L'essentiel en 30 secondes - Tout incident grave lié à un système d'IA à haut risque doit être notifié dans les 15 jours suivant sa découverte (Article 73 du Règlement (UE) 2024/1689). - Le défaut de notification expose la PME à une amende pouvant atteindre 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial, selon le montant le plus élevé (Art. 99 §4). - Le point d'entrée européen est l'AI Act Service Desk (ai-act-service-desk.ec.europa.eu), complété par les autorités nationales de surveillance du marché. - La CNIL doit être notifiée en parallèle, sous 72 heures, si l'incident implique une violation de données personnelles (Art. 33 RGPD). - La PME doit conserver les logs, le rapport d'enquête interne et le plan correctif pour démontrer sa conformité documentaire (Art. 12 et 19 du Règlement).
L'Article 73 du Règlement (UE) 2024/1689 impose une obligation directe et chiffrée : signaler chaque incident grave dans un délai court, avec un dossier précis. Cet article décrypte la procédure pour les PME françaises qui exploitent ou déploient un système d'IA à haut risque. Il s'adresse aux dirigeants, DPO, RSSI et IA Lead qui doivent organiser la chaîne d'alerte interne avant qu'un incident ne survienne.
1. Définition d'un incident grave selon l'AI Act
L'Article 3(49) du Règlement (UE) 2024/1689 définit l'incident grave comme tout événement provoquant directement ou indirectement l'une des conséquences suivantes : décès ou atteinte grave à la santé d'une personne, perturbation grave et irréversible de la gestion d'une infrastructure critique, violation des obligations relatives aux droits fondamentaux protégés par le droit de l'Union, ou dommage grave aux biens ou à l'environnement.
Cette définition est cumulative : un seul critère suffit à déclencher l'obligation de notification. Le fournisseur doit donc évaluer chaque incident à l'aune de ces quatre dimensions.
Exemples concrets d'incidents graves chez une PME
| Catégorie | Exemple opérationnel | Critère Article 3(49) |
|---|---|---|
| Atteinte à la santé | Outil IA de tri de candidatures discriminant systématiquement les candidats handicapés | Droits fondamentaux |
| Infrastructure critique | IA de pilotage énergétique générant une coupure réseau sur un site industriel | Infrastructure critique |
| Données personnelles | Modèle exposant les CV de 5 000 candidats via une faille d'API | Droits fondamentaux + RGPD |
| Sécurité physique | Robot collaboratif blessant gravement un opérateur en atelier | Santé humaine |
| Atteinte environnementale | IA de gestion chimique provoquant un rejet non conforme | Dommage environnemental |
Différence avec les dysfonctionnements bénins
Un dysfonctionnement n'est pas automatiquement un incident grave. Un faux positif isolé, une indisponibilité courte ou une erreur de classification sans impact tangible relèvent du suivi qualité interne, pas de l'Article 73. La distinction repose sur trois critères : la gravité du préjudice, son caractère réversible et le nombre de personnes affectées.
L'Article 26 §5 oblige par ailleurs le déployeur à suspendre l'usage du système et à informer immédiatement le fournisseur dès qu'il constate un risque pour la santé, la sécurité ou les droits fondamentaux. Cette suspension est indépendante du délai de 15 jours et doit intervenir sans attendre.
2. Délais de notification : 15 jours, et parfois moins
L'Article 73 §2 fixe la règle générale : la notification doit intervenir « immédiatement après que le fournisseur a établi un lien de causalité entre le système d'IA et l'incident grave, ou la probabilité raisonnable d'un tel lien, et au plus tard 15 jours après que le fournisseur ou, le cas échéant, le déployeur a pris connaissance de l'incident grave ».
Deux délais raccourcis s'appliquent à des situations spécifiques :
| Type d'incident | Délai maximal | Base juridique |
|---|---|---|
| Incident grave standard | 15 jours | Art. 73 §2 |
| Décès d'une personne | 10 jours | Art. 73 §3 |
| Violation généralisée ou infrastructure critique | 2 jours | Art. 73 §3 |
| Notification initiale incomplète mais urgente | Sans délai, complétée ensuite | Art. 73 §5 |
Le point de départ du délai est la date à laquelle le fournisseur ou le déployeur a établi le lien de causalité, ou aurait raisonnablement dû l'établir. Il ne s'agit pas de la date de l'événement physique mais de la date de la qualification juridique.
Exception technique encadrée
Si la PME ne peut produire un rapport complet dans le délai imparti, l'Article 73 §5 autorise une notification initiale partielle, suivie d'un rapport complet. Cette tolérance ne dispense pas de respecter le délai initial : la notification de base doit être déposée dans les 15 jours, même si l'analyse forensique est encore en cours.
Pour comprendre comment ces obligations s'articulent avec les autres exigences applicables aux PME, consultez le pilier AI Act et PME françaises.
3. Procédure de notification étape par étape
La procédure se déroule en quatre temps, à exécuter dans l'ordre. Tout raccourci expose la PME à un risque de qualification incomplète et à des sanctions complémentaires.
Étape 1 — Qualifier l'incident sous 24 à 48 heures
Convoquer la cellule de crise interne : DPO, RSSI, IA Lead, juriste, responsable produit. Examiner les logs, les rapports utilisateurs et les indicateurs de performance. Documenter horodatage, périmètre, populations affectées et lien de causalité présumé avec le système d'IA.
Étape 2 — Geler les preuves et suspendre le système si nécessaire
Verrouiller les logs du système conformément à l'Article 12 du Règlement, qui impose une conservation d'au moins six mois. Si l'incident est en cours ou peut se reproduire, suspendre le système (Art. 26 §5). Informer immédiatement le fournisseur si la PME agit en qualité de déployeur.
Étape 3 — Notifier via l'AI Act Service Desk
Se connecter au portail ai-act-service-desk.ec.europa.eu et accéder au formulaire de notification d'incident grave. À défaut de portail national activé, transmettre par voie électronique à l'autorité nationale de surveillance du marché compétente. En France, cette autorité est en cours de désignation [à vérifier], probablement répartie entre la DGCCRF, l'ARCEP et la CNIL selon les secteurs.
Étape 4 — Notifier la CNIL en parallèle si données personnelles
Si l'incident implique une violation de données personnelles, déposer en parallèle une notification au titre de l'Article 33 du RGPD dans les 72 heures. Les deux notifications sont indépendantes mais doivent être cohérentes. Mentionner explicitement la référence AI Act dans la déclaration CNIL pour faciliter la coordination entre régulateurs.
Besoin d'un kit de notification prêt à l'emploi ?
regulia met à disposition un pack documentaire comprenant le formulaire de notification, le modèle de rapport technique et la checklist de coordination CNIL/AI Office, alignés sur l'Article 73.
Recevoir le pack notification incidents4. Contenu obligatoire de la notification
L'Article 73 §4 et les lignes directrices attendues de la Commission précisent les éléments minimaux à transmettre. Une notification incomplète est traitée comme une notification non conforme et expose la PME à la même sanction qu'une absence de notification.
Matrice de contenu obligatoire
| Bloc | Éléments requis | Source juridique |
|---|---|---|
| Identification | Nom du fournisseur, numéro d'enregistrement EUDAMED IA, identifiant du système | Art. 49 + Art. 73 §4 |
| Description du système | Nom commercial, version, finalité prévue, catégorie haut risque (Annexe III) | Art. 11 + Annexe IV |
| Description de l'incident | Date de survenance, date de découverte, déroulement factuel, conséquences observées | Art. 73 §4(a) |
| Personnes affectées | Nombre estimé, catégories (salariés, candidats, patients, etc.) | Art. 73 §4(a) |
| Lien de causalité | Analyse technique du rôle du système d'IA dans l'incident | Art. 73 §4(b) |
| Mesures conservatoires | Suspension, rappel, mise à jour, communication aux utilisateurs | Art. 73 §4(c) |
| Plan correctif | Actions correctives planifiées, calendrier, responsables | Art. 73 §4(c) |
| Contact responsable | Nom, fonction, courriel, téléphone d'astreinte | Pratique recommandée |
Le rapport complémentaire
Lorsque la notification initiale est partielle, le rapport complet doit être transmis dans un délai raisonnable, généralement sous 30 à 60 jours. Il intègre les résultats de l'enquête forensique, l'analyse de cause racine et la révision du système de gestion des risques (Art. 9). Ce rapport doit être conservé pendant au moins dix ans après la dernière mise sur le marché du système (Art. 18).
5. Outils officiels et ressources de notification
Quatre outils officiels structurent la procédure. La PME doit savoir lequel utiliser à quel moment, sous peine de perdre du temps dans une situation où chaque heure compte.
Cartographie des outils officiels
| Outil | URL | Usage |
|---|---|---|
| AI Act Service Desk | ai-act-service-desk.ec.europa.eu | Notification européenne centralisée et FAQ officielle |
| Téléservice CNIL | cnil.fr/fr/notifier-une-violation-de-donnees-personnelles | Notification RGPD Article 33 |
| EUR-Lex texte consolidé | eur-lex.europa.eu/eli/reg/2024/1689 | Référence juridique opposable |
| Fiches pratiques CNIL IA | cnil.fr/fr/intelligence-artificielle | Guidance opérationnelle française |
L'AI Act Service Desk a été lancé en 2024 par la Commission européenne pour centraliser les questions des entreprises sur le Règlement. Il est appelé à devenir le point d'entrée unique pour les notifications transfrontalières [à vérifier selon la montée en charge effective].
La CNIL a publié 13 fiches pratiques en 2025, en particulier sur le développement et le déploiement de systèmes d'IA. Ces fiches ne traitent pas spécifiquement de l'Article 73 mais clarifient l'articulation entre AI Act et RGPD. Le glossaire regulia reprend les termes clés utilisés dans ces fiches.
6. Sanctions encourues en cas de non-notification
L'Article 99 du Règlement (UE) 2024/1689 fixe le régime des sanctions administratives. Le non-respect de l'Article 73 ne relève pas du plafond le plus élevé (7 % du CA mondial réservé aux pratiques interdites de l'Article 5) mais d'un palier intermédiaire qui reste dissuasif.
Échelle des sanctions applicables au défaut de notification
| Manquement | Plafond amende | Plafond CA mondial | Base juridique |
|---|---|---|---|
| Pratique interdite (Art. 5) | 35 M€ | 7 % | Art. 99 §3 |
| Non-respect des autres obligations (dont Art. 73) | 15 M€ | 3 % | Art. 99 §4 |
| Information inexacte aux autorités | 7,5 M€ | 1 % | Art. 99 §5 |
| PME et start-up : plafond préférentiel | Le montant le plus bas | Le pourcentage le plus bas | Art. 99 §6 |
L'Article 99 §6 prévoit un régime allégé pour les PME : le plafond retenu est le plus bas entre la valeur absolue et le pourcentage. Pour une PME française réalisant 8 M€ de chiffre d'affaires, l'amende théorique maximale pour défaut de notification serait de 240 000 € (3 % de 8 M€), et non de 15 M€.
L'analyse détaillée du régime de sanctions, incluant le calculateur dédié aux PME, est disponible dans l'article Sanctions AI Act et amendes pour PME.
Conséquences non financières
Au-delà de l'amende, le défaut de notification déclenche trois effets indirects souvent plus coûteux que la sanction elle-même : suspension de la mise sur le marché par l'autorité de surveillance (Art. 79), perte de la certification ISO/IEC 42001:2023 ou impossibilité de l'obtenir, dégradation durable de la confiance des clients B2B qui auditent désormais la conformité IA de leurs fournisseurs.
7. Articulation avec la CNIL et le RGPD
L'AI Act ne remplace pas le RGPD. Lorsqu'un incident grave AI Act implique des données personnelles, deux régimes de notification se cumulent. La PME doit gérer cette double notification sans incohérence factuelle.
Tableau d'articulation AI Act / RGPD
| Critère | Notification AI Act Art. 73 | Notification RGPD Art. 33 |
|---|---|---|
| Destinataire | Autorité de surveillance du marché | CNIL |
| Délai | 15 jours (ou 2 / 10 jours selon gravité) | 72 heures |
| Déclencheur | Incident grave lié au système d'IA | Violation de données personnelles |
| Sanction maximale PME | 15 M€ ou 3 % CA mondial | 20 M€ ou 4 % CA mondial |
| Communication aux personnes | Si autorité l'exige (Art. 26 §11) | Si risque élevé (Art. 34 RGPD) |
La CNIL est compétente pour le volet données personnelles. Elle coopère avec l'autorité nationale de surveillance du marché AI Act, qui sera désignée formellement en France à l'issue de la transposition opérationnelle. La CNIL recommande de mentionner explicitement la référence AI Act dans la notification RGPD pour activer la coordination.
Le rôle de la CNIL ne s'arrête pas à la réception de la notification. Elle peut exiger un audit technique, ordonner une mesure correctrice, voire prononcer une mise en demeure publique. Son intervention est donc à anticiper dès la phase de qualification interne de l'incident.
8. Documentation, preuves et conservation
L'Article 73 ne s'applique pas en isolation. Il s'appuie sur les exigences documentaires des Articles 11, 12, 18 et 19 du Règlement. Une PME qui ne tient pas une documentation à jour ne pourra pas démontrer le respect de l'Article 73, même si elle a notifié dans les délais.
Pièces à conserver pour appuyer la notification
- Journal automatique des événements du système (Art. 12) — conservation minimale six mois
- Rapport d'enquête interne — daté et signé
- Logs applicatifs et infrastructure — accès tracé
- Communications internes (chronologie de découverte, décisions de la cellule de crise)
- Échanges avec le fournisseur si la PME est déployeur
- Plan de mesures correctives validé en comité de direction
- Preuves de mise en œuvre des mesures (captures, tickets, versions logicielles)
- Audit interne post-incident et révision du système de gestion des risques (Art. 9)
- Procès-verbaux d'information aux personnes affectées le cas échéant
Cette documentation doit être conservée pendant au moins dix ans après la dernière mise sur le marché du système (Art. 18 §1). Elle doit être tenue à la disposition des autorités nationales de surveillance pendant toute cette période (Art. 18 §2).
Bonne pratique organisationnelle
Mettre en place une procédure documentée d'alerte interne avec quatre niveaux de gravité, une cellule de crise nommément désignée, un délai de qualification cible de 24 heures et un canal de communication dédié. Cette procédure doit être testée au moins une fois par an, comme tout plan de continuité d'activité. Les modèles documentaires sont référencés dans les sources regulia.
Préparer la PME avant l'incident, pas pendant
Le pack regulia « Incidents AI Act » contient la procédure interne, la matrice de qualification, le formulaire de notification européen pré-rempli et le modèle de rapport complémentaire 30 jours.
Demander le pack incidentsFAQ
Dois-je notifier l'incident à la CNIL en plus du service desk européen ?
Oui, si l'incident concerne des données personnelles. La CNIL doit être informée pour les violations de la vie privée dans les 72 heures (Art. 33 RGPD), tandis que le service desk européen traite l'incident AI Act dans les 15 jours (Art. 73). Les deux notifications peuvent être déposées simultanément et doivent partager une chronologie cohérente pour éviter toute contradiction entre régulateurs.
Quelles sont les conséquences d'un retard de notification ?
Un retard expose la PME à une amende administrative pouvant atteindre 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial (Art. 99 §4), le plafond préférentiel PME retenant le montant le plus bas. À cela s'ajoutent des conséquences indirectes : suspension de la mise sur le marché (Art. 79), perte de certification ISO/IEC 42001:2023, et dégradation de la confiance des clients B2B qui auditent désormais la conformité IA.
Puis-je utiliser un modèle de notification officiel ?
Oui. L'AI Act Service Desk fournit un formulaire standardisé accessible sur ai-act-service-desk.ec.europa.eu. La CNIL met à disposition un téléservice spécifique pour les violations de données personnelles. Vérifier que tous les champs obligatoires listés à l'Article 73 §4 sont remplis avant transmission. Un dossier incomplet est traité comme une notification non conforme.
Dois-je notifier tous les incidents techniques ?
Non. Seuls les incidents répondant à la définition de l'Article 3(49) — atteinte à la santé, infrastructure critique, droits fondamentaux ou dommage environnemental grave — relèvent de l'Article 73. Les dysfonctionnements bénins, faux positifs isolés ou indisponibilités courtes sans impact tangible relèvent du suivi qualité interne et de la documentation Article 9 sur la gestion des risques.
Quelles preuves dois-je fournir avec la notification ?
Quatre éléments minimaux : description factuelle de l'incident et de ses impacts, analyse du lien de causalité avec le système d'IA, mesures conservatoires immédiates et plan correctif planifié. Annexer les logs Article 12, le rapport d'enquête interne et les communications de la cellule de crise. L'autorité peut demander un rapport complémentaire dans un délai raisonnable après la notification initiale.
Sources officielles
- Règlement (UE) 2024/1689 — texte intégral : eur-lex.europa.eu/eli/reg/2024/1689
- AI Act Service Desk de la Commission européenne : ai-act-service-desk.ec.europa.eu
- Texte consolidé annoté : artificialintelligenceact.eu
- CNIL — Intelligence artificielle, fiches pratiques 2025 : cnil.fr
- ISO/IEC 42001:2023 — Système de management de l'intelligence artificielle
- ISO/IEC 23894:2023 — Gestion des risques liés à l'IA
- ISO/IEC 27001:2022 — Sécurité de l'information
Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.