TL;DR — L'essentiel en 30 secondes
- L'Article 73 du Règlement (UE) 2024/1689 impose la notification de tout incident grave dans un délai maximal de 15 jours, ramené à 72 heures en cas d'atteinte généralisée ou de décès.
- Le non-respect de l'obligation expose à une sanction administrative atteignant 15 millions d'euros ou 3 % du chiffre d'affaires mondial (Article 99 §4 g).
- Les définitions opérationnelles (« incident grave », « système à haut risque ») sont consolidées dans notre glossaire AI Act.
- Toute PME fournisseuse d'un système d'IA à haut risque doit formaliser un processus interne de détection, qualification et remontée, aligné sur la norme ISO/IEC 42001:2023.
- Le point d'entrée européen est l'AI Office, joignable via ai-act-service-desk.ec.europa.eu.
- L'autorité française désignée pour réceptionner les notifications n'est pas encore arrêtée définitivement [à vérifier] — la CNIL et la DGCCRF sont pressenties selon le secteur.
1. Contexte réglementaire : l'AI Act et les PME françaises
Le Règlement (UE) 2024/1689, publié au Journal officiel de l'Union européenne le 12 juillet 2024, structure la mise sur le marché et l'usage des systèmes d'intelligence artificielle. Il entre en application par paliers entre février 2025 et août 2027.
Les PME françaises sont concernées dès lors qu'elles fournissent, déploient, importent ou distribuent un système d'IA dans l'Union. La qualification du rôle conditionne l'étendue des obligations, et notamment celle de notifier les incidents graves.
L'Article 73 du Règlement (UE) 2024/1689 cible spécifiquement les fournisseurs de systèmes d'IA à haut risque, tels qu'identifiés à l'Annexe III. Les déployeurs y sont également associés via une obligation d'information vers le fournisseur (Article 26 §5).
| Rôle dans la chaîne | Concerné par l'Art. 73 ? | Obligation principale |
|---|---|---|
| Fournisseur (provider) | Oui, direct | Notification à l'autorité de surveillance |
| Déployeur (deployer) | Oui, indirect | Information immédiate au fournisseur (Art. 26 §5) |
| Importateur | Oui, indirect | Conservation des preuves et coopération |
| Distributeur | Non, sauf modification substantielle | Coopération avec les autorités |
Pour une PME française qui développe un système d'IA de scoring RH ou de scoring crédit, le rôle de fournisseur est quasi systématique. Les obligations de notification s'enclenchent automatiquement, indépendamment de la taille de l'entreprise.
Les sanctions financières prévues à l'Article 99 ne sont pas plafonnées en proportion de la taille de l'entreprise. Notre analyse détaillée des sanctions AI Act pour les PME chiffre les expositions concrètes selon le manquement constaté.
2. Définition d'un incident grave (Article 73 AI Act)
L'Article 3 §49 du Règlement (UE) 2024/1689 définit un incident grave comme : « tout incident ou dysfonctionnement d'un système d'IA entraînant directement ou indirectement » l'une des quatre conséquences suivantes.
| Type d'incident | Caractérisation |
|---|---|
| a) Décès ou atteinte grave à la santé | Décès ou préjudice grave à la santé d'une personne |
| b) Perturbation grave et irréversible | Perturbation de la gestion d'une infrastructure critique |
| c) Violation de droits fondamentaux | Manquement à une obligation découlant du droit de l'Union protégeant les droits fondamentaux |
| d) Dommage grave aux biens ou à l'environnement | Atteinte sérieuse aux biens ou à l'environnement |
La caractérisation d'un incident comme « grave » repose sur deux critères cumulatifs : la gravité matérielle du préjudice et le lien de causalité avec le système d'IA. Un dysfonctionnement intercepté avant qu'il ne produise ses effets reste un incident, mais peut ne pas atteindre le seuil de gravité.
Exemples typiques pour une PME :
- Système de tri de CV qui écarte systématiquement les candidatures féminines pendant trois semaines — violation potentielle de droits fondamentaux (point c).
- Outil de diagnostic médical assisté par IA fournissant un diagnostic erroné ayant entraîné une perte de chance — atteinte grave à la santé (point a).
- Système de gestion énergétique défaillant ayant coupé l'alimentation d'un hôpital — perturbation d'infrastructure critique (point b).
Les définitions opérationnelles complémentaires (« haut risque », « mise sur le marché », « modification substantielle ») sont consolidées dans notre glossaire AI Act.
3. Obligations de notification : qui, quoi, à qui
L'Article 73 §1 impose au fournisseur d'un système d'IA à haut risque mis sur le marché dans l'Union de notifier tout incident grave à l'autorité de surveillance du marché de l'État membre où l'incident s'est produit.
Contenu obligatoire de la notification :
- Identification du système d'IA concerné (nom commercial, version, numéro UE de déclaration de conformité).
- Description circonstanciée de l'incident, incluant la date, le lieu et le contexte d'utilisation.
- Nature et étendue des préjudices observés ou pressentis.
- Mesures correctives immédiates engagées par le fournisseur.
- Coordonnées d'un point de contact technique et juridique.
- Analyse préliminaire des causes, si disponible au moment de la notification.
Si l'analyse causale n'est pas finalisée dans le délai de notification, le fournisseur transmet les éléments disponibles puis adresse un rapport complémentaire. L'AI Office publiera un format type [à vérifier].
Autorités de réception en France :
| Secteur | Autorité de surveillance pressentie |
|---|---|
| Données personnelles, scoring | CNIL [à vérifier] |
| Dispositifs médicaux | ANSM |
| Produits financiers | ACPR |
| Sécurité produits B2C | DGCCRF |
| Communications électroniques | ARCEP |
| Médias et plateformes | ARCOM |
La désignation définitive de l'autorité nationale unique ou multiple relève d'un texte d'application français en cours de préparation [à vérifier]. En attendant, la voie la plus sûre consiste à notifier simultanément l'autorité sectorielle compétente et l'AI Office européen via ai-act-service-desk.ec.europa.eu.
Modèle de procédure de notification d'incident grave
Notre pack documentaire regulia inclut un modèle de procédure aligné Article 73, une fiche de qualification d'incident et un template de notification prêt à transmettre à l'autorité de surveillance.
Demander le pack documentaire AI Act4. Délais et procédure de notification
L'Article 73 §2 fixe un délai général de 15 jours à compter de la connaissance de l'incident par le fournisseur ou, le cas échéant, par le déployeur. Ce délai n'est pas une simple bonne pratique : il constitue un seuil dur, dont le dépassement est sanctionnable.
Deux exceptions raccourcissent ce délai :
- 72 heures lorsque l'incident concerne une infraction généralisée ou un dysfonctionnement affectant un nombre significatif de personnes (Art. 73 §3).
- 2 jours en cas de décès d'une personne (Art. 73 §4).
| Type d'incident | Délai maximal | Base légale |
|---|---|---|
| Incident grave standard | 15 jours | Art. 73 §2 |
| Atteinte généralisée | 72 heures | Art. 73 §3 |
| Décès | 2 jours | Art. 73 §4 |
| Infrastructure critique | Immédiat (sans délai) | Art. 73 §3 in fine |
Le point de départ du délai est la connaissance de l'incident, et non sa survenance. Cette nuance est capitale : un fournisseur doit prouver, en cas de contrôle, le moment exact auquel l'incident a été porté à sa connaissance — d'où la nécessité d'un registre horodaté.
Procédure type en 6 étapes :
- Détection par le déployeur ou par le fournisseur (monitoring, alerte utilisateur, contrôle qualité).
- Qualification sous 24 heures : l'événement relève-t-il de l'Art. 3 §49 ?
- Documentation : capture des logs, données d'entrée, sortie produite, contexte.
- Notification à l'autorité dans le délai applicable.
- Investigation approfondie et mesures correctives (Art. 73 §6).
- Rapport final transmis à l'autorité et conservation pendant 10 ans (Art. 18).
La norme ISO/IEC 42001:2023 propose au chapitre 10 (« Improvement ») un cadre méthodologique aligné, structuré autour des phases « Detect — Assess — Respond — Learn ». La conformité ISO 42001 ne se substitue pas à l'obligation légale, mais en facilite l'exécution.
5. Sanctions pour non-notification
L'Article 99 §4 g) du Règlement (UE) 2024/1689 sanctionne explicitement le manquement aux obligations de l'Article 73. Le quantum maximal est de 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial total réalisé au cours de l'exercice précédent, le montant le plus élevé étant retenu.
| Manquement | Sanction maximale | Base légale |
|---|---|---|
| Pratiques interdites (Art. 5) | 35 M€ ou 7 % CA mondial | Art. 99 §3 |
| Manquement obligations fournisseur (dont Art. 73) | 15 M€ ou 3 % CA mondial | Art. 99 §4 |
| Information inexacte aux autorités | 7,5 M€ ou 1 % CA mondial | Art. 99 §5 |
Pour les PME et start-up, l'Article 99 §6 prévoit que les amendes peuvent être ajustées « en tenant compte des intérêts économiques » et que le plafond le plus bas (montant fixe OU pourcentage) s'applique. Cette modulation n'est pas une exemption — elle limite seulement le quantum maximal.
Au-delà de la sanction financière :
- Suspension ou retrait du système d'IA du marché européen (Art. 79).
- Inscription dans la base de données européenne des systèmes d'IA à haut risque (Art. 71), accessible publiquement.
- Préjudice réputationnel difficilement quantifiable, particulièrement pour les éditeurs SaaS B2B.
- Risque d'actions civiles en responsabilité par les personnes lésées (Directive (UE) 2024/2853 sur la responsabilité des produits défectueux).
Notre analyse complète des sanctions AI Act pour les PME françaises propose un calculateur paramétrable selon le chiffre d'affaires et le type de manquement.
6. Cas d'application concrets pour les PME
L'obligation de notification s'applique de manière transversale, mais certains secteurs concentrent les cas pratiques. Voici quatre situations rencontrées par les PME françaises selon les retours de terrain consolidés par Cigref et Numeum [à vérifier].
Cas 1 — PME éditeur RH (50 salariés)
Le système d'IA de scoring de candidatures, déployé chez 12 clients grands comptes, écarte de manière disproportionnée les candidatures issues de quartiers prioritaires de la ville. L'incident est détecté par un audit interne d'un client.
- Qualification : violation de droits fondamentaux (Art. 3 §49 c).
- Délai applicable : 15 jours, voire 72h si pluralité de cas avérée.
- Acteur notifiant : l'éditeur PME en tant que fournisseur.
Cas 2 — Cabinet médical équipé d'un outil d'aide au diagnostic
L'outil, fourni par une medtech française, recommande à tort une absence de pathologie pour des images radiologiques présentant un signe précoce de cancer. Trois patients sont concernés.
- Qualification : atteinte grave à la santé (Art. 3 §49 a).
- Délai applicable : 2 jours dès lors qu'un décès est constaté.
- Acteur notifiant : la medtech (fournisseur). Le cabinet (déployeur) doit informer la medtech immédiatement.
Cas 3 — PME fintech proposant un outil de scoring crédit
L'algorithme refuse systématiquement les dossiers de travailleurs indépendants pendant deux semaines suite à une dérive de modèle non détectée.
- Qualification : violation potentielle des principes de non-discrimination (Art. 3 §49 c).
- Délai applicable : 15 jours.
- Acteur notifiant : la fintech, avec information de l'ACPR en parallèle.
Cas 4 — PME éditeur d'IA générative pour service client
L'agent conversationnel divulgue, en réponse à un prompt malveillant, des données personnelles d'autres utilisateurs.
- Qualification : violation de droits fondamentaux (Art. 3 §49 c), articulée avec une notification de violation RGPD (Art. 33 RGPD, délai 72h).
- Double notification : AI Act + RGPD.
- Acteur notifiant : l'éditeur, comme fournisseur et comme responsable de traitement.
L'articulation entre les obligations AI Act et RGPD est une zone de complexité particulière. La CNIL a publié 13 fiches pratiques IA clarifiant le périmètre de chaque réglementation.
7. Préparation et prévention : checklist opérationnelle
Une PME ne peut pas improviser une notification en 15 jours, encore moins en 72 heures. La préparation amont conditionne la capacité à respecter le délai. Voici les six chantiers prioritaires.
1. Cartographier les systèmes d'IA à haut risque
Recenser les systèmes développés ou déployés, identifier ceux entrant dans le périmètre de l'Annexe III. Ce travail conditionne tout le reste — sans cartographie, pas de surveillance possible.
2. Désigner un référent IA
Cette personne, parfois cumulée avec la fonction DPO ou RSSI, est le point de contact unique en cas d'incident. Sa désignation doit être formalisée par écrit et communiquée à la direction.
3. Instaurer un monitoring post-commercialisation (Art. 72)
L'Article 72 du Règlement impose un système de surveillance après mise sur le marché. Ce dispositif doit permettre la détection précoce des dysfonctionnements, prérequis indispensable à la notification.
4. Rédiger une procédure de qualification d'incident
Un arbre de décision interne, applicable en moins de 24 heures, permet de qualifier rapidement un événement comme incident grave ou non. Ce document doit être testé par exercice annuel.
5. Préparer un template de notification
Un modèle pré-rempli, validé juridiquement, accélère la rédaction de la notification finale. Il doit inclure les rubriques attendues par l'AI Office (cf. section 3).
6. Former les équipes techniques et opérationnelles
Les développeurs, les équipes support et les commerciaux doivent savoir reconnaître un signal faible et le faire remonter sans délai. La formation est explicitement requise par l'Article 4 du Règlement (« AI literacy »).
| Chantier | Délai cible | Coût indicatif PME |
|---|---|---|
| Cartographie | 1 mois | Interne, ~5 j.h |
| Désignation référent | 1 semaine | Interne |
| Monitoring | 3 mois | 5-30 k€ |
| Procédure qualification | 1 mois | 2-10 k€ |
| Template notification | 2 semaines | 1-5 k€ |
| Formation | Continu | 500-2 000 €/personne |
L'investissement total se situe généralement entre 15 et 60 k€ pour une PME de 50 salariés, contre un risque maximal de 15 M€ d'amende. Le ratio est sans appel.
Auditez votre conformité Article 73 en 30 minutes
Le formulaire regulia identifie vos systèmes d'IA à haut risque, qualifie votre exposition à l'obligation de notification et vous oriente vers le pack documentaire adapté.
Lancer mon audit AI Act8. Ressources et support officiel
L'AI Office européen, rattaché à la DG CNECT de la Commission, centralise les ressources opérationnelles. Le service desk est progressivement enrichi avec des FAQ, des modèles et des lignes directrices sectorielles.
Points d'entrée officiels :
- AI Office service desk : ai-act-service-desk.ec.europa.eu — point de contact européen unique pour les questions opérationnelles.
- CNIL : cnil.fr/fr/ai-act — dossier dédié AI Act et articulation avec le RGPD.
- Cigref : guide AI Act publié en janvier 2025, accessible aux membres et adhérents.
- Numeum : guide AI Act publié en mars 2025, orienté éditeurs logiciels.
Texte normatif :
- Version officielle UE : eur-lex.europa.eu (Règlement 2024/1689)
- Version consolidée annotée : artificialintelligenceact.eu
Normes ISO de référence :
- ISO/IEC 42001:2023 — système de management de l'IA. Voir notre guide ISO 42001 pour PME.
- ISO/IEC 23894:2023 — gestion des risques liés à l'IA.
- ISO/IEC 27001:2022 — sécurité de l'information, prérequis transversal.
L'ensemble des références consolidées est disponible sur notre page sources, mise à jour mensuellement.
FAQ — Article 73 et notification d'incidents graves
Q : Quels sont les délais pour notifier un incident grave ?
Les fournisseurs d'IA à haut risque disposent d'un délai maximal de 15 jours après la connaissance de l'incident (Art. 73 §2). Ce délai est ramené à 72 heures en cas d'atteinte généralisée (Art. 73 §3) et à 2 jours en cas de décès (Art. 73 §4). La notification doit inclure les données techniques disponibles et les mesures correctives engagées, même si l'analyse causale n'est pas finalisée.
Q : Quelles sont les sanctions pour non-notification ?
Les sanctions atteignent 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu (Art. 99 §4 g). Pour les PME, le plafond le plus bas s'applique en application de l'Art. 99 §6. Au-delà de l'amende, les autorités peuvent suspendre ou retirer le système d'IA du marché européen.
Q : Dois-je notifier tous les incidents d'IA ?
Non. Seuls les incidents qualifiés de « graves » au sens de l'Art. 3 §49 doivent être notifiés. La gravité s'apprécie selon quatre critères alternatifs : décès ou atteinte grave à la santé, perturbation d'infrastructure critique, violation de droits fondamentaux, dommage grave aux biens ou à l'environnement. Les définitions précises sont consolidées dans notre glossaire AI Act.
Q : Comment se préparer à la notification d'incidents ?
Mettez en place un dispositif de monitoring post-commercialisation (Art. 72), désignez un référent IA, formalisez une procédure de qualification d'incident en moins de 24 heures, et préparez un template de notification pré-validé juridiquement. La norme ISO/IEC 42001:2023 fournit le cadre méthodologique aligné. La formation des équipes (Art. 4 sur l'AI literacy) est explicitement requise.
Q : Où trouver des ressources spécifiques aux PME ?
Consultez notre guide AI Act dédié aux PME françaises pour une vue d'ensemble structurée, et notre analyse des sanctions AI Act pour chiffrer votre exposition. Le service desk européen ai-act-service-desk.ec.europa.eu et la CNIL (cnil.fr/fr/ai-act) sont les points d'entrée institutionnels.
Sources officielles
- Règlement (UE) 2024/1689 — texte officiel EUR-Lex
- Texte consolidé annoté — artificialintelligenceact.eu
- CNIL — dossier AI Act et IA
- AI Office European service desk
- ISO/IEC 42001:2023 — Système de management de l'IA
Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.