Sanctions Notification IA : Autorités Non Informées
L'Obligation Invisible : Notifier AVANT de Commercialiser
Pas de notification = pas de mise sur le marché légale. Les systèmes à haut risque doivent être enregistrés dans la base de données européenne AVANT commercialisation. Sanction : 15M€ ou 3% CA.
Vous développez une IA de recrutement ? Un système de scoring crédit ? Un outil de diagnostic médical ? Ces systèmes à haut risque ne peuvent pas être mis sur le marché sans notification préalable aux autorités.
L'IA Act crée une base de données européenne publique. Chaque système à haut risque doit y être enregistré. Sans cet enregistrement, la commercialisation est illégale.
Ce guide détaille les obligations de notification, les systèmes concernés, et comment éviter les sanctions pour défaut de déclaration.
Par Loïc Gros-Flandre
Directeur de Modernee - Agence IA et Fondateur de Soignant Voice. Expert en conformité IA et procédures réglementaires européennes.
Ce que vous allez apprendre
- → Quels systèmes doivent être notifiés
- → La base de données européenne obligatoire
- → 3 cas de sanctions pour défaut de notification
- → Guide 7 étapes pour une notification conforme
- → Checklist de notification téléchargeable
Infographie : Obligations de notification selon l'IA Act
📋 Obligations de Notification : Qui, Quoi, Où ?
L'Article 49 de l'IA Act crée une base de données européenne pour les systèmes à haut risque. Cette base est publique et l'enregistrement est obligatoire avant toute commercialisation.
📜 La Base de Données Européenne (Article 71)
Base de données de l'UE
"La Commission établit et gère, en collaboration avec les États membres, une base de données de l'UE contenant les informations relatives aux systèmes d'IA à haut risque (...) enregistrés conformément aux articles 49 et 60."
👥 Qui Doit Notifier ?
- 1️⃣ Fournisseurs systèmes haut risque : Avant mise sur le marché ou mise en service
- 2️⃣ Fournisseurs GPAI : Notification au Bureau de l'IA européen
- 3️⃣ Déployeurs secteur public : Enregistrement en tant qu'utilisateurs
- 4️⃣ Mandataires : Pour les fournisseurs hors UE
📦 Quoi Déclarer ?
L'enregistrement dans la base de données doit contenir :
- 📋 Identité complète : Nom, adresse, coordonnées du fournisseur
- 📝 Description du système : Fonctionnalités, usage prévu, limitations
- ⚠️ Classification risque : Catégorie Annexe III concernée
- ✅ Déclaration de conformité : Référence au marquage CE
- 📄 Documentation technique : Résumé ou accès au dossier complet
- 🌍 Pays de mise sur le marché : Liste des États membres concernés
🏛️ Où Notifier ?
| Type de système | Destinataire notification | Délai |
|---|---|---|
| Haut risque (Annexe III) | Base de données UE + Autorité nationale | Avant mise sur marché |
| GPAI standard | Bureau de l'IA européen | Avant mise sur marché |
| GPAI risque systémique | Bureau de l'IA + Notifications spéciales | Avant mise sur marché + mises à jour |
| Déployeur public | Base de données UE (section déployeurs) | Avant mise en service |
"La base de données européenne sera le registre central de tous les systèmes IA à haut risque. C'est la première fois qu'une telle transparence est exigée à l'échelle mondiale."
— Thierry Breton, Commissaire européen au Marché intérieur
🏢 3 Cas de Sanctions pour Défaut de Notification
🏦 Cas 1 : Banque - Scoring Crédit Non Déclaré
Contexte
Une banque développe en interne un système IA de scoring crédit. Le système est déployé sans enregistrement dans la base de données européenne.
Le problème :
- 🚨 Système haut risque : Le scoring crédit est explicitement listé Annexe III
- 🚨 Aucune notification : Ni base de données UE, ni autorité nationale
- 🚨 Découverte : Lors d'un contrôle de la CNIL sur un autre sujet
Sanctions prévisibles :
- 💶 IA Act : 10-15M€ pour mise sur marché sans notification
- 🚫 Interdiction : Arrêt immédiat du système jusqu'à régularisation
- 📢 Publication de la sanction
🏭 Cas 2 : Industriel - Modification Non Notifiée
Contexte
Un industriel utilise une IA de sécurité (détection de personnes sur chaîne de production). Le système avait été correctement notifié. Une mise à jour majeure modifie l'algorithme sans nouvelle notification.
Le problème :
- 🚨 Modification substantielle : Changement d'algorithme = nouvelle évaluation requise
- 🚨 Pas de mise à jour : Base de données toujours sur l'ancienne version
- 🚨 Accident : Défaillance du nouveau système, blessure d'un opérateur
Sanctions prévisibles :
- 💶 IA Act : 15M€ ou 3% CA pour modification non notifiée
- ⚖️ Sanctions pénales pour mise en danger
- 💼 Responsabilité civile : Dommages-intérêts à la victime
🤖 Cas 3 : Éditeur GPAI - Bureau IA Non Informé
Contexte
Un éditeur de modèle de fondation (GPAI) commercialise en Europe sans notification au Bureau de l'IA. Le modèle est utilisé par des milliers de développeurs pour créer des applications.
Le problème :
- 🚨 GPAI non notifié : Obligation spécifique pour les modèles de fondation
- 🚨 Documentation absente : Pas de fiche technique pour les déployeurs
- 🚨 Impact en cascade : Tous les utilisateurs du modèle sont impactés
Sanctions prévisibles :
- 💶 IA Act : 7,5M€ ou 1,5% CA pour défaut de notification GPAI
- 💶 Cumul avec sanctions pour défaut de documentation
- 🚫 Retrait du marché UE jusqu'à régularisation
🎯 Quiz : Maîtrisez-vous les obligations de notification ? (5 min)
🛠️ Guide 7 Étapes : Notification Conforme
Identifier les Systèmes Concernés
Cartographiez tous vos systèmes IA. Identifiez ceux qui relèvent de l'Annexe III (haut risque) ou qui sont des GPAI. Documentez la classification.
Durée : 1-2 semaines | Responsable : DSI + Juridique
Identifier l'Autorité Compétente
Déterminez quelle autorité nationale doit recevoir la notification selon votre lieu d'établissement. En France : CNIL ou future autorité dédiée.
Durée : 1 semaine | Responsable : Juridique
Préparer le Dossier de Notification
Rassemblez : documentation technique complète, déclaration de conformité CE, description du système, usage prévu, liste des pays de commercialisation.
Durée : 2-3 semaines | Responsable : Technique + Conformité
Effectuer l'Enregistrement Base de Données UE
Inscrivez le système dans la base de données européenne. Remplissez tous les champs obligatoires. Vérifiez la publication des informations.
Durée : 1 semaine | Responsable : Conformité
Transmettre à l'Autorité Nationale
Soumettez la notification formelle à l'autorité compétente. Utilisez les canaux officiels. Demandez un accusé de réception.
Durée : 1 semaine | Responsable : Juridique
Conserver les Preuves
Archivez tous les accusés de réception, confirmations d'enregistrement, et échanges avec les autorités. Conservation 10 ans minimum.
Durée : Continue | Responsable : Archives + Conformité
Mettre à Jour en Cas de Modification
Établissez une procédure de mise à jour. Toute modification substantielle doit déclencher une nouvelle notification. Formez les équipes techniques.
Durée : Continue | Responsable : Technique + Conformité
📊 Évaluateur Obligation de Notification
❓ Questions Fréquentes sur la Notification IA
Tous les systèmes à haut risque (Annexe III) doivent être enregistrés dans la base de données UE. Les modèles GPAI doivent notifier le Bureau de l'IA. Les déployeurs publics de systèmes haut risque doivent également s'enregistrer.
La notification doit être effectuée AVANT la mise sur le marché ou la mise en service. Il n'y a pas de délai "après" : sans notification préalable, le système ne peut pas légalement être commercialisé dans l'UE.
Oui, partiellement. La base de données UE est accessible au public. L'existence du système, ses caractéristiques principales et l'identité du fournisseur sont publiques. Certaines informations confidentielles peuvent être protégées.
L'autorité de surveillance française n'est pas encore officiellement désignée. Elle devrait être la CNIL, l'ANSSI, ou une nouvelle autorité dédiée. Dans l'attente, l'enregistrement se fait via la base de données européenne.
Oui, toute modification substantielle doit être notifiée. Une modification substantielle est un changement qui affecte la conformité ou modifie l'usage prévu. Les mises à jour mineures ne nécessitent pas de nouvelle notification.
Les déployeurs du secteur public utilisant des systèmes haut risque doivent s'enregistrer en tant qu'utilisateurs. Les déployeurs privés n'ont pas cette obligation, sauf s'ils modifient substantiellement le système (devenant alors fournisseurs).
Conservez l'accusé de réception de l'enregistrement dans la base UE, les confirmations de l'autorité nationale, et tout échange écrit. Ces preuves doivent être archivées 10 ans minimum.
Une notification tardive (système déjà sur le marché) peut atténuer la sanction si elle est volontaire et rapide. Cependant, le système doit être retiré du marché jusqu'à régularisation. La procédure d'appel reste possible.
"La notification n'est pas une formalité administrative. C'est la clé d'entrée sur le marché européen. Sans elle, votre système est illégal, quelle que soit sa qualité technique."
— Dr. Andrea Renda, Senior Research Fellow, CEPS Bruxelles
🎓 Formation : Maîtrisez les Procédures de Notification
Formation Certifiante AI Act
Apprenez à identifier les systèmes concernés, préparer les dossiers de notification et vous enregistrer dans la base de données européenne.
- ✅ Module "Obligations de notification"
- ✅ Tutoriel base de données UE
- ✅ Template dossier de notification
- ✅ Certificat valide dans toute l'UE
✅ Conclusion : Pas de Notification = Pas de Marché
La notification aux autorités n'est pas une option. C'est la condition d'accès au marché européen pour les systèmes à haut risque et les GPAI.
Les 3 points essentiels à retenir
- 1️⃣ Notification AVANT mise sur marché : Pas de délai - enregistrement préalable obligatoire
- 2️⃣ Base de données publique : Transparence totale sur les systèmes haut risque
- 3️⃣ Mises à jour obligatoires : Toute modification substantielle doit être notifiée
Les PME comme les startups doivent intégrer la notification dans leur processus de développement. Un système non notifié est un système illégal.
Le compte à rebours est lancé. Préparez vos notifications dès maintenant.
Sources Officielles Citées
- Règlement (UE) 2024/1689 - IA Act • Articles 49 et 71 : Enregistrement et base de données
- Commission Européenne • Procédures de notification
- CNIL - Dossier IA • Autorité française de surveillance