Organisme notifié

Un organisme notifié est une organisation indépendante officiellement désignée par un État membre de l'UE pour réaliser des évaluations de conformité tierces pour certains systèmes d'IA à haut risque. Ces organismes disposent de l'expertise technique et de l'impartialité nécessaires pour évaluer si des systèmes satisfont aux exigences du EU AI Act, et leurs évaluations ont une portée juridique dans la démonstration de conformité.

L'article 43 du règlement précise quand une évaluation de conformité par un organisme notifié est requise, plutôt qu'une auto-évaluation par le fournisseur. L'intervention d'un organisme notifié est obligatoire pour les systèmes à haut risque utilisés pour l'identification biométrique de personnes physiques (à l'exception de la vérification/authentification), ainsi que pour les systèmes à haut risque utilisés comme composants de sécurité de produits nécessitant déjà une évaluation tierce au titre de la législation européenne de sécurité des produits. Pour la plupart des autres systèmes à haut risque listés à l'annexe III, les fournisseurs peuvent réaliser une auto-évaluation via la procédure de contrôle interne décrite à l'annexe VI. Les fournisseurs conservent toutefois la possibilité de demander une évaluation volontaire par un organisme notifié, ce qui peut apporter une crédibilité supplémentaire auprès des clients, des autorités ou du public. L'écosystème des organismes notifiés pour l'IA est encore en construction : contrairement à des secteurs établis (dispositifs médicaux, machines) où ces organismes opèrent depuis des décennies, les organismes spécifiques à l'IA ne sont désignés et accrédités que récemment. Ce marché naissant implique une capacité limitée et potentiellement des délais importants, à intégrer dans la planification de conformité.

Les organisations doivent d'abord déterminer si leurs systèmes à haut risque requièrent une évaluation tierce. Les systèmes biométriques d'identification à distance de personnes dans des espaces accessibles au public requerront l'intervention d'un organisme notifié. Les systèmes servant de composants de sécurité de produits réglementés devraient analyser la législation produit applicable pour déterminer les exigences d'évaluation. Pour les systèmes concernés, commencez tôt l'identification d'organismes adaptés. Les critères de sélection incluent : expertise technique dans le domaine IA pertinent, capacité et disponibilité en termes de calendrier, couverture géographique des marchés visés et structure tarifaire. Les organisations devraient consulter la base officielle NANDO pour identifier les organismes désignés une fois les désignations IA publiées.

Se préparer à une revue par un organisme notifié exige une préparation documentaire complète. Les évaluateurs examineront la documentation technique de l'annexe IV, les enregistrements de gestion des risques, les pratiques de gouvernance des données, les preuves de tests et validation, ainsi que les systèmes de gestion de la qualité. Traitez cette préparation comme un audit externe, avec des dossiers de preuves complets prêts à être examinés. Même en auto-évaluation, maintenez une documentation au niveau attendu par un organisme notifié. Cette discipline garantit la préparation si la réglementation évolue, si les attentes du marché se déplacent vers une validation tierce, ou si des clients demandent une vérification indépendante.