Article 35 du règlement (UE) 2024/1689 — Numéros d'identification et listes des organismes notifiés. Texte officiel, interprétation pratique, obligations clés et implications pour la conformité.
Résumé du texte officiel
L'article 35 du règlement (UE) 2024/1689 (le règlement IA de l'UE) établit le cadre administratif et de transparence régissant l'identification et la liste publique des organismes notifiés opérant dans le cadre du règlement. L'article impose des obligations principalement à la Commission européenne et aux autorités de notification des États membres.
En vertu de l'article 35, la Commission est tenue d'attribuer un numéro d'identification à chaque organisme notifié. Il est crucial de noter que lorsqu'un organisme est notifié au titre de plusieurs actes de l'Union, il reçoit un numéro d'identification unique, garantissant ainsi la cohérence entre les instruments législatifs. La Commission est en outre tenue de rendre publiquement accessible une liste de tous les organismes notifiés, comprenant leurs numéros d'identification et les activités pour lesquelles ils ont été notifiés. Cette liste doit être maintenue à jour.
Les États membres ont une obligation complémentaire : ils doivent informer la Commission de tout changement dans le statut d'un organisme notifié — y compris l'octroi de nouvelles notifications, ainsi que toute restriction, suspension ou retrait de notifications existantes. La Commission est alors chargée de répercuter ces changements dans la liste publique sans retard injustifié.
L'article s'inscrit dans le chapitre 4 du titre III, qui régit l'architecture globale de la notification : qui peut évaluer la conformité des systèmes d'IA à haut risque, dans quelles conditions et avec quelle surveillance. L'article 35 traite spécifiquement de la couche d'identification et de visibilité de cette architecture, garantissant que le marché — y compris les fournisseurs recherchant une évaluation, les déployeurs en aval et les autorités nationales — peut identifier de manière fiable quels organismes sont autorisés, pour quel champ de compétence et si cette autorisation reste en vigueur.
Ce que cela signifie en pratique
L'article 35 a des implications opérationnelles directes pour trois catégories d'acteurs : les fournisseurs de systèmes d'IA à haut risque, les organismes notifiés eux-mêmes et les autorités nationales de notification.
Pour les fournisseurs qui cherchent une évaluation de conformité par un tiers en vertu de l'annexe VI ou de la voie du système de gestion de la qualité complet, l'article 35 constitue le mécanisme de vérification principal. Avant de faire appel à un organisme notifié, un fournisseur doit consulter la base de données NANDO de la Commission pour confirmer que l'organisme détient une notification valide au titre du règlement IA de l'UE, couvrant la catégorie de produit spécifique ou le type de système d'IA en question. S'appuyer sur un organisme dont la notification a expiré, a été suspendue ou n'a jamais été formellement étendue au champ du règlement IA crée une lacune de conformité qui pourrait invalider un certificat d'évaluation de conformité.
Pour les organismes notifiés, l'article 35 crée une obligation indirecte de coopérer avec leur autorité nationale de notification pour s'assurer que tout changement dans leur champ opérationnel ou leur statut d'autorisation est rapidement communiqué. Un organisme qui élargit son champ d'évaluation — par exemple en ajoutant une nouvelle catégorie à haut risque telle que les systèmes de catégorisation biométrique — ne peut pas légitimement agir dans ce champ élargi tant que la notification n'a pas été mise à jour et reflétée dans la liste de la Commission.
Pour les autorités nationales de notification, l'obligation est procédurale mais importante : les changements dans le statut d'un organisme doivent être communiqués rapidement à la Commission. Les retards créent une période pendant laquelle la liste publique est inexacte, ce qui pourrait induire en erreur les fournisseurs ou compromettre les actions de surveillance du marché prises par les autorités d'autres États membres.
Concrètement, une équipe juridique ou de conformité qui se prépare à une évaluation de conformité devrait intégrer une étape de liste de contrôle consistant à croiser le numéro d'identification de l'organisme notifié sélectionné sur NANDO, à vérifier que le champ de notification correspond à la classification des risques du système et à s'assurer qu'aucune restriction ou suspension n'apparaît contre ce dossier.
Obligations clés
- La Commission européenne doit attribuer un numéro d'identification unique à chaque organisme notifié, cohérent pour tous les actes de l'Union au titre desquels cet organisme opère.
- La Commission doit publier et maintenir une liste accessible au public, à jour, de tous les organismes notifiés, comprenant leurs numéros d'identification et le champ notifié.
- Les États membres et leurs autorités de notification doivent informer la Commission sans retard injustifié de tout octroi, restriction, suspension ou retrait de notification.
- La Commission doit mettre à jour la liste publique pour refléter les changements dans le statut des organismes notifiés sans retard injustifié suite à la notification des États membres.
- Les organismes notifiés ne peuvent pas agir au-delà de leur champ notifié ; tout élargissement de champ nécessite une mise à jour formelle de la notification avant que l'organisme puisse effectuer des évaluations dans ce champ élargi.
- Les fournisseurs doivent vérifier, avant de faire appel à un organisme notifié, que la liste actuelle de l'organisme dans la base de données de la Commission couvre l'activité concernée et reste en règle.
Relation avec d'autres articles
L'article 35 ne peut pas être lu de manière isolée ; il fait partie d'un cadre cohérent au sein du chapitre 4 du titre III.
L'article 28 définit les exigences que les autorités de notification — les organismes nationaux chargés d'établir et de mener les procédures de notification — doivent elles-mêmes satisfaire, fournissant le fondement institutionnel sur lequel reposent les flux de notification de l'article 35. L'article 29 énonce les exigences détaillées de candidature qu'un organisme d'évaluation de la conformité doit remplir avant de pouvoir être notifié, tandis que l'article 30 régit la procédure de notification elle-même, y compris la communication formelle à la Commission qui déclenche une inscription au titre de l'article 35. L'article 31 traite de la présomption de conformité pour les organismes notifiés certifiés conformément aux normes harmonisées pertinentes.
Sur le plan opérationnel, l'article 35 est lié aux articles 43 et 44, qui régissent les procédures d'évaluation de la conformité pour les systèmes d'IA à haut risque et les certificats qui en résultent — documents dont la validité est indissociable du statut de l'organisme émetteur en tant qu'organisme dûment inscrit au titre de l'article 35. L'article 74 (surveillance du marché) s'appuie également sur les listes exactes de l'article 35, car les autorités qui coordonnent la surveillance transfrontalière doivent identifier quel organisme a délivré un certificat donné et si cet organisme reste autorisé.
Calendrier de conformité
Le règlement IA de l'UE est entré en vigueur le 1er août 2024, vingt jours après sa publication au Journal officiel. L'application est progressive :
- 2 février 2025 — Les interdictions des pratiques d'IA à risque inacceptable (titre II) sont devenues applicables.
- 2 août 2025 — Les dispositions relatives aux modèles d'IA à usage général (titre VIII) et les obligations de gouvernance sont devenues applicables.
- 2 août 2026 — La majeure partie du titre III, y compris le cadre des organismes notifiés en vertu du chapitre 4, devient pleinement applicable aux systèmes d'IA à haut risque énumérés à l'annexe III, à l'exception de ceux couverts par le délai prolongé ci-dessous.
- 2 août 2027 — Délai prolongé pour les systèmes d'IA à haut risque couverts par la législation d'harmonisation de l'Union existante énumérée à l'annexe I (par exemple, machines, dispositifs médicaux), donnant à ces secteurs du temps supplémentaire pour intégrer les exigences d'évaluation de conformité du règlement IA dans les flux de travail de certification existants.
L'article 35 lui-même, en tant que partie de l'infrastructure des organismes notifiés, devient opérationnellement pertinent en parallèle avec l'application des exigences d'évaluation de conformité du chapitre 4. Les États membres et la Commission doivent veiller à ce que les procédures de notification, l'attribution des numéros d'identification et la base de données publique soient pleinement opérationnelles avant la date d'août 2026 afin que les fournisseurs de systèmes d'IA à haut risque puissent faire appel à des organismes notifiés conformes dès le moment où les obligations d'évaluation de conformité obligatoires s'appliquent.
Calendrier officiel de conformité AI Act
Mis à jour le · Sources : Règlement (UE) 2024/1689 et Digital Omnibus AI 2026.
| Obligation | S'applique à | Date initiale | Nouvelle date | Statut | Compte à rebours | Base légale |
|---|---|---|---|---|---|---|
| Pratiques interdites (Art. 5) | Tous les fournisseurs et déployeurs | active | — | AI Act Art. 5 | ||
| Règles GPAI (chapitre 5) | Fournisseurs de modèles GPAI | active | — | AI Act Art. 51-56 | ||
| IA à haut risque — Annexe III (autonomes) | Fournisseurs de systèmes autonomes Annexe III | deferred | — | Omnibus AI 2026 Art. 6(2) | ||
| IA à haut risque — Annexe I (embarquée) | Systèmes IA embarqués dans produits réglementés Annexe I | deferred | — | Omnibus AI 2026 Art. 6(1) | ||
| Marquage contenu IA (transparence) | Fournisseurs de systèmes GPAI génératifs | active | — | AI Act Art. 50(2) | ||
| Bacs à sable réglementaires | Autorités nationales compétentes | active | — | AI Act Art. 57 |
⬇ Télécharger JSON · CC BY 4.0
Convergence AI Act – DORA – NIS2
Votre organisation est-elle soumise à la fois à l'AI Act et à DORA ? Les deux règlements se croisent sur la résilience opérationnelle des systèmes d'IA financiers. Notre site jumeau regulation-dora.eu couvre DORA en profondeur.
Explorer regulation-dora.eu ↗Questions fréquentes
L'article 35 impose à la Commission européenne d'attribuer un numéro d'identification unique à chaque organisme notifié, quel que soit le nombre d'actes de l'UE au titre desquels il a été notifié. Cela garantit une identité cohérente et traçable pour chaque organisme dans tous les domaines réglementés, permettant aux fournisseurs et aux autorités de surveillance du marché de vérifier sans ambiguïté le statut et le champ de compétence d'un organisme.
La Commission tient à jour une liste accessible au public de tous les organismes notifiés dans le système d'information NANDO (New Approach Notified and Designated Organisations). Cette liste comprend le numéro d'identification de chaque organisme, son champ de notification et son statut actuel, et est mise à jour au fur et à mesure que des notifications sont accordées, suspendues ou retirées.
Les États membres doivent notifier sans délai la Commission et les autres États membres lorsque le statut d'un organisme notifié change — y compris la suspension, la restriction ou le retrait d'autorisation. La Commission met à jour la liste officielle en conséquence, et l'organisme doit cesser d'effectuer des évaluations de conformité dans le champ affecté par le changement.
Non. Si un organisme est déjà notifié au titre d'autres législations d'harmonisation de l'Union, il conserve son numéro d'identification existant. Le système du règlement IA est conçu pour être interopérable avec les cadres existants afin qu'un seul numéro identifie l'organisme pour tous les actes de l'UE applicables.
Restez informé des évolutions AI Act
Recevez les alertes compliance quand les délais ou obligations changent.
Pas de spam. Désabonnement en un clic.