L'article 45 du Règlement (UE) 2024/1689 établit un cadre structuré d'obligations d'information pour les organismes notifiés. Ces obligations de reporting constituent un pilier essentiel du système de surveillance et de contrôle de la qualité des certifications de systèmes d'IA à haut risque.

La transparence entre les différents acteurs du système de certification - organismes notifiés, autorités notifiantes, Commission européenne et États membres - est indispensable pour garantir la cohérence des évaluations à l'échelle européenne et détecter rapidement les situations problématiques.

Ces flux d'information permettent également de prévenir le "forum shopping", pratique par laquelle un fournisseur ayant essuyé un refus de certification pourrait s'adresser à un autre organisme notifié en dissimulant ce refus antérieur.

Texte officiel de l'article 45 de l'AI Act

1. Les organismes notifiés informent l'autorité notifiante de tout refus, suspension, restriction ou retrait d'un certificat.

2. Les organismes notifiés fournissent à l'autorité notifiante et aux autres organismes notifiés au titre du présent règlement des informations pertinentes sur les questions relatives aux résultats d'évaluation de la conformité négatifs et, sur demande, positifs.

3. Les organismes notifiés fournissent à la Commission et aux États membres, sur demande, toute information pertinente concernant les certificats qu'ils ont délivrés ou retirés, y compris les résultats des évaluations réalisées, et concernant les demandes d'évaluation de la conformité qui ont été refusées.

Analyse juridique approfondie

Notification des décisions négatives (paragraphe 1)

Le premier paragraphe impose une obligation de notification immédiate et systématique de toutes les décisions négatives à l'autorité notifiante. Cette obligation couvre quatre types de décisions :

  • Le refus de certification : lorsque l'évaluation conclut que le système d'IA ne satisfait pas aux exigences de l'AI Act
  • La suspension : interruption temporaire de la validité d'un certificat, généralement dans l'attente de mesures correctives
  • La restriction : limitation du champ d'application d'un certificat (par exemple, exclusion de certains cas d'usage)
  • Le retrait : annulation définitive d'un certificat précédemment délivré

Cette notification est automatique et ne dépend pas d'une demande de l'autorité. Elle permet une surveillance en temps réel de l'activité des organismes notifiés.

Partage d'informations entre organismes (paragraphe 2)

Le deuxième paragraphe organise le partage horizontal d'informations entre organismes notifiés, avec un traitement différencié :

  • Résultats négatifs : partagés de manière proactive et systématique
  • Résultats positifs : partagés uniquement sur demande

Cette asymétrie est justifiée : les résultats négatifs présentent un intérêt public supérieur pour la sécurité et méritent une diffusion plus large. Un organisme doit savoir si un fournisseur a déjà fait l'objet d'un refus ailleurs, tandis que les certifications positives sont moins urgentes et peuvent être consultées à la demande.

Ce partage contribue à l'harmonisation des pratiques d'évaluation et permet d'identifier les fournisseurs "à risque" qui tentent leur chance auprès de plusieurs organismes.

Information de la Commission et des États membres (paragraphe 3)

Le troisième paragraphe établit un droit de regard des autorités européennes et nationales sur l'activité des organismes notifiés. Sur demande, ces derniers doivent fournir :

  • Des informations sur les certificats délivrés
  • Des informations sur les certificats retirés
  • Les résultats détaillés des évaluations réalisées
  • Les demandes d'évaluation refusées

Ce droit de regard permet aux autorités de surveiller la qualité globale du système de certification et d'identifier d'éventuels problèmes systémiques ou tendances préoccupantes.

Exemple d'application

📋 Refus de certification et tentative de "forum shopping"

Un fournisseur de systèmes d'IA de notation de crédit soumet son système à l'organisme notifié allemand "TÜV AI Cert" pour évaluation. Après analyse, TÜV AI Cert refuse la certification en raison de biais discriminatoires détectés dans le système.

Conformément à l'article 45, TÜV AI Cert :

  • Notifie immédiatement ce refus à l'autorité notifiante allemande (BNetzA)
  • Partage cette information avec tous les autres organismes notifiés au titre de l'AI Act

Le fournisseur tente ensuite de soumettre le même système à l'organisme français "LCIE Bureau Veritas", sans mentionner le refus allemand. Grâce au partage d'information prévu par l'article 45, LCIE Bureau Veritas est informé du refus antérieur et peut :

  • Interroger le fournisseur sur les mesures correctives prises
  • Porter une attention particulière aux aspects ayant justifié le refus
  • Refuser l'évaluation si les problèmes n'ont pas été résolus

Articulation avec d'autres dispositions

L'article 45 s'inscrit dans un dispositif plus large de transparence et de surveillance :

  • Article 33 (Numéros d'identification et listes) : La liste publique des organismes notifiés facilite l'identification des destinataires des informations
  • Article 38 (Coordination des organismes notifiés) : Le partage d'informations est un aspect de cette coordination
  • Article 44 (Certificats) : Définit le contenu et la validité des certificats concernés par les obligations d'information
  • Article 78 (Confidentialité) : Encadre le partage d'informations en garantissant la protection des secrets commerciaux
  • Article 74 (Surveillance du marché) : Les informations partagées alimentent la surveillance du marché

Implications pratiques

Pour les organismes notifiés

Les organismes notifiés doivent mettre en place des systèmes de reporting efficaces permettant de :

  • Notifier rapidement les décisions négatives à l'autorité notifiante
  • Maintenir une base de données accessible aux autres organismes notifiés
  • Répondre aux demandes d'information de la Commission et des États membres
  • Documenter de manière détaillée les motifs de chaque décision

Pour les fournisseurs de systèmes d'IA

Les fournisseurs doivent être conscients que les refus de certification sont partagés entre organismes. Cette transparence les incite à :

  • Présenter des systèmes conformes dès la première évaluation
  • Prendre au sérieux les non-conformités identifiées
  • Mettre en œuvre des mesures correctives effectives avant de solliciter une nouvelle évaluation

Pour les autorités

Les autorités notifiantes et de surveillance disposent d'une vision globale de l'activité des organismes notifiés, leur permettant de :

  • Détecter les tendances de non-conformité
  • Identifier les organismes ayant des pratiques d'évaluation divergentes
  • Prendre des mesures correctives au niveau du système dans son ensemble

L'article 45 établit un régime de transparence essentiel au bon fonctionnement du système européen de certification des systèmes d'IA à haut risque. En organisant le partage systématique des informations relatives aux évaluations de conformité, notamment négatives, cette disposition contribue à l'harmonisation des pratiques, à la prévention des abus et à la qualité globale des certifications. Elle garantit que les autorités disposent des informations nécessaires pour exercer leur mission de surveillance et que les organismes notifiés opèrent dans un environnement de transparence mutuelle.