Règlement IA de l'UE – Article 73 : notification d'incidents pour les fournisseurs d'IA à haut risque

L'article 73 du règlement sur l'IA de l'UE crée des obligations de notification d'incidents pour les fournisseurs de systèmes d'IA à haut risque. Les incidents graves doivent être notifiés aux autorités nationales de surveillance du marché dans un délai de 15 jours à compter de la prise de connaissance (délai réduit pour les incidents impliquant des décès ou une violation à grande échelle). La disposition s'inspire de l'article 33 du RGPD relatif à la notification de violations, mais couvre un champ d'application plus large.

Ce qui constitue un incident grave

L'article 3, paragraphe 49, définit un incident grave comme tout incident ou dysfonctionnement d'un système d'IA à haut risque entraînant directement ou indirectement : (a) le décès d'une personne ou un préjudice grave pour la santé d'une personne ; (b) une perturbation grave et irréversible des infrastructures critiques ; (c) une violation des obligations découlant du droit de l'Union visant à protéger les droits fondamentaux ; (d) des dommages graves aux biens ou à l'environnement. La définition est large — le caractère « grave » s'apprécie au cas par cas et l'autorité nationale compétente procède à l'évaluation définitive.

Délais de notification

Article 73, paragraphe 2 : sans retard injustifié après l'établissement du lien de causalité, et au plus tard 15 jours après la prise de connaissance. Article 73, paragraphe 3 : pour les incidents impliquant une violation généralisée ou une perturbation grave et irréversible des infrastructures critiques — délai réduit à 2 jours. Article 73, paragraphe 4 : pour les incidents impliquant des décès — notification immédiate, au plus tard dans les 10 jours. Le délai commence à courir à compter de la prise de connaissance, et non de la confirmation du lien de causalité.

Informations requises

Article 73, paragraphe 5 : le rapport doit inclure toutes les informations pertinentes disponibles, notamment : l'identification du système d'IA à haut risque, la description de l'incident, l'identification des personnes ou des biens affectés, la description de la cause si elle est connue, la description des mesures correctives prises ou prévues. Le rapport peut être complété au fur et à mesure que de nouvelles informations sont disponibles. Les autorités nationales peuvent demander des informations supplémentaires.

Qui notifie

Le fournisseur du système d'IA à haut risque est le premier responsable de la notification en vertu de l'article 73, paragraphe 1. En cas de statut de fournisseur acquis par héritage au titre de l'article 25 (modification substantielle), c'est la partie héritière qui effectue la notification. Les déployeurs doivent informer le fournisseur des incidents pertinents (article 26, paragraphe 6) et peuvent avoir des obligations de notification parallèles au titre de réglementations sectorielles spécifiques (surveillance au titre de la directive Machines, vigilance au titre du règlement sur les dispositifs médicaux).

Mise en place pratique de la conformité

Construire le processus de l'article 73 avant tout lancement de produit. Éléments requis : mécanisme de détection des incidents (support client, surveillance interne, signalements des utilisateurs, surveillance après mise sur le marché conformément à l'article 72), grille de classification des incidents pour déterminer le seuil de « gravité », modèle de rapport aligné sur les exigences de l'article 73, paragraphe 5, liste des contacts des autorités nationales compétentes pour chaque pays de l'UE où vous exercez vos activités, chaîne d'escalade interne, système de suivi des délais. Tester le processus chaque année. Documenter les incidents passés (anonymisés) dans les archives de conformité.

Frequently asked questions

Quand l'article 73 entre-t-il en vigueur ?

Le 2 août 2026 pour les systèmes d'IA à haut risque.

Quel est le délai de notification ?

15 jours à compter de la prise de connaissance pour les incidents graves standard. 10 jours pour les incidents impliquant des décès. 2 jours pour les violations généralisées ou les perturbations des infrastructures critiques.

Qui notifie — le fournisseur ou le déployeur ?

Le fournisseur, à titre principal, en vertu de l'article 73, paragraphe 1. Les déployeurs doivent informer le fournisseur en vertu de l'article 26, paragraphe 6, et peuvent avoir des obligations parallèles au titre de règles sectorielles spécifiques.

À qui adresser la notification ?

À l'autorité nationale de surveillance du marché de chaque État membre de l'UE où l'incident s'est produit ou où résident les personnes affectées. Chaque État membre a désigné des autorités compétentes en vertu de l'article 70.

Quelle est la sanction en cas de manquement à l'article 73 ?

Jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires mondial en vertu de l'article 99, paragraphe 4. Le défaut de notification d'incidents graves est traité de manière similaire aux autres manquements aux obligations applicables aux systèmes d'IA à haut risque.

Sources

Last updated: 2026-05-28