Qu'est-ce qu'un incident grave à signaler selon l'AI Act ?

Un incident grave est tout dysfonctionnement ou mauvais usage d'un système IA haut risque qui a causé ou aurait pu causer : la mort ou des dommages graves à la santé, une violation grave des droits fondamentaux, des dommages matériels significatifs à des biens ou à l'environnement. L'Article 73 impose le signalement de ces incidents.

Quel est le délai pour signaler un incident IA ?

Le signalement doit être fait dès que le fournisseur ou déployeur a connaissance de l'incident, et au plus tard dans les 15 jours suivant sa découverte. Pour les incidents impliquant un risque imminent pour la santé ou la sécurité, le délai est réduit à 72 heures.

Quelle est l'amende pour un incident non signalé ?

Le non-signalement d'un incident grave expose à une amende de 15 millions d'euros ou 3% du chiffre d'affaires mondial (le montant le plus élevé). Si le non-signalement a aggravé les conséquences de l'incident, des sanctions pénales peuvent s'ajouter.

À qui faut-il signaler un incident IA ?

Les incidents doivent être signalés à l'autorité de surveillance du marché de l'État membre concerné. En France, c'est la CNIL pour les aspects données personnelles et l'autorité sectorielle compétente (ANSM pour la santé, ACPR pour la finance, etc.).

Que contient un signalement d'incident IA ?

Le signalement doit inclure : l'identification du système IA concerné, la description de l'incident (date, lieu, circonstances), les conséquences constatées ou potentielles, les mesures correctives prises, et les coordonnées du responsable. Un modèle standardisé sera fourni par la Commission.

Comment prouver qu'on a bien signalé un incident ?

Conservez : l'accusé de réception de l'autorité, les horodatages des communications, les versions du rapport d'incident, les preuves des mesures correctives, et le registre interne des incidents. Sans preuve de signalement, c'est votre parole contre celle du régulateur.

L'obligation de signalement s'applique-t-elle déjà ?

L'obligation de signalement des incidents pour les systèmes haut risque entrera en vigueur le 2 août 2026, avec le reste des obligations haut risque. Mais dès maintenant, mettre en place un processus de gestion des incidents est une bonne pratique et prépare à la conformité.

incidents non signales - formation-ia-act

Q: Le fournisseur et le déployeur doivent-ils tous deux signaler ?

OUI, les deux ont des obligations distinctes. Le fournisseur doit signaler les incidents liés au système lui-même. Le déployeur doit signaler les incidents liés à l'usage du système. En cas de doute, signalez : le régulateur triera.

Q: Les quasi-incidents doivent-ils être signalés ?

Les quasi-incidents (near-misses) ne sont pas obligatoirement signalés aux autorités, mais doivent être documentés en interne. Ils sont précieux pour améliorer le système. Cependant, si un quasi-incident révèle un risque systémique, le signalement devient recommandé.

🚨 Le Cover-Up Coûte Plus Cher que l'Incident

Votre IA a causé un accident et vous n'avez pas signalé ? L'AI Act prévoit des sanctions spécifiques pour le non-signalement d'incidents graves. Jusqu'à 15 millions d'euros ou 3% du CA mondial.

Un système IA de diagnostic médical qui rate un cancer. Une IA de conduite autonome impliquée dans un accident. Un algorithme de crédit qui discrimine massivement. Ces incidents arrivent.

Ce qui est sanctionnable, ce n'est pas que l'incident se produise. C'est de ne pas le signaler. L'AI Act impose une obligation de signalement des incidents graves avec des délais stricts.

Ce guide vous explique quels incidents signaler, à qui, dans quels délais, et surtout les sanctions en cas de manquement.

15M€ amende max (3% CA)

15j délai max signalement

227 jours restants

Par Loïc Gros-Flandre

Directeur de Modernee - Agence IA & Fondateur de Soignant Voice Application médical. Expert en conformité IA et transformation digitale des entreprises.

🎯 Spécialiste AI Act • 💼 Conseil stratégique IA • ✅ +50 entreprises accompagnées

                📚 Ce que vous allez apprendre
                → Ce qui constitue un "incident grave" à signaler
→ Les délais : 72h pour les urgents, 15 jours sinon
→ À qui signaler : autorités compétentes par secteur
→ Les sanctions : 15M€ ou 3% du CA mondial
→ Le contenu d'un signalement conforme
→ Les circonstances aggravantes (dissimulation)
→ Comment mettre en place un processus de signalement

            

Infographie : Le processus de signalement des incidents AI Act

🚨 Qu'est-ce qu'un Incident Grave à Signaler ?

L'Article 73 de l'AI Act définit précisément ce qui constitue un incident grave nécessitant un signalement aux autorités.

💀 Catégorie 1 : Atteintes à la Santé ou la Vie

Tout incident ayant causé ou pouvant causer :

❌ Décès — Direct ou indirect lié au dysfonctionnement IA
❌ Blessures graves — Hospitalisation, séquelles permanentes
❌ Mise en danger — Risque imminent évité de justesse

⚖️ Catégorie 2 : Violations des Droits Fondamentaux

Atteintes graves aux droits protégés par la Charte européenne :

❌ Discrimination massive — Refus systématique basé sur origine, genre, âge
❌ Vie privée — Surveillance illégale, fuite de données sensibles
❌ Libertés individuelles — Restriction injustifiée d'accès à des services

🏠 Catégorie 3 : Dommages Matériels Significatifs

❌ Dommages aux biens — Destruction, dégradation importante
❌ Dommages environnementaux — Pollution, destruction d'écosystèmes
❌ Pertes économiques majeures — Impact financier significatif sur des tiers

⚠️ Le Critère du "Aurait Pu Causer"

Un incident doit être signalé même si les conséquences ont été évitées. Si votre IA de conduite autonome a freiné au dernier moment, c'est un incident signalable. Le potentiel de dommage suffit.

"Le signalement n'est pas une admission de faute. C'est une obligation légale de transparence qui protège le public et permet d'améliorer la sécurité des systèmes IA."
— Considérant 128, AI Act

⏱️ Les Délais de Signalement : 72h ou 15 Jours

L'AI Act impose des délais stricts selon la gravité de l'incident.

Type d'Incident	Délai	Critère
🔴 Urgent	72 heures	Risque imminent pour santé/sécurité
🟠 Grave	15 jours	Autres incidents graves sans urgence immédiate
🟡 Suivi	30 jours	Rapport complet après notification initiale

🔴 Délai 72h : Les Cas d'Urgence

Le délai de 72 heures s'applique quand :

🚨 Décès ou blessure grave — Conséquence déjà survenue
🚨 Danger imminent — Le système continue de présenter un risque
🚨 Impact en cours — L'incident n'est pas encore maîtrisé

🟠 Délai 15 Jours : Les Incidents Graves Non Urgents

Ce délai s'applique pour :

📋 Discriminations — Découvertes après analyse
📋 Dommages matériels — Sans risque immédiat de récidive
📋 Violations de droits — Impact identifié mais maîtrisé

⚠️ Le Délai Court Dès la Connaissance

Les délais courent à partir du moment où vous avez connaissance de l'incident. Retarder l'investigation interne pour gagner du temps est risqué : si le régulateur prouve que vous saviez plus tôt, c'est une aggravation.

⚖️ Les Sanctions pour Non-Signalement

Le non-signalement d'un incident grave est sanctionné au même niveau que les autres violations des obligations haut risque.

Violation	Article	Sanction
Non-signalement incident grave	Art. 73	15M€ ou 3% CA
Signalement tardif	Art. 73	7,5M€ ou 1,5% CA
Signalement incomplet	Art. 73	7,5M€ ou 1,5% CA
Dissimulation volontaire	Art. 73 + pénal	15M€ + sanctions pénales

📈 Les Facteurs Aggravants

Aggravant 1

Dissimulation volontaire — Cacher activement un incident connu multiplie la sanction et ouvre la voie aux sanctions pénales.

Aggravant 2

Aggravation des conséquences — Si le retard de signalement a permis à l'incident de s'aggraver ou de se reproduire.

Aggravant 3

Récidive — Un second incident non signalé après un premier avertissement.

Aggravant 4

Public vulnérable — L'incident a touché des mineurs, des patients, des personnes dépendantes.

🚫 Le Cover-Up : L'Erreur Fatale

La dissimulation volontaire est la pire décision possible. Elle transforme un incident en scandale, et une sanction modérée en sanction maximale. Les régulateurs sont formés à détecter les cover-ups. Et quand ils les trouvent, ils frappent fort.

🎯 Guide : Mettre en Place un Processus de Signalement

Ne découvrez pas votre procédure de signalement le jour d'un incident. Préparez-vous maintenant.

Définir les Critères d'Incident

Établissez une liste claire de ce qui constitue un incident signalable pour votre activité. Adaptez les critères génériques de l'AI Act à votre contexte spécifique. Formalisez dans un document référence.

Livrables : Checklist de qualification des incidents

Mettre en Place le Monitoring

Implémentez des systèmes de détection : alertes automatiques, logs d'anomalies, feedback utilisateurs. Plus vous détectez vite, plus vous pouvez agir vite.

Livrables : Dashboard de monitoring, alertes configurées

Créer le Processus d'Escalade

Définissez qui fait quoi : qui évalue la gravité, qui décide du signalement, qui rédige le rapport, qui contacte l'autorité. Avec des délais internes plus courts que les délais légaux.

Livrables : Organigramme d'escalade, contacts d'astreinte

Préparer les Templates

Créez des modèles de signalement pré-remplis avec les informations de votre entreprise et de vos systèmes. Le jour J, vous n'aurez qu'à ajouter les détails de l'incident.

Livrables : Templates de notification, checklist contenu

Former les Équipes

Chacun doit connaître son rôle. Organisez des exercices de simulation. Un incident signalé tard parce que "personne ne savait quoi faire" est un échec de préparation.

Livrables : Formation réalisée, exercice de simulation

💡 Conseil : Les Dry Runs

Organisez des exercices de simulation d'incidents au moins une fois par an. C'est comme un exercice incendie : le jour où ça arrive, tout le monde sait quoi faire. Documentez les exercices pour prouver votre préparation.

🚨 Évaluez Votre Préparation aux Incidents

Avez-vous défini ce qui constitue un incident ?

Avez-vous un système de détection/monitoring ?

Existe-t-il un processus d'escalade documenté ?

Vos équipes sont-elles formées ?

❓ Questions Fréquentes - Signalement d'Incidents IA

Qu'est-ce qu'un incident grave à signaler ?

Un incident grave est tout dysfonctionnement ayant causé ou pouvant causer : décès ou blessures graves, violation grave des droits fondamentaux, ou dommages matériels significatifs. Le potentiel de dommage suffit, même si évité.

Quel est le délai pour signaler un incident ?

72 heures pour les incidents avec risque imminent pour la santé ou la sécurité. 15 jours pour les autres incidents graves. Ces délais courent dès la connaissance de l'incident.

À qui faut-il signaler l'incident ?

À l'autorité de surveillance du marché de l'État membre concerné. En France : CNIL (données), ANSM (santé), ACPR (finance), ou l'autorité sectorielle compétente selon le domaine du système IA.

Quelle est l'amende pour non-signalement ?

Jusqu'à 15 millions d'euros ou 3% du CA mondial. La dissimulation volontaire est une circonstance très aggravante qui peut entraîner des sanctions pénales personnelles pour les dirigeants.

Le fournisseur et le déployeur doivent-ils tous deux signaler ?

OUI. Le fournisseur signale les incidents liés au système. Le déployeur signale les incidents liés à l'usage. En cas de doute, signalez : le régulateur triera.

Les quasi-incidents doivent-ils être signalés ?

Pas obligatoirement aux autorités, mais documentation interne requise. Les quasi-incidents (near-misses) sont précieux pour améliorer le système. Si risque systémique identifié, signalement recommandé.

Comment prouver qu'on a bien signalé ?

Conservez : accusé de réception de l'autorité, horodatages, versions du rapport, preuves des mesures correctives, registre interne. Sans preuve de signalement, c'est votre parole contre celle du régulateur.

L'obligation s'applique-t-elle déjà ?

L'obligation formelle entre en vigueur le 2 août 2026. Mais mettre en place un processus maintenant est une bonne pratique qui prépare à la conformité et protège votre réputation.

✅ Conclusion : Signaler Vite, Signaler Bien

Un incident IA n'est pas forcément une catastrophe. Un incident non signalé, si. Le cover-up transforme un problème technique en scandale réglementaire.

                🎯 3 Points à Retenir
                🚨 Délais stricts — 72h pour les urgents, 15 jours sinon. Les délais courent dès la connaissance
💰 Sanction : 15M€ ou 3% CA — Le non-signalement coûte souvent plus cher que l'incident lui-même
📋 Préparez-vous maintenant — Le jour de l'incident n'est pas le moment de découvrir votre procédure

            

Les PME comme les grandes entreprises sont concernées. Et le cumul de sanctions AI Act + autres régulations peut être dévastateur. La publicité des sanctions amplifie encore les dégâts réputationnels.