l'Union européenne. Cette exigence garantit l'accessibilité et la compréhension des certificats dans l'ensemble du marché unique. Le choix de la langue est déterminé par :

  • L'État membre où l'organisme notifié est établi, ou
  • Une langue acceptable pour l'organisme notifié

En pratique, les certificats sont souvent rédigés en anglais pour faciliter leur utilisation transfrontalière, avec des traductions disponibles si nécessaire.

La durée de validité (paragraphe 2)

Le paragraphe 2 établit un régime de validité temporaire des certificats :

  • Durée maximale : Cinq ans, quel que soit le type de système d'IA
  • Renouvellement : Possible sur demande du fournisseur, par périodes de cinq ans maximum
  • Condition de renouvellement : Nouvelle évaluation complète selon les procédures applicables
  • Suppléments au certificat : Restent valables tant que le certificat principal est valable

Cette limitation temporelle est justifiée par l'évolution rapide des technologies d'IA et des risques associés. Un système évalué aujourd'hui pourrait présenter de nouveaux risques dans cinq ans en raison de changements dans son environnement d'utilisation ou de l'apparition de nouvelles vulnérabilités.

Suspension, retrait et restrictions (paragraphe 3)

Le paragraphe 3 définit les pouvoirs de l'organisme notifié lorsqu'il constate une non-conformité postérieure à la certification :

  • Suspension : Interruption temporaire de la validité du certificat, généralement dans l'attente de mesures correctives
  • Restrictions : Limitation du champ d'application du certificat (exclusion de certains cas d'usage, conditions particulières)
  • Retrait : Annulation définitive du certificat

Ces décisions doivent respecter le principe de proportionnalité : la mesure doit être adaptée à la gravité de la non-conformité constatée. Un manquement mineur justifie une restriction plutôt qu'un retrait.

De plus, le fournisseur doit avoir la possibilité de prendre des mesures correctives dans un délai raisonnable avant qu'une décision définitive soit prise. L'organisme notifié doit motiver sa décision, garantissant ainsi le droit de la défense du fournisseur.

Exemple d'application

📋 Suspension pour non-conformité détectée

Une entreprise a obtenu un certificat de conformité pour son système d'IA de tri de CV en janvier 2025, valable jusqu'en janvier 2030. En mars 2027, l'organisme notifié procède à un audit de surveillance et détecte que le système présente des biais discriminatoires apparus suite à une mise à jour de l'algorithme.

L'organisme notifié :

  • Notifie immédiatement le fournisseur du problème détecté
  • Lui accorde un délai de 60 jours pour corriger les biais
  • Suspend le certificat en attendant les mesures correctives

Le fournisseur corrige l'algorithme et soumet les preuves de conformité. Après vérification, l'organisme lève la suspension et le certificat reprend sa pleine validité jusqu'à janvier 2030.

Contenu type d'un certificat

Bien que l'AI Act ne détaille pas exhaustivement le contenu des certificats, ceux-ci doivent typiquement inclure :

  • L'identification de l'organisme notifié (nom, numéro d'identification NANDO)
  • L'identification du fournisseur (nom, adresse)
  • La description du système d'IA évalué
  • Les références aux normes ou spécifications utilisées pour l'évaluation
  • La procédure d'évaluation de conformité appliquée (annexe VI ou VII)
  • Les conclusions de l'évaluation
  • La date de délivrance et la date d'expiration
  • Les éventuelles conditions ou restrictions
  • La signature du responsable de l'organisme notifié

Articulation avec d'autres dispositions

L'article 44 s'inscrit dans le processus global de mise sur le marché :

  • Article 43 (Évaluation de la conformité) : Définit les procédures d'évaluation qui conduisent à la délivrance du certificat
  • Article 45 (Obligations d'information) : Impose aux organismes notifiés de signaler les suspensions et retraits de certificats
  • Article 33 (Numéros d'identification) : Le numéro d'identification de l'organisme figure sur le certificat
  • Article 48 (Déclaration de conformité) : Le certificat permet au fournisseur d'établir sa déclaration de conformité
  • Article 49 (Marquage CE) : Le certificat est un prérequis pour l'apposition du marquage CE

Implications pratiques

Pour les fournisseurs

  • Planifier le renouvellement des certificats bien avant leur expiration (prévoir 6 à 12 mois)
  • Maintenir une documentation à jour pour faciliter les audits de surveillance
  • Signaler proactivement tout changement significatif du système à l'organisme notifié
  • Conserver les certificats et leur historique pour la traçabilité

Pour les déployeurs et utilisateurs

  • Vérifier la validité des certificats avant l'acquisition d'un système d'IA
  • S'assurer que le certificat couvre l'usage prévu du système
  • Consulter la base NANDO pour confirmer le statut de l'organisme notifié

Pour les autorités de surveillance

  • Accéder aux certificats via les systèmes d'information partagés
  • Vérifier la cohérence entre le certificat et l'utilisation réelle du système
  • Déclencher des contrôles en cas de suspicion d'utilisation hors périmètre certifié

L'article 44 établit un cadre robuste pour les certificats de conformité délivrés par les organismes notifiés. En limitant leur durée de validité et en prévoyant des mécanismes de suspension et de retrait, cette disposition garantit que les certificats restent une preuve fiable et actualisée de la conformité des systèmes d'IA à haut risque. Le principe de proportionnalité et l'obligation de motivation protègent les droits des fournisseurs tout en maintenant un niveau élevé de protection pour les utilisateurs et les personnes affectées par ces systèmes.