Source: OJ L, 2024/1689, 12.7.2024Current language: FR
- Artificial intelligence act
Basic legislative acts
- AI act regulation
Article 73 Signalement d’incidents graves
Summary What does Article 73 of the AI act regulation say?
This article establishes the serious incident reporting regime for providers of high-risk AI systems placed on the Union market.
It sets out the obligation to report to market surveillance authorities in the Member State where an incident occurred, and crucially, it lays down a tiered set of deadlines depending on the severity of the incident.
The general deadline is 15 days, but this is tightened significantly for incidents involving widespread infringement or disruption of critical infrastructure (2 days), and further still where a person has died (10 days).
The article also covers post-reporting obligations, requiring providers to conduct investigations and cooperate with authorities without altering the AI system in a way that could compromise that investigation.
Important points:
- Report serious incidents to the relevant market surveillance authority, with the deadline varying based on severity: 15 days as a general rule, 2 days for widespread infringements or critical infrastructure disruptions, and 10 days where a death has occurred.
- Following a report, conduct a risk assessment and corrective action, and do not alter the AI system in a way that could affect the evaluation of the incident's causes without first informing the competent authorities.
- Market surveillance authorities are required to take appropriate measures within seven days of receiving a notification and to immediately notify the Commission of any serious incident.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Les fournisseurs de systèmes d’IA à haut risque mis sur le marché de l’Union signalent tout incident grave aux autorités de surveillance du marché des États membres dans lesquels cet incident s’est produit.
Le signalement visé au paragraphe 1 est effectué immédiatement après que le fournisseur a établi un lien de causalité, ou la probabilité raisonnable qu’un tel lien existe, entre le système d’IA et l’incident grave et, en tout état de cause, au plus tard 15 jours après que le fournisseur ou, le cas échéant, le déployeur a eu connaissance de l’incident grave.
Le délai pour le signalement visé au premier alinéa tient compte de l’ampleur de l’incident grave.
Nonobstant le paragraphe 2 du présent article, en cas d’infraction de grande ampleur ou d’incident grave au sens de l’article 3, point 49), b), le signalement visé au paragraphe 1 du présent article est effectué immédiatement, et au plus tard deux jours après que le fournisseur ou, le cas échéant, le déployeur a eu connaissance de cet incident.
Nonobstant le paragraphe 2, en cas de décès d’une personne, le signalement est effectué immédiatement après que le fournisseur ou le déployeur a établi un lien de causalité entre le système d’IA à haut risque et l’incident grave ou dès qu’il soupçonne un tel lien, mais au plus tard 10 jours après la date à laquelle le fournisseur ou, le cas échéant, le déployeur a eu connaissance de l’incident grave.
Si cela est nécessaire pour assurer un signalement en temps utile, le fournisseur ou, le cas échéant, le déployeur peut soumettre un signalement initial incomplet, suivi d’un signalement complet.
À la suite du signalement d’un incident grave en application du paragraphe 1, le fournisseur mène sans tarder les investigations nécessaires liées à l’incident grave et au système d’IA concerné. Ces investigations comprennent notamment une évaluation des risques résultant de l’incident, ainsi que des mesures correctives.
Le fournisseur coopère avec les autorités compétentes et, le cas échéant, avec l’organisme notifié concerné, au cours des investigations visées au premier alinéa, et ne mène aucune investigation nécessitant de modifier le système d’IA concerné d’une manière susceptible d’avoir une incidence sur toute évaluation ultérieure des causes de l’incident, avant d’informer les autorités compétentes de telles mesures.
Dès réception d’une notification relative à un incident grave visé à l’article 3, point 49) c), l’autorité de surveillance du marché compétente informe les autorités ou organismes publics nationaux visés à l’article 77, paragraphe 1. La Commission élabore des orientations spécifiques pour faciliter le respect des obligations énoncées au paragraphe 1 du présent article. Ces orientations sont publiées au plus tard le 2 août 2025, et font l’objet d’une évaluation régulière.
L’autorité de surveillance du marché prend les mesures qui s’imposent, conformément à l’article 19 du règlement (UE) 2019/1020, dans un délai de sept jours à compter de la date à laquelle elle a reçu la notification visée au paragraphe 1 du présent article, et suit les procédures de notification prévues par ledit règlement.
Pour les systèmes d’IA à haut risque visés à l’annexe III qui sont mis sur le marché ou mis en service par des fournisseurs qui sont soumis à des instruments législatifs de l’Union établissant des obligations de signalement équivalentes à celles énoncées dans le présent règlement, la notification des incidents graves est limitée à ceux visés à l’article 3, point 49) c).
Pour les systèmes d’IA à haut risque qui sont des composants de sécurité de dispositifs, ou qui sont eux-mêmes des dispositifs, relevant des règlements (UE) 2017/745 et (UE) 2017/746, la notification des incidents graves est limitée à ceux qui sont visés à l’article 3, point 49) c), du présent règlement, et est adressée à l’autorité nationale compétente choisie à cette fin par les États membres dans lesquels l’incident s’est produit.
Les autorités nationales compétentes notifient immédiatement à la Commission tout incident grave, qu’elles aient ou non pris des mesures à cet égard, conformément à l’article 20 du règlement (UE) 2019/1020.
Relevant recitals
Considérant 155 Post-market monitoring systems
Afin de veiller à ce que les fournisseurs de systèmes d’IA à haut risque puissent prendre en considération l’expérience acquise dans l’utilisation de systèmes d’IA à haut risque pour améliorer leurs systèmes et le processus de conception et de développement, ou qu’ils puissent prendre d’éventuelles mesures correctives en temps utile, tous les fournisseurs devraient avoir mis en place un système de surveillance après commercialisation. Le cas échéant, la surveillance après commercialisation devrait comprendre une analyse de l’interaction avec d’autres systèmes d’IA, y compris d’autres dispositifs et logiciels. La surveillance après commercialisation ne devrait pas couvrir les données opérationnelles sensibles des utilisateurs de systèmes d’IA qui sont des autorités répressives. Ce système est aussi essentiel pour garantir que les risques potentiels découlant des systèmes d’IA qui continuent à «apprendre» après avoir été mis sur le marché ou mis en service puissent être traités plus efficacement et en temps utile. Dans ce contexte, les fournisseurs devraient également être tenus de mettre en place un système pour signaler aux autorités compétentes tout incident grave résultant de l’utilisation de leurs systèmes d’IA, à savoir un incident ou un dysfonctionnement entraînant la mort ou une atteinte grave à la santé, une perturbation grave et irréversible de la gestion et de l’exploitation des infrastructures critiques, des infractions aux obligations découlant du droit de l’Union visant à protéger les droits fondamentaux ou une atteinte grave aux biens ou à l’environnement.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
mise sur le marché
(En. placing on the market)
Definition
déployeur
(En. deployer)
Definition
système de surveillance après commercialisation
(En. post-market monitoring system)
Definition
organisme notifié
(En. notified body)
Definition
mandataire
(En. authorised representative)
Definition
infrastructure critique
(En. critical infrastructure)
Definition
fournisseur
(En. provider)
Definition
données opérationnelles sensibles
(En. sensitive operational data)
Definition
distributeur
(En. distributor)
Definition
infraction de grande ampleur
(En. widespread infringement)
- a porté ou est susceptible de porter atteinte aux intérêts collectifs des personnes résidant dans au moins deux États membres autres que celui:
- où l’acte ou l’omission en question a son origine ou a eu lieu;
- où le fournisseur concerné ou, le cas échéant, son mandataire, est situé ou établi; ou
- où le déployeur est établi, lorsque l’infraction est commise par le déployeur;
- a porté, porte ou est susceptible de porter atteinte aux intérêts collectifs des personnes, qui présente des caractéristiques communes, notamment la même pratique illégale ou la violation du même intérêt, et qui se produit simultanément, commise par le même opérateur, dans au moins trois États membres;
Definition
composant de sécurité
(En. safety component)
Definition
autorité notifiante
(En. notifying authority)
Definition
autorités répressives
(En. law enforcement authority)
- toute autorité publique compétente pour la prévention et la détection des infractions pénales, les enquêtes et les poursuites en la matière ou l’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces; ou
- tout autre organisme ou entité à qui le droit d’un État membre confie l’exercice de l’autorité publique et des prérogatives de puissance publique à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces;
Definition
évaluation de la conformité
(En. conformity assessment)
Definition
risque
(En. risk)
Definition
opérateur
(En. operator)
Definition
importateur
(En. importer)
Definition
incident grave
(En. serious incident)
- le décès d’une personne ou une atteinte grave à la santé d’une personne;
- une perturbation grave et irréversible de la gestion ou du fonctionnement d’infrastructures critiques;
- la violation des obligations au titre du droit de l’Union visant à protéger les droits fondamentaux;
- un dommage grave à des biens ou à l’environnement;
Definition
autorité nationale compétente
(En. national competent authority)
Definition
autorité de surveillance du marché
(En. market surveillance authority)
Definition
système d’IA
(En. AI system)
Definition
organisme d’évaluation de la conformité
(En. conformity assessment body)
Definition
modèle d’IA à usage général
(En. general-purpose AI model)