Article 21 du règlement (UE) 2024/1689 — Coopération avec les autorités compétentes. Texte officiel, interprétation pratique, obligations clés et implications pour la conformité.
Résumé du texte officiel
L'article 21 du règlement (UE) 2024/1689 (le règlement IA de l'UE) établit une obligation générale pour les fournisseurs de systèmes d'IA à haut risque de coopérer avec les autorités nationales compétentes sur demande. En vertu de cette disposition, les fournisseurs — et, le cas échéant, leurs représentants autorisés — doivent fournir aux autorités compétentes toutes les informations et la documentation nécessaires pour démontrer que le système d'IA à haut risque en question satisfait aux exigences énoncées au chapitre 2 du titre III. Cette obligation de coopération s'étend à l'octroi de l'accès au système d'IA lui-même lorsque l'autorité compétente considère cet accès nécessaire à l'accomplissement de ses missions de surveillance ou de surveillance du marché.
L'article s'inscrit dans le cadre plus large de la surveillance du marché établi par le règlement et doit être lu conjointement avec les pouvoirs d'exécution conférés aux autorités nationales en vertu du titre X. Il ne crée pas d'obligation de divulgation proactive dans le cours ordinaire des affaires ; il s'active plutôt sur demande formelle ou informelle d'un organisme de surveillance. L'obligation est inconditionnelle dans sa portée : les fournisseurs ne peuvent refuser la coopération pour des raisons de confidentialité commerciale, de secret commercial ou de préoccupation propriétaire, bien que le règlement prévoie des garanties distinctes pour le traitement des informations confidentielles par les autorités. L'article 21 fonctionne effectivement comme le pont entre les obligations de conformité imposées aux fournisseurs et la capacité d'exécution de l'infrastructure réglementaire établie par les États membres et le Bureau européen de l'IA.
Ce que cela signifie en pratique
Pour les fournisseurs de systèmes d'IA à haut risque, l'article 21 exige qu'une posture de conformité structurée et prête pour l'audit soit maintenue à tout moment — et pas seulement au moment de l'évaluation de la conformité. Lorsqu'une autorité nationale de surveillance du marché, un organisme notifié agissant par délégation, ou le Bureau européen de l'IA initie une enquête, le fournisseur doit être en mesure de répondre rapidement avec une documentation technique complète, les résultats de l'évaluation de la conformité, les registres de gestion des risques et les données de surveillance post-commercialisation.
Qui est concerné. Les fournisseurs qui mettent sur le marché de l'UE des systèmes d'IA à haut risque (listés à l'annexe III ou couverts par la législation sectorielle de l'annexe I) sont les principaux porteurs d'obligations. Les représentants autorisés agissant au nom de fournisseurs de pays tiers portent la même obligation dans le cadre de leur mandat. Les déployeurs ne sont pas les principaux destinataires de l'article 21, mais peuvent être impliqués dans des procédures de coopération lorsque leurs données opérationnelles ou l'accès au système déployé sont requis par une autorité.
Exemples concrets. Un fabricant de dispositifs médicaux intégrant un outil de diagnostic piloté par l'IA doit, sur demande, remettre le dossier technique complet comprenant les descriptions des données d'entraînement, les protocoles de validation et les journaux de surveillance post-déploiement. Un recruteur qui déploie un outil d'examen de CV assisté par l'IA classifié comme à haut risque en vertu de l'annexe III doit faciliter l'accès de l'autorité à la logique décisionnelle du système et aux paramètres de configuration si une enquête est ouverte.
Préparation opérationnelle. Les organisations doivent désigner une fonction de liaison réglementaire, maintenir une documentation technique sous contrôle de version et établir un protocole interne pour les demandes des autorités, comprenant des délais de révision juridique qui ne compromettent pas la coopération en temps utile.
Obligations clés
- Fournir la documentation sur demande. Les fournisseurs doivent fournir aux autorités compétentes toutes les informations et la documentation technique nécessaires pour évaluer la conformité au chapitre 2 du titre III, y compris le dossier technique requis en vertu de l'article 11 et les journaux tenus en vertu de l'article 12.
- Accorder l'accès au système d'IA. Lorsqu'une autorité compétente détermine que l'inspection ou l'interaction avec le système d'IA est nécessaire, les fournisseurs doivent faciliter cet accès sans retard indu ni obstruction.
- Coopérer par l'intermédiaire de représentants autorisés. Les fournisseurs de pays tiers doivent veiller à ce que leur représentant autorisé établi dans l'UE soit habilité à remplir pleinement les obligations de coopération en leur nom, comme l'exige l'article 22.
- Maintenir les informations sous forme récupérable. L'utilité pratique de l'article 21 dépend du fait que la documentation soit à jour, exacte et récupérable. Les fournisseurs ne doivent pas permettre que les registres techniques deviennent obsolètes ou inaccessibles au moment où une demande est reçue.
- S'abstenir de toute obstruction. Tout acte ou omission qui entrave, retarde ou frustre une enquête de surveillance — y compris la divulgation sélective, la destruction de documents ou la rétention d'identifiants d'accès — constitue une violation de l'article 21 et peut déclencher des pénalités en vertu de l'article 99.
- Étendre la coopération aux activités de surveillance post-commercialisation. La coopération au titre de l'article 21 ne se limite pas aux contrôles de conformité avant la mise sur le marché ; elle englobe la surveillance continue tout au long du cycle de vie du système d'IA à haut risque.
Relation avec d'autres articles
L'article 21 se situe à l'intersection des obligations des fournisseurs et de l'exécution réglementaire et ne peut être lu isolément. Il dépend directement de l'article 11 (documentation technique) et de l'article 12 (tenue de registres et journalisation), car ces dispositions définissent le corpus d'informations qu'un fournisseur doit être en mesure de fournir. Il est lié à l'article 17 (système de gestion de la qualité), qui régit les processus organisationnels sous-tendant la disponibilité documentaire. L'article 22 (représentants autorisés) opérationnalise l'article 21 pour les fournisseurs de pays tiers en désignant qui assume les obligations de coopération dans l'UE. Du côté de l'exécution, l'article 21 s'inscrit dans le régime de surveillance du marché du titre X (articles 74-76), les pouvoirs du Bureau européen de l'IA en vertu du titre VIII, et le cadre de sanctions de l'article 99, qui attache des sanctions à la non-coopération. L'article 9 (gestion des risques) est également pertinent, car les autorités peuvent sonder si les registres d'identification et d'atténuation des risques sont adéquats. La lecture de l'article 21 conjointement avec les articles 13 (transparence) et 14 (surveillance humaine) donne une image complète de l'environnement informationnel que les fournisseurs doivent maintenir.
Calendrier de conformité
Le règlement IA de l'UE est entré en vigueur le 1er août 2024, vingt jours après sa publication au Journal officiel. Ses dispositions s'appliquent selon un calendrier progressif :
- 2 février 2025 — Les interdictions des pratiques d'IA à risque inacceptable (titre II) sont devenues applicables. L'article 21 lui-même n'était pas encore en vigueur pour les systèmes à haut risque.
- 2 août 2025 — Les dispositions relatives aux modèles d'IA à usage général (titre VIII) et les obligations du Bureau européen de l'IA sont devenues applicables.
- 2 août 2026 — L'article 21, ainsi que l'ensemble des obligations du titre III pour les systèmes d'IA à haut risque listés à l'annexe III (autres que ceux couverts par une législation sectorielle antérieure), devient applicable. Les fournisseurs dont les systèmes relèvent de cette catégorie doivent être pleinement prêts à coopérer à cette date.
- 2 août 2027 — Les systèmes d'IA à haut risque régis par la législation d'harmonisation de l'Union listée à l'annexe I (par exemple, dispositifs médicaux, machines, aviation) qui sont déjà soumis à des procédures d'évaluation de la conformité disposent jusqu'à cette date avant que les obligations complètes du règlement IA à haut risque, y compris l'article 21, ne s'appliquent aux produits existants.
Les fournisseurs devraient traiter la période précédant leur date d'application applicable non pas comme une période de grâce, mais comme un temps de mise en œuvre : la documentation technique, l'infrastructure de journalisation et les protocoles de coopération interne doivent être opérationnels bien avant l'échéance.
Calendrier officiel de conformité AI Act
Mis à jour le · Sources : Règlement (UE) 2024/1689 et Digital Omnibus AI 2026.
| Obligation | S'applique à | Date initiale | Nouvelle date | Statut | Compte à rebours | Base légale |
|---|---|---|---|---|---|---|
| Pratiques interdites (Art. 5) | Tous les fournisseurs et déployeurs | active | — | AI Act Art. 5 | ||
| Règles GPAI (chapitre 5) | Fournisseurs de modèles GPAI | active | — | AI Act Art. 51-56 | ||
| IA à haut risque — Annexe III (autonomes) | Fournisseurs de systèmes autonomes Annexe III | deferred | — | Omnibus AI 2026 Art. 6(2) | ||
| IA à haut risque — Annexe I (embarquée) | Systèmes IA embarqués dans produits réglementés Annexe I | deferred | — | Omnibus AI 2026 Art. 6(1) | ||
| Marquage contenu IA (transparence) | Fournisseurs de systèmes GPAI génératifs | active | — | AI Act Art. 50(2) | ||
| Bacs à sable réglementaires | Autorités nationales compétentes | active | — | AI Act Art. 57 |
⬇ Télécharger JSON · CC BY 4.0
Convergence AI Act – DORA – NIS2
Votre organisation est-elle soumise à la fois à l'AI Act et à DORA ? Les deux règlements se croisent sur la résilience opérationnelle des systèmes d'IA financiers. Notre site jumeau regulation-dora.eu couvre DORA en profondeur.
Explorer regulation-dora.eu ↗Questions fréquentes
L'article 21 s'applique principalement aux fournisseurs de systèmes d'IA à haut risque, ainsi qu'à leurs représentants autorisés établis dans l'UE. Les déployeurs peuvent également être soumis à des obligations de coopération lorsque les autorités compétentes requièrent des informations ou un accès pertinent à un système d'IA à haut risque déployé.
Les fournisseurs doivent fournir aux autorités compétentes toutes les informations et la documentation demandées pour démontrer la conformité aux exigences du titre III, chapitre 2. Cela comprend l'accès à la documentation technique, aux journaux et aux résultats des tests. La coopération doit être rapide et complète — le fait de retenir des informations pertinentes ou d'entraver une enquête constitue une violation de l'article 21.
Les systèmes d'IA à haut risque mis sur le marché ou mis en service avant les dates d'application pertinentes peuvent bénéficier de dispositions transitoires, mais une fois ces périodes expirées, les obligations de coopération s'appliquent pleinement. Les fournisseurs ne doivent pas supposer que les systèmes existants sont exemptés du contrôle de surveillance.
Oui. L'article 21 est suffisamment large pour englober les demandes d'accès au système d'IA, à ses composants et à son environnement opérationnel lorsque cela est nécessaire pour que l'autorité remplisse son mandat de surveillance. Les fournisseurs doivent être préparés à des formes de coopération tant documentaires que techniques.
Restez informé des évolutions AI Act
Recevez les alertes compliance quand les délais ou obligations changent.
Pas de spam. Désabonnement en un clic.