Art. 78 Confidentialité | AI act regulation | AI act

This article establishes the confidentiality obligations that apply to all parties involved in the application of the regulation — including the Commission, market surveillance authorities, notified bodies, and any other natural or legal person carrying out tasks under it.

It sets out a broad duty to protect information obtained in the course of those tasks, covering trade secrets, source code, security interests, ongoing proceedings, and classified information.

The article is referenced extensively throughout the regulation wherever sensitive information is accessed or exchanged, making it a foundational cross-cutting provision.

It also includes specific rules for particularly sensitive contexts, namely where high-risk AI systems are used or provided by law enforcement, border control, immigration, or asylum authorities, placing additional restrictions on disclosure and physical custody of technical documentation.

Important points:

All authorities and persons involved in applying the regulation are required to respect confidentiality of information obtained in carrying out their tasks, protecting trade secrets, security interests, and classified data.
Authorities may only request data strictly necessary for their risk assessment tasks and must put in place cybersecurity measures to protect it, deleting it once it is no longer needed.
Where law enforcement, border control, immigration, or asylum authorities are involved, confidential information exchanged between national competent authorities and the Commission cannot be disclosed without prior consultation of the originating authority and the deployer, and sensitive operational data is excluded from such exchanges entirely.

1. La Commission, les autorités de surveillance du marché et les organismes notifiés, ainsi que toute autre personne physique ou morale associée à l’application du présent règlement respectent, conformément au droit de l’Union ou au droit national, la confidentialité des informations et des données obtenues dans l’exécution de leurs tâches et activités de manière à protéger, en particulier:
  1. les droits de propriété intellectuelle et les informations confidentielles de nature commerciale ou les secrets d’affaires des personnes physiques ou morales, y compris le code source, à l’exception des cas visés à l’article 5 de la directive (UE) 2016/943 du Parlement européen et du Conseil(⁵⁷);
  2. la mise en œuvre effective du présent règlement, notamment en ce qui concerne les inspections, les investigations ou les audits;
  3. les intérêts en matière de sécurité nationale et publique;
  4. la conduite des procédures pénales ou administratives;
  5. les informations classifiées en vertu du droit de l’Union ou du droit national.
1. Les autorités associées à l’application du présent règlement conformément au paragraphe 1 demandent uniquement les données qui sont strictement nécessaires à l’évaluation du risque posé par les systèmes d’IA et à l’exercice de leurs pouvoirs conformément au présent règlement et au règlement (UE) 2019/1020. Elles mettent en place des mesures de cybersécurité adéquates et efficaces pour protéger la sécurité et la confidentialité des informations et des données obtenues, et suppriment les données collectées dès qu’elles ne sont plus nécessaires aux fins pour lesquelles elles ont été obtenues, conformément au droit de l’Union ou au droit national applicable.
1. Sans préjudice des paragraphes 1 et 2, les informations échangées à titre confidentiel entre les autorités nationales compétentes ou entre celles-ci et la Commission ne sont pas divulguées sans consultation préalable de l’autorité nationale compétente dont elles émanent et du déployeur lorsque les systèmes d’IA à haut risque visés à l’annexe III, point 1, 6 ou 7, sont utilisés par les autorités répressives, les autorités chargées des contrôles aux frontières, les services de l’immigration ou les autorités compétentes en matière d’asile et lorsque cette divulgation risquerait de porter atteinte aux intérêts en matière de sécurité nationale et publique. Cet échange d’informations ne couvre pas les données opérationnelles sensibles relatives aux activités des autorités répressives, des autorités chargées des contrôles aux frontières, des services de l’immigration ou des autorités compétentes en matière d’asile.
2. Lorsque les autorités répressives, les services de l’immigration ou les autorités compétentes en matière d’asile sont fournisseurs de systèmes d’IA à haut risque visés à l’annexe III, point 1, 6 ou 7, la documentation technique visée à l’annexe IV reste dans les locaux de ces autorités. Ces autorités veillent à ce que les autorités de surveillance du marché visées à l’article 74, paragraphes 8 et 9, selon le cas, puissent, sur demande, avoir immédiatement accès à la documentation ou en obtenir une copie. Seuls les membres du personnel de l’autorité de surveillance du marché disposant d’une habilitation de sécurité au niveau approprié sont autorisés à avoir accès à cette documentation ou à une copie de celle-ci.
1. Les paragraphes 1, 2 et 3 sont sans effet sur les droits ou obligations de la Commission, des États membres et de leurs autorités compétentes, ainsi que sur les droits ou obligations des organismes notifiés, en matière d’échange d’informations et de diffusion de mises en garde, y compris dans le contexte de la coopération transfrontière, et sur les obligations d’information incombant aux parties concernées en vertu du droit pénal des États membres.
1. La Commission et les États membres peuvent, lorsque cela est nécessaire et conformément aux dispositions pertinentes des accords internationaux et commerciaux, échanger des informations confidentielles avec les autorités de réglementation de pays tiers avec lesquels ils ont conclu des accords bilatéraux ou multilatéraux en matière de confidentialité garantissant un niveau de confidentialité approprié.

Article 78 Confidentialité

Relevant recitals