Depuis le 1er août 2024, le Règlement sur l’intelligence artificielle (« RIA »), dont l’objectif principal est d’encadrer le développement et la sécurité des systèmes d’IA (« SIA »), entre progressivement en vigueur.
A partir d’août 2026, c’est l’une de ses dispositions les plus critiques qui deviendra applicable. L’article 73 du RIA impose aux fournisseurs1 de SIA à haut risque de signaler aux autorités de surveillance compétentes les « incidents graves » et/ou « dysfonctionnements » entraînant des conséquences graves qu’ils constateraient2. Ce signalement doit en principe être effectué dès la prise de connaissance de l’événement en cause, mais le délai peut varier selon sa nature et sa gravité –de 2 jours (en cas d’infraction de grande ampleur ou d’atteinte grave et irréversible à une infrastructure critique) à un maximum de 15 jours.
La spécificité de cette obligation et les détails de son application appelaient des précisions complémentaires. C’est pourquoi la Commission européenne a publié, le 26 septembre 2025, un projet de lignes directrices accompagné d’un modèle type de déclaration. Décryptage.
Un changement de paradigme
L’obligation de surveillance prévue par l’article 73 du RIA, dont la chronologie s’inscrit post-commercialisation du SIA, dépasse le cadre d’une simple formalité administrative. Elle marque une véritable évolution culturelle dans la manière de déployer, de corriger et d’utiliser des SIA.
Les fournisseurs de SIA à haut risque, premiers impactés, doivent désormais rester constamment vigilants face aux dérives ou biais potentiels de leur SIA à haut risque, puisqu’ils sont directement responsables du bon fonctionnement et de la sécurité de ceux-ci. En conséquence, ils se trouvent obligés de renforcer leurs mécanismes de réponse rapide en cas d’incident.
En outre, les utilisateurs (« déployeurs ») de SIA (par exemple hôpitaux, banques, ou administrations) se voient également imposer certaines obligations alors que, jusqu’ici ils étaient rarement tenus pour responsables des défaillances algorithmiques. Désormais, si un déployeur identifie un incident grave, ce dernier doit le signaler au fournisseur du SIA problématique dans les 24 heures après sa découverte. En cas d’absence de réaction ou de réponse de la part du fournisseur concerné, certaines obligations de signalement incomberont alors directement au déployeur.
Toutefois, malgré la densité de l’article 73, certaines zones d’ombre persistaient. Le projet de lignes directrices a pour ambition de les dissiper.
Des lignes directrices bienvenues…
Les définitions d’« incident » et de « dysfonctionnement » étaient jusque-là ambiguës. Le projet de lignes directrices précise qu’un « incident » désigne tout événement entraînant ou étant susceptible d’entraîner des conséquences négatives, en particulier des dommages aux personnes ou aux systèmes critiques. Le « dysfonctionnement », quant à lui, correspond à un écart de performance d’un système d’intelligence artificielle par rapport à son fonctionnement prévu ou documenté, sans qu’il y ait nécessairement de dommage. Toutefois, la distinction entre « incident » et « dysfonctionnement » ne doit pas être interprétée de manière rigide : elle souligne surtout l’importance de prendre en compte les dysfonctionnements dans le suivi des incidents. Autrement dit : même un dysfonctionnement mineur doit être signalé dès lors qu’il produit des effets concrets – l’objectif étant de renforcer la transparence et la confiance en l’IA.
Le projet illustre ces notions par divers exemples, tels qu’une panne temporaire d’un système d’information automatisé ou un comportement inattendu d’un modèle. Il souligne également que les incidents peuvent être directs, comme une erreur de diagnostic émise par un système médical, ou indirects, à l’image d’un algorithme de recrutement excluant systématiquement certains profils sur la base de critères discriminatoires.
S’agissant de l’appréciation de la gravité de ces « incidents » ou « dysfonctionnements », celle-ci doit être évaluée au regard de la portée, de l’ampleur et de l’irréversibilité du dommage3. Le texte fournit à cet égard plusieurs illustrations : un décès, une maladie chronique ou une hospitalisation prolongée constituent des atteintes graves à la santé d’une personne devant être signalés. Pour les infrastructures critiques, la référence aux cadres NIS2 et aux entités critiques permet d’identifier les cas dans lesquels un signalement serait obligatoire, tels que des menaces imminentes pour la sécurité des personnes, la destruction d’actifs essentiels, une paralysie sociale ou économique, ou la
perte irrémédiable de données stratégiques. En matière de violation des droits fondamentaux, seule une atteinte significative et de grande ampleur justifie un signalement. L’évaluation des dommages aux biens et à l’environnement prend en compte l’impact économique, la valeur culturelle, la durabilité du dommage ainsi que des critères issus du droit de l’environnement.
Enfin le texte accorde une grande importance à l’articulation de l’article 73 avec les cadres réglementaires existants, tels que NIS2 pour la cybersécurité, DORA pour le secteur financier ou encore les règlements relatifs aux dispositifs médicaux – le but étant d’assurer une cohérence entre les diverses procédures déjà en place et d’éviter des doubles notifications. Par ailleurs, le pragmatisme de cette approche se traduit également par la possibilité d’effectuer des déclarations initiales incomplètes, le temps de collecter toutes les informations.
Dans son ensemble, le projet parvient donc à combiner clarté conceptuelle, cohérence normative et souci de proportionnalité. Cependant, quelques incertitudes demeurent.
…Mais améliorables
Malgré les efforts sémantiques et pratiques salués ci-dessus, la distinction entre « incident » et « dysfonctionnement » reste encore trop conceptuelle. La démonstration du lien entre une défaillance algorithmique et un incident grave risque en effet de soulever des difficultés pratiques, en particulier dans les domaines non médicaux, où les lignes directrices offrent moins d’illustrations concrètes. Par ailleurs, les exemples fournis par le texte pour illustrer le type d’événement à signaler – soit une « diminution significative de la précision », un « comportement imprévu » ou une « défaillance du système » – laissent une large place à l’interprétation des acteurs concernés. C’est donc in fine à eux qu’il reviendra de définir des critères clairs pour appliquer l’article 73 de la meilleure façon possible.
En outre, la répartition des obligations de notification entre les fournisseurs, les déployeurs et les autres acteurs concernés est complexe. Un fournisseur ne dispose pas forcément de toutes les informations quant aux conditions réelles d’utilisation de son SIA. A contrario, un déployeur dispose rarement de la visibilité technique nécessaire pour identifier la source de l’incident ou la portée de ses conséquences.
Enfin, bien que le projet de lignes directrices insiste sur l’obligation de communication et de coopération transfrontalière applicable aux autorités nationales, il ne prévoit pas de
sanctions en cas de manquement de ces dernières à leurs propres obligations4. Cette lacune affaiblit l’efficacité du dispositif et risque de le réduire à un simple vœu pieu.
Le projet de lignes directrices comporte donc encore plusieurs axes d’amélioration, mais la consultation de la Commission Européenne pour recueillir les avis des parties prenantes sur le texte est encore ouverte jusqu’au 7 novembre 2025. Aux acteurs concernés de profiter de l’occasion pour faire entendre leurs voix.
1 Le terme de « fournisseur » est défini comme suit à l’article 3 du RIA : « une personne physique ou morale, une autorité publique, une agence ou tout autre organisme qui développe ou fait développer un système d’IA ou un modèle d’IA à usage général et le met sur le marché ou met le système d’IA en service sous son propre nom ou sa propre marque, à titre onéreux ou gratuit ».
2 Tels que définis à l’article 3(49) du RIA, soit : (i) le décès d’une personne ou une atteinte grave à sa santé, (ii) une perturbation grave et irréversible de la gestion ou du fonctionnement d’infrastructures critiques, (iii) une violation des obligations au titre du droit de l’Union visant à protéger les droits fondamentaux ou (iv) un dommage grave aux biens ou à l’environnement.
3 Ce paragraphe reprend les 4 cas visés à l’article 3(49) du RIA pour définir un « incident » ou un « dysfonctionnement » – voir note 2 ci-dessus.
4 Notamment : en cas de signalement, l’autorité en charge doit en informer sans délai les autres autorités ou organismes compétents, dans un esprit de coopération transfrontalière ; et adopter des mesures concrètes dans un délai de 7 jours à compter de la réception du signalement.
