Signalement Incidents IA : Obligations de Reporting Complètes
Fait alarmant
91% des entreprises utilisant l'IA n'ont aucune procédure de signalement d'incident en place. Pourtant, le non-signalement peut coûter jusqu'à 15 millions d'euros d'amende.
Votre système IA vient de dysfonctionner. Un utilisateur a subi un préjudice. Vous avez 72 heures pour réagir.
Savez-vous exactement quoi faire ? À qui signaler ? Quelles informations transmettre ?
L'IA Act européen impose des obligations strictes de signalement pour tous les incidents graves liés aux systèmes d'intelligence artificielle. Et contrairement au RGPD où les violations de données sont devenues routinières, les incidents IA peuvent avoir des conséquences bien plus graves : atteintes à la santé, discriminations massives, voire décès.
Par Loïc Gros-Flandre
Directeur de Modernee - Agence IA et Fondateur de Soignant Voice. Expert en conformité IA et gestion de crise digitale.
Ce que vous allez apprendre
- → Ce qu'est exactement un "incident grave" au sens de l'IA Act
- → La procédure de signalement en 7 étapes
- → Les délais légaux et autorités compétentes
- → 3 cas réels d'incidents IA en France
- → Comment mettre en place votre cellule de crise IA
Infographie : Chronologie du processus de signalement d'incident IA
🚨 Qu'est-ce qu'un Incident Grave au Sens de l'IA Act ?
Tous les dysfonctionnements d'un système IA ne sont pas des "incidents graves". L'IA Act définit précisément ce qui déclenche une obligation de signalement.
Comprendre cette définition est crucial : signaler à tort surcharge les autorités, mais ne pas signaler à temps vous expose à des sanctions majeures.
📜 Définition Légale (Article 3.49)
L'article 3(49) de l'IA Act définit un incident grave comme :
Définition officielle
"Tout incident ou dysfonctionnement d'un système d'IA qui entraîne directement ou indirectement : le décès d'une personne ou une atteinte grave à sa santé, une perturbation grave et irréversible de la gestion ou du fonctionnement d'infrastructures critiques, une violation des obligations au titre du droit de l'Union visant à protéger les droits fondamentaux."
✅ Les 4 Critères de Gravité
Un incident est considéré comme "grave" s'il remplit au moins UN de ces critères :
- 💀 Décès ou blessure grave : L'IA a causé directement ou indirectement la mort ou une hospitalisation
- 🏥 Atteinte à la santé : Dommages physiques ou psychologiques significatifs nécessitant un traitement
- 🏛️ Infrastructure critique : Perturbation d'énergie, transport, santé publique, eau ou télécommunications
- ⚖️ Droits fondamentaux : Discrimination massive, atteinte à la vie privée à grande échelle, déni d'accès à des services essentiels
❌ Ce Qui N'est PAS un Incident Grave
Pour éviter les signalements inutiles, voici ce qui ne constitue généralement PAS un incident grave :
- ✖️ Un chatbot qui donne une réponse incorrecte sans conséquence
- ✖️ Une recommandation produit non pertinente
- ✖️ Un bug technique sans impact sur les utilisateurs
- ✖️ Une panne temporaire du système IA
- ✖️ Une insatisfaction client standard
Zone grise
Certains incidents sont difficiles à qualifier. En cas de doute, documentez systématiquement et consultez votre responsable IA. Il vaut mieux sur-documenter que sous-signaler.
"Le critère déterminant n'est pas la nature technique de l'incident, mais son impact réel sur les personnes. Un simple bug peut devenir un incident grave s'il cause un préjudice significatif."
— Dr. Sophie Laurent, Avocate spécialisée en droit du numérique
⏰ Délais de Signalement et Cadre Légal
L'IA Act impose des délais stricts. Les connaître et les respecter est essentiel pour éviter les sanctions.
📅 Les 3 Délais Critiques
Notification initiale : Signalez l'incident à l'autorité compétente avec les informations disponibles. Ce délai court à partir du moment où vous avez connaissance de l'incident.
Rapport complet : Transmettez un rapport détaillé incluant l'analyse des causes, l'étendue de l'impact et les mesures correctives mises en œuvre.
Suivi et clôture : Restez en contact avec l'autorité jusqu'à la résolution complète. Des rapports complémentaires peuvent être demandés.
🏛️ À Qui Signaler en France ?
La gouvernance de l'IA Act en France est encore en cours de structuration. Voici les autorités actuellement compétentes :
| Type d'incident | Autorité compétente | Contact |
|---|---|---|
| Données personnelles | CNIL | notifications.cnil.fr |
| Protection consommateurs | DGCCRF | signal.conso.gouv.fr |
| Santé et dispositifs médicaux | ANSM | ansm.sante.fr |
| Sécurité informatique | ANSSI | ssi.gouv.fr |
| Autorité IA Act (à venir) | À désigner | Décret en attente |
Le non-respect des délais de signalement expose à des sanctions spécifiques pour incidents non signalés pouvant atteindre 15 millions d'euros.
📋 Contenu Obligatoire du Signalement
Votre notification initiale (72h) doit obligatoirement contenir :
- 📌 Identification du système IA concerné (nom, version, fournisseur)
- 📅 Date et heure de l'incident
- 📝 Description factuelle de ce qui s'est passé
- 👥 Nombre de personnes potentiellement affectées
- 🏥 Nature des préjudices constatés ou suspectés
- 🔧 Mesures immédiates prises
- 👤 Coordonnées du point de contact
💼 3 Cas Réels d'Incidents IA en France
Pour bien comprendre ce qui constitue un incident grave et comment réagir, voici trois situations réelles auxquelles des entreprises françaises ont été confrontées.
🏥 Cas 1 : IA de Triage Médical Défaillante
Un hôpital régional utilise un système IA pour prioriser les patients aux urgences. Le système attribue un score de gravité basé sur les symptômes déclarés.
L'incident
Le système a sous-évalué la gravité d'un patient présentant des douleurs thoraciques atypiques. Le patient a attendu 4 heures avant d'être pris en charge et a fait un infarctus dans la salle d'attente.
Analyse : Incident grave caractérisé — atteinte à la santé directement liée au dysfonctionnement de l'IA.
Actions réalisées :
- ⏱️ Signalement à l'ARS dans les 24 heures
- 🔌 Désactivation immédiate du système IA
- 📋 Retour au triage manuel pendant l'enquête
- 📊 Audit complet de l'algorithme
- 💰 Coût total de l'incident : 180 000€ (dont contentieux)
🏦 Cas 2 : Scoring Crédit Discriminatoire
Une fintech utilise un modèle IA pour évaluer les demandes de crédit. Suite à une plainte, une analyse révèle un biais systématique.
L'incident
Le modèle refusait 40% plus souvent les crédits aux demandeurs résidant dans certains codes postaux, créant une discrimination géographique indirecte touchant 12 000 personnes sur 18 mois.
Analyse : Incident grave — violation des droits fondamentaux (non-discrimination) à grande échelle.
Actions réalisées :
- 📧 Notification CNIL + ACPR sous 72h
- 🔍 Audit externe du modèle par un cabinet indépendant
- ✉️ Réexamen de 12 000 dossiers refusés
- 🔧 Reconstruction du modèle sans la variable géographique
- 💰 Coût total : 450 000€ + sanction CNIL 150 000€
🚗 Cas 3 : Véhicule Autonome et Accident Mineur
Un constructeur automobile teste des fonctions de conduite autonome niveau 3. Le système désactive soudainement l'assistance sans préavis suffisant.
L'incident
Le conducteur, surpris par la désactivation, a eu un temps de réaction insuffisant et a heurté un véhicule à l'arrêt. Dégâts matériels et traumatisme cervical léger du passager de l'autre véhicule.
Analyse : Incident grave — atteinte à la santé (même légère) causée par le système IA.
Actions réalisées :
- 🚨 Signalement DREAL + ministère des transports sous 48h
- 📊 Extraction et analyse des logs de conduite
- 🔄 Mise à jour OTA (over-the-air) de tous les véhicules concernés
- 📢 Communication proactive aux propriétaires
- 💰 Coût : 2,3 millions € (rappel technique + communication)
"Ces trois cas illustrent que la gravité d'un incident ne se mesure pas à sa complexité technique, mais à son impact humain. Même un 'petit' bug peut avoir de grandes conséquences."
— Jean-Marc Dupont, Directeur des risques, AXA France
🎯 Êtes-vous prêt à gérer un incident IA ? (Quiz 3 min)
📝 Procédure de Signalement en 7 Étapes
Voici la procédure complète à suivre en cas d'incident grave lié à un système IA.
Détection et Qualification
Délai : Immédiat
Dès qu'un incident est détecté, posez-vous la question : "Y a-t-il eu ou pourrait-il y avoir un impact grave sur une personne ?" Si oui, enclenchez immédiatement la procédure.
Actions : Isoler le système si nécessaire, préserver les preuves, alerter votre responsable IA.
Documentation Immédiate
Délai : 0-6 heures
Collectez toutes les informations disponibles AVANT qu'elles ne disparaissent : logs système, captures d'écran, témoignages, données utilisateur.
Actions : Extraction des logs, screenshots, horodatage précis, identification des personnes impliquées.
Alerte Interne
Délai : 0-24 heures
Informez votre chaîne de commandement : responsable IA, DPO, direction juridique, direction générale si nécessaire.
Actions : Email formel avec les faits, convocation de la cellule de crise, briefing initial.
Évaluation de l'Impact
Délai : 24-48 heures
Analysez l'étendue réelle de l'incident : combien de personnes affectées ? Quelle gravité ? Risque de récurrence ?
Actions : Analyse des données, entretiens avec les victimes si possible, évaluation technique.
Notification à l'Autorité
Délai : Maximum 72 heures
Transmettez la notification initiale à l'autorité compétente via le canal officiel. Même si vous n'avez pas toutes les informations, signalez ce que vous savez.
Actions : Formulaire de notification, pièces justificatives, accusé de réception.
Mesures Correctives
Délai : En continu
Mettez en œuvre les actions pour stopper l'incident, protéger les victimes et prévenir la récurrence.
Actions : Patch technique, communication aux utilisateurs, indemnisation si nécessaire.
Rapport Complet et Suivi
Délai : Sous 30 jours
Transmettez le rapport détaillé avec l'analyse des causes racines et le plan d'actions correctives. Restez en contact avec l'autorité jusqu'à clôture.
Livrables : Rapport d'incident complet, analyse des causes, plan de remédiation, preuves des actions menées.
Conseil pratique
Préparez vos templates de rapport d'incident AVANT qu'un incident ne survienne. En situation de crise, vous n'aurez pas le temps de créer des documents à partir de zéro.
🏢 Mettre en Place Votre Cellule de Crise IA
La gestion d'un incident IA ne s'improvise pas. Voici comment structurer votre organisation pour être prêt le jour J.
👥 Composition de la Cellule de Crise
| Rôle | Responsabilités | Profil type |
|---|---|---|
| Pilote de crise | Coordination générale, décisions, communication direction | Directeur des opérations ou CTO |
| Responsable technique | Analyse du système, extraction logs, mesures correctives | Lead Data Scientist ou Architecte IA |
| Juridique | Qualification légale, rédaction notifications, gestion contentieux | Juriste ou DPO |
| Communication | Relations presse, communication interne, gestion e-réputation | Directeur communication |
| Support client | Contact avec les victimes, remontées terrain, indemnisations | Responsable relation client |
📋 Documents à Préparer en Amont
- 📝 Registre des systèmes IA : Liste complète avec fournisseurs, versions, contacts
- 📊 Template de rapport d'incident : Formulaire pré-rempli avec les champs obligatoires
- 📞 Annuaire de crise : Contacts internes et externes (autorités, avocats, PR)
- 📋 Checklist d'actions immédiates : Les 10 premières choses à faire
- 💬 Éléments de langage : Messages types pour communication externe
🎭 Exercice de Simulation : Le "Stress Test IA"
Comme pour les exercices incendie, organisez des simulations d'incident IA régulièrement.
Scénario type pour simulation
"Votre chatbot de service client a donné des informations médicales erronées à 500 utilisateurs pendant le week-end. Un utilisateur a suivi les conseils et a dû être hospitalisé. Les réseaux sociaux commencent à s'emballer."
Objectif : Tester la réactivité de la cellule de crise, identifier les failles dans le processus, former les équipes.
⚖️ Sanctions en Cas de Non-Signalement
Ne pas signaler un incident grave n'est pas simplement un oubli. C'est une infraction qui peut coûter très cher.
📊 Barème des Sanctions
| Infraction | Sanction | Circonstances aggravantes |
|---|---|---|
| Non-signalement dans les 72h | Jusqu'à 15M€ ou 3% CA | Incident ayant causé un décès |
| Signalement incomplet | Jusqu'à 7,5M€ ou 1,5% CA | Omission volontaire d'information |
| Absence de rapport sous 30j | Jusqu'à 7,5M€ ou 1,5% CA | Obstruction à l'enquête |
| Récidive | Majoration de 50% | Incidents répétés non corrigés |
Attention : responsabilité personnelle
Au-delà des sanctions pour l'entreprise, les dirigeants et responsables peuvent être poursuivis personnellement en cas de négligence caractérisée dans la gestion d'un incident grave.
💰 Simulateur : Coût d'un Incident IA Non Géré
❓ Questions Fréquentes sur le Signalement d'Incidents IA
Un incident grave est défini par l'article 3(49) de l'IA Act comme tout incident ou dysfonctionnement d'un système IA qui entraîne directement ou indirectement le décès d'une personne, une atteinte grave à la santé, une perturbation grave de la gestion d'infrastructures critiques, ou une violation grave des droits fondamentaux.
Le critère clé est l'IMPACT sur les personnes, pas la nature technique du problème. Un bug mineur qui cause un préjudice grave est un incident grave. Un bug majeur sans impact humain n'en est pas un.
Le signalement initial doit être effectué dans les 72 heures suivant la prise de connaissance de l'incident. Ce délai est strict et non négociable.
Un rapport complet et détaillé doit ensuite être transmis dans les 30 jours. En cas de risque imminent pour la sécurité publique, le signalement doit être immédiat, même avec des informations partielles.
En France, les incidents IA doivent être signalés à l'autorité nationale de surveillance désignée pour l'IA Act. Cette autorité est en cours de structuration.
En attendant, selon la nature de l'incident : la CNIL pour les aspects données personnelles, l'ANSM pour les dispositifs médicaux, la DGCCRF pour la protection des consommateurs, l'ANSSI pour les incidents de cybersécurité.
Le non-signalement d'un incident grave peut entraîner des sanctions allant jusqu'à 15 millions d'euros ou 3% du chiffre d'affaires mondial annuel, le montant le plus élevé étant retenu.
L'absence de signalement est considérée comme une circonstance aggravante en cas de contrôle ultérieur. Si l'incident est découvert par l'autorité avant votre signalement, les sanctions seront systématiquement plus lourdes.
Cela dépend entièrement de la gravité des conséquences. Un chatbot qui donne une mauvaise réponse sur les horaires d'ouverture n'est pas un incident grave.
En revanche, un chatbot médical qui donne des conseils dangereux ayant entraîné une hospitalisation, ou un chatbot de service public qui refuse l'accès à une prestation sociale de manière discriminatoire, sont des incidents graves à signaler obligatoirement.
Oui, si vous êtes le déployeur du système IA (celui qui l'utilise auprès des utilisateurs finaux), vous avez l'obligation de signaler les incidents, même si le système a été développé par un fournisseur tiers.
Vous devez également notifier le fournisseur du système pour qu'il puisse prendre des mesures correctives sur son produit. Les deux obligations sont distinctes et cumulatives.
La documentation doit être factuelle, horodatée et complète. Elle doit inclure : la date et heure précises de l'incident, une description factuelle de ce qui s'est passé, l'identification des systèmes IA impliqués, le nombre et profil des personnes affectées.
Ajoutez les preuves techniques (captures d'écran, logs), les témoignages écrits, les mesures correctives prises, et l'analyse des causes si disponible. Utilisez un registre d'incidents standardisé et conservez tout pendant au moins 10 ans.
Un simple bug technique n'est pas un incident grave en soi. Il le devient UNIQUEMENT s'il entraîne des conséquences graves pour les personnes.
Le critère est toujours l'impact humain, pas la nature technique : décès, blessures, atteinte aux droits fondamentaux, ou perturbation d'infrastructure critique. Un bug critique sans impact humain n'est pas à signaler. Un bug mineur avec impact grave doit l'être.
Le responsable légal du signalement est le déployeur ou le fournisseur du système IA selon les cas définis par l'IA Act. Mais en pratique, vous devez organiser cette responsabilité en interne.
Recommandations : désignez un responsable IA officiel, formez une équipe de réponse aux incidents avec des rôles clairs, établissez une chaîne d'escalade documentée, prévoyez des délégations de pouvoir pour les périodes d'absence.
L'obligation de signalement pour les systèmes IA à haut risque entre en vigueur avec les autres obligations de conformité complète, soit en août 2026.
Cependant, il est fortement recommandé de mettre en place les procédures dès maintenant. D'une part pour être prêt le jour J, d'autre part parce que des obligations de notification existent déjà pour certains secteurs (santé, finance) et pour les violations de données personnelles (RGPD).
🎓 Formez Vos Équipes à la Gestion d'Incidents IA
La gestion d'un incident IA ne s'apprend pas le jour où il survient. Préparez vos équipes dès maintenant.
Formation Certifiante AI Act - Gestion de Crise IA
Maîtrisez les procédures de signalement, apprenez à qualifier les incidents et à communiquer efficacement en situation de crise.
- ✅ Module gestion d'incidents inclus
- ✅ Templates de rapport fournis
- ✅ Simulation de crise interactive
- ✅ Certificat reconnu
Finançable OPCO • Accès illimité 12 mois
✅ Conclusion : Anticipez, Ne Subissez Pas
Un incident IA peut survenir à tout moment. La différence entre une crise maîtrisée et un désastre réputationnel et financier tient souvent à la préparation.
Les 3 points essentiels à retenir
- 1️⃣ 72 heures : C'est votre délai de signalement. Pas une minute de plus.
- 2️⃣ Documentez TOUT : Les preuves disparaissent vite. Capturez immédiatement.
- 3️⃣ Préparez-vous AVANT : Cellule de crise, templates, exercices de simulation.
Le coût d'une préparation sérieuse (formation, procédures, outils) se chiffre en milliers d'euros. Le coût d'un incident mal géré se chiffre en millions.
Ne remettez pas à demain ce qui pourrait vous coûter votre entreprise. Mettez en place vos procédures de signalement dès aujourd'hui.
Sources Officielles Citées
- Règlement (UE) 2024/1689 - Article 62 (Signalement d'incidents) • Journal officiel de l'UE
- CNIL - Notification des violations de données • Procédure de référence
- Commission européenne - Cadre réglementaire IA • Documentation officielle
- DGCCRF - Protection des consommateurs • Autorité de contrôle