Publication d’un projet de lignes directrices par la Commission européenne sur le signalement des incidents graves liés à l’IAh2>
Le 26 septembre 2025, la b>Commission européenneb> a publié un projet de lignes directrices concernant le b>signalement des incidents gravesb> en vertu de l’article 73 du Règlement (UE) 2024/1689 sur l’intelligence artificielle (Loi sur l’IA de l’UE). Cet article exige des fournisseurs de systèmes d’IA à haut risque qu’ils notifient rapidement les autorités nationales de surveillance du marché des incidents graves découlant de l’utilisation de ces systèmes.p>
Obligations de signalementh3>
Les lignes directrices clarifient les conditions qui constituent un b>« incident grave »b> et exposent les obligations des acteurs concernés. Ce projet inclut également un b>modèle de rapportb> pour les soumissions aux autorités compétentes. De plus, il aborde la manière dont les obligations de l’article 73 interagissent avec les devoirs de signalement en vertu d’autres législations de l’UE.p>
Les entreprises peuvent soumettre leurs commentaires sur le projet jusqu’au b>7 novembre 2025b>. Après la période de consultation, la Commission publiera une version finale des lignes directrices, qui devrait entrer en vigueur à partir du b>2 août 2026b>.p>
Contexte : Obligations de signalement pour les incidents graves liés à l’IAh3>
L’article 73 de la Loi sur l’IA de l’UE impose aux fournisseurs de systèmes d’IA à haut risque de signaler les incidents graves à l’autorité nationale de surveillance compétente. Cet article définit également les étapes à suivre après le dépôt d’un rapport, y compris le lancement d’enquêtes et la mise en œuvre de mesures correctives.p>
Selon l’article 3(49) de la Loi sur l’IA de l’UE, un b>« incident grave »b> est défini comme un incident ou un dysfonctionnement d’un système d’IA qui entraîne directement ou indirectement un résultat grave. Ces résultats peuvent inclure : (a) la mort ou des dommages graves à la santé d’un individu ; (b) des perturbations graves et irréversibles de la gestion ou du fonctionnement d’infrastructures critiques ; (c) des violations des obligations en vertu du droit de l’UE visant à protéger les droits fondamentaux ; ou (d) des dommages graves à la propriété ou à l’environnement.p>
Ce qui est nouveau : définitions larges et portéeh3>
Les lignes directrices affinent la portée de l’article 73 de la Loi sur l’IA de l’UE pour clarifier les circonstances déclenchant une obligation de signalement. Selon la Commission, un lien de causalité indirect entre le système d’IA et le dommage est suffisant pour établir un devoir de signalement. Par exemple, une analyse médicale incorrecte fournie par un système d’IA, qui entraîne des dommages uniquement après une décision clinique ultérieure, serait toujours considérée comme un incident à signaler.p>
La Commission propose également un régime de signalement simplifié pour les systèmes d’IA à haut risque dans les secteurs disposant déjà d’obligations de signalement équivalentes, comme les infrastructures critiques en vertu de la directive NIS-2 (2022/2555).p>
Délai de signalement et devoirs d’enquêteh3>
Les délais de signalement sont serrés. Les entreprises doivent notifier sans délai injustifié et, en tout état de cause, dans les b>15 joursb> suivant la prise de connaissance d’un incident grave. Le délai est de b>10 joursb> si un décès pourrait avoir été causé et de b>2 joursb> pour des violations généralisées ou une perturbation grave et irréversible d’infrastructures critiques.p>
Pour respecter ces délais, l’article 73(5) de la Loi sur l’IA de l’UE permet aux fournisseurs de soumettre un rapport initial, incomplet, avec des informations complémentaires à suivre. Après le signalement, le fournisseur doit rapidement enquêter sur l’incident, comme précisé dans l’article 73(6) de la Loi sur l’IA de l’UE.p>
Risques de non-conformité et actions recommandéesh3>
Les rapports d’incidents graves déclenchent souvent des mesures de surveillance du marché et d’autres actions réglementaires de la part des autorités compétentes. Ces mesures peuvent être ordonnées dans les b>sept joursb> suivant la réception du rapport et peuvent inclure des rappels de produits, des retraits du marché ou des interdictions de mise à disposition.p>
La non-conformité aux obligations de signalement entraîne des risques de responsabilité significatifs, avec des amendes administratives pouvant atteindre b>15 millions d’eurosb> ou b>3 % du chiffre d’affaires mondial annuelb>, selon ce qui est le plus élevé. Les entreprises doivent donc revoir leurs processus de signalement dès que possible et intégrer les nouvelles obligations dans leurs cadres de signalement d’incidents.p>
Conclusion et perspectivesh3>
Les lignes directrices et le modèle de rapport qui les accompagne sont actuellement en projet. Étant donné les nombreuses zones non remplies dans le document, la Commission semble prête à affiner davantage la portée de l’article 73 de la Loi sur l’IA de l’UE au cours de la consultation.p>
La consultation publique est ouverte jusqu’au b>7 novembre 2025b>, et les entreprises concernées peuvent soumettre leurs commentaires jusqu’à cette date.p>
