L'article 73 du Règlement (UE) 2024/1689 établit l'obligation pour les fournisseurs de systèmes d'IA à haut risque de signaler rapidement aux autorités compétentes tout incident grave survenant en lien avec leurs systèmes. Cette obligation constitue un mécanisme essentiel de détection précoce et de réponse rapide aux situations où des systèmes d'IA causent ou risquent de causer des dommages significatifs à la santé, à la sécurité, aux droits fondamentaux, ou à d'autres intérêts protégés. Le signalement permet aux autorités de prendre connaissance immédiatement des incidents, d'évaluer leur gravité et leur portée, d'ordonner des mesures correctrices ou préventives, et d'alerter le public si nécessaire.

L'article 73 reflète le principe de responsabilité (accountability) et de transparence vis-à-vis des autorités publiques : les fournisseurs ne peuvent dissimuler ou minimiser les incidents graves, mais doivent les porter à la connaissance des autorités dans des délais contraints, permettant une intervention rapide. Cette obligation s'inscrit dans une logique de sécurité publique et de protection des droits : les systèmes d'IA à haut risque, en raison de leurs impacts potentiels, nécessitent une vigilance particulière et une réactivité des autorités face aux situations problématiques.

L'article 73 établit des délais de signalement différenciés selon la gravité des incidents, impose des sanctions substantielles en cas de non-respect, et précise les modalités de rapport. Il constitue, avec l'article 72 sur la surveillance après commercialisation, le cadre de détection et de gestion des problèmes survenant après la mise sur le marché des systèmes d'IA à haut risque, garantissant que les incidents ne restent pas ignorés ou traités de manière opaque.

Texte officiel de l'article 73 de l'AI Act

L'article 73 de l'AI Act dispose (extraits principaux) :

« 1. Les fournisseurs de systèmes d'IA à haut risque signalent sans retard injustifié, et en tout état de cause dans les délais indiqués aux paragraphes 2 et 3, tout incident grave à l'autorité de surveillance du marché de l'État membre dans lequel l'incident s'est produit.

2. Le délai pour le signalement d'un incident grave est de 15 jours au maximum après que le fournisseur a pris connaissance du lien entre le système d'IA à haut risque et l'incident.

3. Dans le cas d'un décès ou d'une atteinte grave à la santé d'une personne, le délai de signalement est de 10 jours. Dans le cas d'un incident très grave tel qu'un incident dont l'effet s'étend à plusieurs États membres ou un nombre très élevé de personnes, le délai de signalement est de 2 jours ouvrables.

4. Si nécessaire, les fournisseurs peuvent soumettre un rapport initial incomplet suivi d'un rapport complet.

5. Le signalement d'un incident grave est effectué conformément au format et aux procédures établis par la Commission au moyen d'actes d'exécution. »

« 6. Après avoir soumis le rapport d'incident grave, le fournisseur mène, sans retard injustifié, l'enquête nécessaire concernant l'incident et les systèmes d'IA à haut risque concernés. Cette enquête comprend une évaluation des risques et des mesures correctrices. Le fournisseur coopère avec les autorités de surveillance du marché concernées pendant l'enquête. »

« 7. En cas de non-respect du présent article, les autorités compétentes peuvent imposer des amendes administratives allant jusqu'à 15 000 000 EUR ou, si le contrevenant est une entreprise, jusqu'à 3% du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. »

Cet article impose donc le signalement rapide des incidents graves (15 jours maximum, 10 jours en cas de décès/atteinte grave à la santé, 2 jours pour incidents très graves), prévoit des sanctions substantielles en cas de non-respect (jusqu'à 15M€ ou 3% du CA mondial), et impose une enquête et des mesures correctrices post-signalement.

Analyse juridique de l'article 73

Obligation de signalement et destinataires

L'article 73, paragraphe 1, impose que « les fournisseurs de systèmes d'IA à haut risque signalent sans retard injustifié, et en tout état de cause dans les délais indiqués aux paragraphes 2 et 3, tout incident grave à l'autorité de surveillance du marché de l'État membre dans lequel l'incident s'est produit ». Cette formulation établit plusieurs éléments essentiels de l'obligation.

Les « fournisseurs » sont les seuls débiteurs de l'obligation : ce sont eux qui développent ou commercialisent les systèmes et qui disposent de la capacité technique d'enquêter sur les incidents et de prendre des mesures correctrices. Les déployeurs (utilisateurs professionnels) ne sont pas directement tenus par l'article 73, bien qu'ils puissent avoir un rôle d'alerte vis-à-vis des fournisseurs.

« Sans retard injustifié » signifie que le signalement doit intervenir dès que le fournisseur a pris connaissance de l'incident et établi le lien avec son système, sans attendre d'avoir une enquête complète. Cette exigence de rapidité reflète l'urgence de protéger le public : les autorités doivent pouvoir intervenir rapidement, même sur la base d'informations préliminaires.

« Tout incident grave » : La qualification d'« incident grave » n'est pas définie explicitement dans l'article 73, mais se déduit du contexte et d'autres dispositions de l'AI Act. Un incident grave est un événement où un système d'IA à haut risque a causé ou contribué à un décès, une atteinte grave à la santé, une violation significative de droits fondamentaux (discrimination grave, atteinte à la vie privée, restriction de libertés), un dommage matériel substantiel, ou tout autre préjudice significatif. Les incidents mineurs ou purement techniques sans impact sur les personnes ou leurs droits ne déclenchent pas l'obligation de signalement, bien qu'ils doivent être suivis via le système de surveillance après commercialisation (article 72).

« L'autorité de surveillance du marché de l'État membre dans lequel l'incident s'est produit » : Le signalement est territorialisé, adressé à l'autorité du pays où l'incident a eu lieu. Si un incident affecte plusieurs États membres (voir paragraphe 3), le fournisseur doit vraisemblablement signaler à toutes les autorités concernées. Cette architecture décentralisée garantit que l'autorité la plus proche de l'incident (et donc la mieux placée pour intervenir) en soit immédiatement informée.

Délai général de 15 jours

L'article 73, paragraphe 2, établit un « délai pour le signalement d'un incident grave de 15 jours au maximum après que le fournisseur a pris connaissance du lien entre le système d'IA à haut risque et l'incident ». Ce délai constitue la règle générale applicable à la majorité des incidents graves.

Le point de départ du délai est « après que le fournisseur a pris connaissance du lien » : il ne suffit pas que le fournisseur ait connaissance d'un incident quelque part (par exemple, un accident dans une entreprise cliente) ; il faut qu'il ait établi ou ait des raisons de croire qu'il existe un lien de causalité entre son système d'IA et l'incident. Cette condition reconnaît qu'un certain temps d'analyse peut être nécessaire pour déterminer si le système est en cause.

Toutefois, le fournisseur ne peut retarder indéfiniment la prise de connaissance : s'il a des indications raisonnables d'un lien (par exemple, un déployeur signale un dysfonctionnement ayant causé un préjudice, ou des logs montrent une anomalie au moment de l'incident), il doit raisonnablement considérer qu'il a pris connaissance du lien. L'ignorance volontaire ou la négligence dans l'investigation n'excusent pas un retard de signalement.

Le délai de « 15 jours au maximum » est un délai calendaire, incluant weekends et jours fériés. Il est relativement court, reflétant l'urgence de permettre aux autorités d'intervenir. En pratique, les fournisseurs responsables signaleront généralement plus rapidement, notamment pour les incidents les plus graves.

Délais raccourcis pour incidents particulièrement graves

L'article 73, paragraphe 3, établit des délais raccourcis pour deux catégories d'incidents particulièrement graves, reconnaissant que certaines situations nécessitent une réactivité encore plus grande des autorités.

Décès ou atteinte grave à la santé - 10 jours : « Dans le cas d'un décès ou d'une atteinte grave à la santé d'une personne, le délai de signalement est de 10 jours. » Cette catégorie couvre les incidents les plus graves en termes d'atteinte à l'intégrité physique. Un « décès » est sans ambiguïté. Une « atteinte grave à la santé » peut inclure des blessures physiques significatives, des maladies graves diagnostiquées tardivement en raison d'un dysfonctionnement du système, des traumatismes psychologiques sévères, ou toute atteinte nécessitant une hospitalisation ou ayant des conséquences durables. Le délai de 10 jours (contre 15 pour la règle générale) garantit que les autorités sont rapidement informées des situations les plus critiques.

Incidents très graves à large portée - 2 jours ouvrables : « Dans le cas d'un incident très grave tel qu'un incident dont l'effet s'étend à plusieurs États membres ou un nombre très élevé de personnes, le délai de signalement est de 2 jours ouvrables. » Cette catégorie vise les incidents systémiques ou de masse présentant une urgence maximale. Les exemples donnés (« effet s'étend à plusieurs États membres » ou « nombre très élevé de personnes ») ne sont pas exhaustifs (« tel qu'un incident ») mais illustratifs d'incidents « très graves ».

Un incident transfrontalier (plusieurs États membres affectés) nécessite une coordination européenne rapide, justifiant un signalement quasi-immédiat. Un incident affectant un « nombre très élevé de personnes » (par exemple, un système d'IA de gestion de prestations sociales dysfonctionnant et privant des dizaines de milliers de personnes de leurs allocations, ou un système de santé publique générant des erreurs de diagnostic à grande échelle) présente également une urgence systémique.

Le délai de « 2 jours ouvrables » (hors weekends et jours fériés) est extrêmement court, imposant aux fournisseurs de systèmes à haut risque de disposer de procédures d'escalade et de signalement d'urgence opérationnelles 24/7. En pratique, pour ces incidents, le signalement devrait intervenir dès que le fournisseur prend connaissance de la gravité et de la portée, souvent dans les heures suivant la découverte.

Rapport initial incomplet et rapport complet

L'article 73, paragraphe 4, reconnaît pragmatiquement que « si nécessaire, les fournisseurs peuvent soumettre un rapport initial incomplet suivi d'un rapport complet ». Cette flexibilité garantit que l'urgence de signaler rapidement ne soit pas compromise par l'absence d'informations complètes au moment de la découverte de l'incident.

Le « rapport initial incomplet » doit contenir au minimum les informations essentielles permettant à l'autorité de comprendre la nature et la gravité de l'incident, d'identifier le système d'IA concerné, et d'évaluer l'urgence d'une intervention. Même incomplet, ce rapport permet aux autorités de commencer à agir (par exemple, alerter d'autres États membres, ordonner des mesures conservatoires).

Le « rapport complet » doit être soumis dès que le fournisseur dispose des informations supplémentaires, généralement dans un délai raisonnable après le rapport initial (quelques jours à quelques semaines selon la complexité de l'enquête). Ce rapport complet intègre les résultats de l'enquête initiale du fournisseur, l'analyse détaillée des causes, l'évaluation de la portée de l'incident, et les mesures correctrices envisagées ou déjà mises en œuvre.

Cette approche en deux temps équilibre l'urgence du signalement et la nécessité d'informations fiables et complètes, évitant que les fournisseurs ne retardent le signalement dans l'attente d'avoir une enquête exhaustive.

Format et procédures de signalement

L'article 73, paragraphe 5, prévoit que « le signalement d'un incident grave est effectué conformément au format et aux procédures établis par la Commission au moyen d'actes d'exécution ». Cette disposition reconnaît la nécessité d'une harmonisation des modalités de signalement à l'échelle européenne, garantissant que les autorités reçoivent des informations structurées et comparables.

Les « actes d'exécution » de la Commission préciseront vraisemblablement les formulaires de signalement standardisés (informations obligatoires, format), les canaux de transmission (portails en ligne, emails sécurisés, systèmes d'information dédiés), les classifications d'incidents (typologie, gravité), les délais pour les rapports complets après les rapports initiaux, et les modalités de suivi et d'échange d'informations entre autorités pour les incidents transfrontaliers.

Un modèle de rapport devait être attendu de la Commission en février 2026 selon les informations collectées. La standardisation facilite le traitement par les autorités, permet des analyses statistiques et des identifications de tendances, et réduit les incertitudes pour les fournisseurs sur le contenu attendu des signalements.

Enquête et mesures correctrices post-signalement

L'article 73, paragraphe 6, impose qu'« après avoir soumis le rapport d'incident grave, le fournisseur mène, sans retard injustifié, l'enquête nécessaire concernant l'incident et les systèmes d'IA à haut risque concernés ». Le signalement n'est pas la fin du processus, mais le début : le fournisseur doit enquêter activement pour comprendre les causes de l'incident, évaluer s'il s'agit d'un défaut isolé ou d'un problème systémique, identifier tous les systèmes et déployeurs potentiellement affectés, et déterminer les mesures correctrices appropriées.

« Cette enquête comprend une évaluation des risques et des mesures correctrices. » L'évaluation des risques vise à déterminer si l'incident révèle un risque non identifié auparavant, si la probabilité ou la gravité d'un risque connu a été sous-estimée, ou si les mesures d'atténuation en place sont insuffisantes. Les mesures correctrices peuvent inclure des mises à jour logicielles corrigeant le défaut, des modifications de la documentation ou des instructions d'utilisation, des formations complémentaires des déployeurs, des restrictions d'usage temporaires ou définitives, ou dans les cas les plus graves, le retrait du système du marché ou un rappel.

« Le fournisseur coopère avec les autorités de surveillance du marché concernées pendant l'enquête. » Cette coopération implique de répondre aux demandes d'informations complémentaires des autorités, de leur transmettre les résultats de l'enquête interne, d'accepter des inspections ou des analyses indépendantes si les autorités le jugent nécessaire, et de mettre en œuvre les mesures que les autorités pourraient ordonner (suspension de commercialisation, rappel, modifications obligatoires).

Sanctions en cas de non-respect

L'article 73, paragraphe 7, établit un régime de sanctions substantiel : « En cas de non-respect du présent article, les autorités compétentes peuvent imposer des amendes administratives allant jusqu'à 15 000 000 EUR ou, si le contrevenant est une entreprise, jusqu'à 3% du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. »

Ces sanctions figurent parmi les plus élevées prévues par l'AI Act, soulignant la gravité du non-respect de l'obligation de signalement. Le non-signalement d'un incident grave prive les autorités de la capacité d'intervenir pour protéger le public, et peut être perçu comme une tentative de dissimulation. Les amendes maximales de 15 millions d'euros ou 3% du chiffre d'affaires mondial (le plus élevé des deux montants) sont dissuasives même pour les très grandes entreprises.

Le « non-respect » peut inclure l'absence totale de signalement d'un incident grave que le fournisseur connaissait, le signalement tardif (dépassement des délais de 15, 10, ou 2 jours), le signalement incomplet ou trompeur minimisant délibérément la gravité, ou le refus de coopérer à l'enquête post-signalement.

Les autorités compétentes disposent d'un pouvoir d'appréciation pour déterminer le montant de l'amende en fonction de critères tels que la gravité de l'incident non signalé ou signalé tardivement, le caractère intentionnel ou négligent du manquement, la coopération ultérieure du fournisseur, les mesures correctrices prises spontanément, et l'historique de conformité du fournisseur.

Exemples concrets d'application

Exemple concret d'application de l'article 73 de l'AI Act

Signalement d'un incident grave par un fournisseur de système d'IA médical

Contexte :

« RadioAI », entreprise allemande, commercialise « LungScan », un système d'IA à haut risque d'aide au diagnostic de cancer du poumon à partir de radiographies thoraciques. Le système est utilisé dans 50 hôpitaux en Allemagne, France, Italie et Espagne, analysant environ 10000 radiographies par mois.

1. Découverte d'un incident grave (paragraphe 1) :

Date : 15 janvier 2027

Le Dr. Schmidt, pneumologue à l'hôpital universitaire de Munich, contacte RadioAI : « Un de mes patients, M. Weber, 62 ans, a consulté pour une toux persistante. LungScan a analysé sa radiographie le 10 décembre 2026 et a conclu "probabilité de cancer : 5% - pas de signe alarmant". Je l'ai revu aujourd'hui car la toux persistait. Un scanner approfondi révèle un cancer du poumon au stade 3. LungScan a manifestement manqué des signes pourtant visibles sur la radiographie initiale. »

L'équipe technique de RadioAI récupère immédiatement la radiographie et les logs de LungScan. Analyse technique : Confirmation d'une erreur d'analyse. LungScan n'a pas détecté une opacité suspecte dans le lobe supérieur droit, opacité qui était effectivement visible et aurait dû déclencher une alerte.

2. Évaluation de la gravité et du lien (paragraphes 1-3) :

RadioAI évalue :
- Incident grave ? Oui. Le retard de diagnostic (environ 5 semaines entre l'erreur et la détection correcte) a permis la progression du cancer du stade précoce au stade 3, réduisant significativement les chances de survie du patient. = Atteinte grave à la santé.
- Lien avec LungScan ? Oui. Le système a produit un faux négatif ayant directement contribué au retard de diagnostic.
- Délai applicable : Atteinte grave à la santé → 10 jours (paragraphe 3)

3. Signalement dans les délais (paragraphes 1-3, 5) :

Date : 17 janvier 2027 (J+2 après prise de connaissance)

RadioAI soumet un rapport d'incident grave à l'autorité de surveillance du marché allemande (BfArM - Institut fédéral des médicaments et dispositifs médicaux) via le portail européen de signalement standardisé.

Rapport initial (paragraphe 4 - rapport incomplet acceptable initialement) :

RAPPORT D'INCIDENT GRAVE - SYSTÈME IA HAUT RISQUE

1. Identification du système :
- Nom : LungScan
- Fournisseur : RadioAI GmbH, Berlin, Allemagne
- Version : 3.2.1
- Numéro d'enregistrement EU AI Registry : EU-AIHR-2026-DE-00127
- Marquage CE : Oui (organisme notifié : TÜV Rheinland NB 0197)

2. Description de l'incident :
- Date de l'incident : 10 décembre 2026
- Lieu : Hôpital universitaire de Munich, Allemagne
- Nature : Faux négatif (non-détection d'un cancer du poumon)
- Conséquence : Retard de diagnostic d'environ 5 semaines, progression du cancer du stade précoce au stade 3
- Patient : Homme, 62 ans (anonymisé : patient ID MUC-2026-3471)

3. Gravité :
- Classification : Atteinte grave à la santé
- Délai de signalement applicable : 10 jours (article 73, paragraphe 3)
- Date prise de connaissance : 15 janvier 2027
- Date signalement : 17 janvier 2027 (délai respecté : J+2)

4. Portée préliminaire :
- Incident isolé identifié à ce stade
- 50 hôpitaux utilisateurs de LungScan informés immédiatement
- Environ 10000 radiographies analysées par mois
- Enquête en cours pour identifier d'éventuels autres cas similaires

5. Mesures immédiates :
- Alerte envoyée à tous les déployeurs (hôpitaux) le 16 janvier
- Recommandation : Renforcer la surveillance humaine, ne jamais se fier uniquement à LungScan pour décisions cliniques
- Investigation technique en cours
- Suspension volontaire de la commercialisation de nouvelles licences jusqu'à résolution

6. Rapport complet à suivre :
- Délai estimé : 30 jours (investigation technique et clinique en cours)
- Contiendra : Analyse technique détaillée des causes, évaluation de la portée (autres cas potentiels), mesures correctrices définitives

4. Réaction de l'autorité :

Le BfArM (autorité allemande) :
- Accuse réception du signalement dans les 24h
- Ouvre une investigation formelle
- Contacte les autorités compétentes française, italienne, espagnole (LungScan y est commercialisé)
- Demande à RadioAI de fournir liste complète des hôpitaux utilisateurs
- Émet une alerte de sécurité publique aux professionnels de santé allemands utilisant LungScan

5. Enquête et mesures correctrices (paragraphe 6) :

Entre janvier et février 2027, RadioAI mène une enquête approfondie :

Investigation technique :
- Analyse de la radiographie de M. Weber : L'opacité était effectivement détectable, mais de faible contraste
- Tests sur 5000 radiographies historiques avec cancers confirmés : Identification de 12 autres cas de faux négatifs similaires (taux d'erreur : 0,24%)
- Cause identifiée : Bug dans l'algorithme de détection des opacités de faible contraste, introduit lors de la dernière mise à jour (version 3.2.1 déployée en octobre 2026)
- Versions antérieures (3.1.x) ne présentaient pas ce bug

Évaluation clinique :
- Sur les 12 autres cas identifiés : 8 patients ont finalement été diagnostiqués par d'autres moyens (symptômes persistants, second avis), 4 patients potentiellement encore non diagnostiqués
- RadioAI contacte proactivement les 4 hôpitaux concernés pour alerter sur ces cas

Mesures correctrices :
- Correction du bug et tests exhaustifs de la version 3.2.2
- Déploiement en urgence de la version corrigée 3.2.2 à tous les utilisateurs (février 2027)
- Renforcement des tests de non-régression (pour éviter réintroduction de bugs lors de mises à jour)
- Amélioration de la documentation : Insistance sur le fait que LungScan est une aide au diagnostic, jamais un outil de décision autonome
- Formation complémentaire des radiologues utilisant LungScan sur ses limitations

6. Rapport complet (paragraphe 4) :

Date : 15 février 2027 (J+30)

RadioAI soumet le rapport complet au BfArM, incluant :
- Analyse technique détaillée (50 pages)
- Résultats investigation clinique (12 cas identifiés, statut des patients)
- Mesures correctrices mises en œuvre
- Mise à jour du système de gestion des risques (article 9 - réévaluation du risque « faux négatifs »)
- Plan de surveillance renforcée post-correction

7. Décision de l'autorité :

Le BfArM, après examen du rapport complet :
- Valide les mesures correctrices
- Autorise la reprise de la commercialisation (version 3.2.2 corrigée)
- Impose une surveillance renforcée pour 6 mois : Rapport mensuel au BfArM sur performances et incidents
- N'impose pas d'amende : RadioAI a signalé rapidement (J+2, bien en deçà du délai de 10 jours), a coopéré pleinement, et a pris des mesures correctrices appropriées de manière proactive

8. Contre-exemple - Non-respect sanctionné (paragraphe 7) :

Cas hypothétique : Si RadioAI avait tenté de dissimuler l'incident, n'avait pas signalé, ou avait signalé après 45 jours seulement après pression d'une association de patients :

Sanctions potentielles :
- Amende administrative : Le BfArM aurait pu imposer jusqu'à 15M€ ou 3% du CA annuel mondial de RadioAI (si CA = 200M€, 3% = 6M€, donc amende maximale : 15M€)
- Amende probable compte tenu de la gravité : 8 à 12M€
- Suspension prolongée de commercialisation
- Obligation de rappel de tous les systèmes jusqu'à correction et ré-évaluation complète
- Dommage réputationnel majeur (publicité de la sanction)

Cet exemple illustre comment l'article 73 fonctionne concrètement : un fournisseur détecte un incident grave via son système de surveillance (article 72), évalue rapidement la gravité et le lien avec son système, signale dans les délais stricts (10 jours pour atteinte grave à la santé), soumet d'abord un rapport initial puis un rapport complet après enquête, coopère avec l'autorité, et prend des mesures correctrices appropriées. Le signalement rapide et la coopération évitent des sanctions, tandis que la dissimulation ou le retard entraîneraient des amendes substantielles.

Articulation avec les autres dispositions de l'AI Act

L'article 73 s'articule directement avec l'article 72 sur la surveillance après commercialisation : le système de surveillance établi conformément à l'article 72 constitue le mécanisme permettant de détecter les incidents graves devant être signalés conformément à l'article 73. Sans surveillance effective, les fournisseurs ne pourraient pas prendre connaissance des incidents et remplir leur obligation de signalement. Les deux articles forment ensemble le cadre de détection et de gestion des problèmes post-commercialisation.

L'article 73 complète l'article 9 sur le système de gestion des risques : les incidents graves signalés et les enquêtes qui en découlent alimentent la mise à jour du système de gestion des risques, permettant d'identifier de nouveaux risques ou de réévaluer la probabilité et la gravité de risques connus. Cette boucle de rétroaction garantit une gestion dynamique des risques.

L'article 73 s'articule avec les pouvoirs de surveillance du marché des autorités nationales compétentes (article 70) : les signalements d'incidents graves constituent une des principales sources d'information pour les autorités, déclenchant leurs investigations et mesures correctrices. L'obligation de signalement permet aux autorités d'exercer effectivement leur mission de protection du public.

Pour les systèmes d'IA constituant des dispositifs médicaux ou d'autres produits régulés, l'article 73 s'articule avec les obligations de vigilance et de signalement prévues par les législations sectorielles (règlement dispositifs médicaux, directive sécurité générale des produits, etc.). Les fournisseurs peuvent coordonner leurs signalements AI Act et sectoriels, évitant les duplications tout en satisfaisant à toutes les obligations.

Implications pratiques pour les organisations

Pour les fournisseurs de systèmes d'IA à haut risque, l'article 73 impose de mettre en place des procédures internes robustes de détection, d'évaluation, et de signalement des incidents graves. Ces procédures doivent inclure des canaux de remontée d'information permettant aux déployeurs, aux utilisateurs finaux, ou au personnel interne de signaler des problèmes potentiels, des protocoles d'évaluation rapide pour déterminer si un incident est « grave » et s'il existe un lien avec le système d'IA, des responsabilités claires (qui décide de signaler ? qui rédige le rapport ? qui valide avant soumission ?), des modèles de rapports pré-établis facilitant une rédaction rapide conforme aux formats de la Commission, et des procédures d'escalation d'urgence pour les incidents les plus graves (2 jours ouvrables).

Les fournisseurs doivent également former leur personnel (équipes techniques, juridiques, direction) aux obligations de l'article 73, aux critères de qualification d'incidents graves, et aux délais impératifs. La culture d'entreprise doit valoriser la transparence et la réactivité face aux incidents, évitant les tentations de dissimulation ou de minimisation qui exposeraient à des sanctions substantielles.

Pour les PME et les startups, bien que les obligations soient identiques, des approches pragmatiques existent : désignation d'un responsable unique « incidents graves » (même si temps partiel), utilisation de modèles et de checklists simplifiés, recours à des conseils juridiques externes en cas de doute sur la qualification d'un incident, et adhésion à des associations professionnelles offrant du soutien sur ces questions.

Pour les déployeurs, bien que l'article 73 n'impose pas d'obligation directe de signalement aux autorités (cette obligation incombe aux fournisseurs), ils jouent un rôle crucial dans la détection et l'alerte. Les contrats entre fournisseurs et déployeurs devraient formaliser l'obligation pour les déployeurs de signaler rapidement aux fournisseurs tout incident grave ou suspicion d'incident, permettant aux fournisseurs de remplir leurs obligations temporelles.

L'article 73 de l'AI Act établit l'obligation de signalement rapide des incidents graves comme mécanisme essentiel de protection du public et de réponse efficace aux situations problématiques impliquant des systèmes d'IA à haut risque. En imposant des délais courts (15, 10, ou 2 jours selon la gravité), en prévoyant des sanctions substantielles en cas de non-respect (jusqu'à 15M€ ou 3% du CA mondial), et en exigeant une coopération continue avec les autorités, cet article garantit que les incidents ne restent pas ignorés ou dissimulés, mais sont portés rapidement à la connaissance des autorités capables d'intervenir pour protéger la santé, la sécurité, et les droits fondamentaux.

Le signalement des incidents graves constitue un pilier de la redevabilité (accountability) des fournisseurs de systèmes d'IA à haut risque : ils ne peuvent se contenter de commercialiser leurs systèmes et de se désintéresser de leurs performances et impacts réels, mais doivent assumer une responsabilité continue de surveillance, de détection des problèmes, de transparence vis-à-vis des autorités, et de mesures correctrices. Cette exigence, bien qu'imposant des contraintes opérationnelles et potentiellement des coûts, est indispensable pour mériter la confiance du public dans le déploiement de systèmes d'IA influençant des décisions critiques.

Pour les organisations, l'article 73 souligne l'importance d'une culture de transparence et de réactivité. Les fournisseurs responsables ne perçoivent pas le signalement d'incidents comme un aveu de faiblesse ou une menace réputationnelle, mais comme une obligation éthique et légale, et comme une opportunité d'amélioration continue. En développant des systèmes robustes de détection et de signalement, en formant leurs équipes, et en coopérant de bonne foi avec les autorités, les fournisseurs contribuent à l'émergence d'un écosystème européen de l'IA responsable, transparent, et digne de confiance, où les incidents sont traités de manière professionnelle et où la sécurité des personnes prime sur les intérêts commerciaux à court terme.