le système d’IA est destiné à être utilisé comme composant de sécurité d’un produit couvert par la législation d’harmonisation de l’Union dont la liste figure à l’annexe I, ou le système d’IA constitue lui-même un tel produit;

le produit dont le composant de sécurité visé au point a) est le système d’IA, ou le système d’IA lui-même en tant que produit, est soumis à une évaluation de conformité par un tiers en vue de la mise sur le marché ou de la mise en service de ce produit conformément à la législation d’harmonisation de l’Union dont la liste figure à l’annexe I.

les systèmes d’IA sont destinés à être utilisés dans l’un des domaines énumérés à l’annexe III;

les systèmes d’IA présentent un risque de préjudice pour la santé et la sécurité, ou un risque d’incidence négative sur les droits fondamentaux, et ce risque est équivalent ou supérieur au risque de préjudice ou d’incidence négative que présentent les systèmes d’IA à haut risque déjà visés à l’annexe III.

la destination du système d’IA;

la mesure dans laquelle un système d’IA a été utilisé ou est susceptible de l’être;

la nature et la quantité des données traitées et utilisées par le système d’IA, en particulier le traitement ou l’absence de traitement des catégories particulières de données à caractère personnel;

la mesure dans laquelle le système d’IA agit de manière autonome et la mesure dans laquelle l’homme peut intervenir pour annuler une décision ou des recommandations susceptibles de causer un préjudice potentiel;

la mesure dans laquelle l’utilisation d’un système d’IA a déjà causé un préjudice à la santé et à la sécurité, a eu une incidence négative sur les droits fondamentaux ou a suscité de graves préoccupations quant à la probabilité de ce préjudice ou de cette incidence négative, tel que cela ressort, par exemple, des rapports ou allégations documentées soumis aux autorités nationales compétentes ou d’autres rapports, le cas échéant;

l’ampleur potentielle d’un tel préjudice ou d’une telle incidence négative, notamment en ce qui concerne son intensité et sa capacité d’affecter plusieurs personnes ou d’affecter un groupe particulier de personnes de manière disproportionnée;

la mesure dans laquelle les personnes ayant potentiellement subi un préjudice ou une incidence négative dépendent des résultats obtenus au moyen d’un système d’IA, notamment parce qu’il n’est pas raisonnablement possible, pour des raisons pratiques ou juridiques, de s’affranchir de ces résultats;

la mesure dans laquelle il existe un déséquilibre de pouvoir, ou les personnes ayant potentiellement subi un préjudice ou une incidence négative se trouvent dans une situation vulnérable par rapport au déployeur d’un système d’IA, notamment en raison du statut, de l’autorité, de connaissances, de circonstances économiques ou sociales ou de l’âge;

la mesure dans laquelle les résultats obtenus en utilisant un système d’IA sont facilement corrigibles ou réversibles, compte tenu des solutions techniques disponibles pour les corriger ou les inverser, les résultats qui ont une incidence négative sur la santé, la sécurité ou les droits fondamentaux ne devant pas être considérés comme facilement corrigibles ou réversibles;

la probabilité que le déploiement du système d’IA présente des avantages pour certaines personnes, certains groupes de personnes ou la société dans son ensemble et la portée de ces avantages, y compris les améliorations éventuelles quant à la sécurité des produits;

la mesure dans laquelle le droit existant de l’Union prévoit:

le système d’IA à haut risque concerné ne présente plus de risques substantiels pour les droits fondamentaux, la santé ou la sécurité, compte tenu des critères énumérés au paragraphe 2;

la suppression ne diminue pas le niveau global de protection de la santé, de la sécurité et des droits fondamentaux en vertu du droit de l’Union.

l’identification et l’analyse des risques connus et raisonnablement prévisibles que le système d’IA à haut risque peut poser pour la santé, la sécurité ou les droits fondamentaux lorsque le système d’IA à haut risque est utilisé conformément à sa destination;

l’estimation et l’évaluation des risques susceptibles d’apparaître lorsque le système d’IA à haut risque est utilisé conformément à sa destination et dans des conditions de mauvaise utilisation raisonnablement prévisible;

l’évaluation d’autres risques susceptibles d’apparaître, sur la base de l’analyse des données recueillies au moyen du système de surveillance après commercialisation visé à l’article 72;

l’adoption de mesures appropriées et ciblées de gestion des risques, conçues pour répondre aux risques identifiés en vertu du point a).

les choix de conception pertinents;

les processus de collecte de données et l’origine des données, ainsi que, dans le cas des données à caractère personnel, la finalité initiale de la collecte de données;

les opérations de traitement pertinentes pour la préparation des données, telles que l’annotation, l’étiquetage, le nettoyage, la mise à jour, l’enrichissement et l’agrégation;

la formulation d’hypothèses, notamment en ce qui concerne les informations que les données sont censées mesurer et représenter;

une évaluation de la disponibilité, de la quantité et de l’adéquation des jeux de données nécessaires;

un examen permettant de repérer d’éventuels biais qui sont susceptibles de porter atteinte à la santé et à la sécurité des personnes, d’avoir une incidence négative sur les droits fondamentaux ou de se traduire par une discrimination interdite par le droit de l’Union, en particulier lorsque les données de sortie influencent les entrées pour les opérations futures;

les mesures appropriées visant à détecter, prévenir et atténuer les éventuels biais repérés conformément au point f);

la détection de lacunes ou déficiences pertinentes dans les données qui empêchent l’application du présent règlement, et la manière dont ces lacunes ou déficiences peuvent être comblées.

la détection et la correction des biais ne peuvent être satisfaites de manière efficace en traitant d’autres données, y compris des données synthétiques ou anonymisées;

les catégories particulières de données à caractère personnel sont soumises à des limitations techniques relatives à la réutilisation des données à caractère personnel, ainsi qu’aux mesures les plus avancées en matière de sécurité et de protection de la vie privée, y compris la pseudonymisation;

les catégories particulières de données à caractère personnel font l’objet de mesures visant à garantir que les données à caractère personnel traitées sont sécurisées, protégées et soumises à des garanties appropriées, y compris des contrôles stricts et une documentation de l’accès, afin d’éviter toute mauvaise utilisation et de veiller à ce que seules les personnes autorisées ayant des obligations de confidentialité appropriées aient accès à ces données à caractère personnel;

les catégories particulières de données à caractère personnel ne doivent pas être transmises, transférées ou consultées d’une autre manière par d’autres parties;

les catégories particulières de données à caractère personnel sont supprimées une fois que le biais a été corrigé ou que la période de conservation des données à caractère personnel a expiré, selon celle de ces deux échéances qui arrive en premier;

les registres des activités de traitement visés dans les règlements (UE) 2016/679 et (UE) 2018/1725 et dans la directive (UE) 2016/680 comprennent les raisons pour lesquelles le traitement des catégories particulières de données à caractère personnel était strictement nécessaire pour détecter et corriger les biais, ainsi que la raison pour laquelle cet objectif n’a pas pu être atteint par le traitement d’autres données.

repérer les situations susceptibles d’avoir pour effet que le système d’IA à haut risque présente un risque au sens de l’article 79, paragraphe 1, ou d’entraîner une modification substantielle;

faciliter la surveillance après commercialisation visée à l’article 72; et

surveiller le fonctionnement du système d’IA à haut risque comme prévu à l’article 26, paragraphe 5.

l’enregistrement de la période de chaque utilisation du système (date et heure de début et de fin pour chaque utilisation);

la base de données de référence utilisée par le système pour vérifier les données d’entrée;

les données d’entrée pour lesquelles la recherche a abouti à une correspondance;

l’identification des personnes physiques participant à la vérification des résultats, visées à l’article 14, paragraphe 5.

l’identité et les coordonnées du fournisseur et, le cas échéant, de son mandataire;

les caractéristiques, les capacités et les limites de performance du système d’IA à haut risque, notamment:

les modifications du système d’IA à haut risque et de sa performance qui ont été prédéterminées par le fournisseur au moment de l’évaluation initiale de la conformité, le cas échéant;

les mesures de contrôle humain visées à l’article 14, notamment les mesures techniques mises en place pour faciliter l’interprétation des sorties des systèmes d’IA à haut risque par les déployeurs;

les ressources informatiques et matérielles nécessaires, la durée de vie attendue du système d’IA à haut risque et toutes les mesures de maintenance et de suivi, y compris leur fréquence, nécessaires pour assurer le bon fonctionnement de ce système d’IA, notamment en ce qui concerne les mises à jour logicielles;

le cas échéant, une description des mécanismes compris dans le système d’IA à haut risque qui permet aux déployeurs de collecter, stocker et interpréter correctement les journaux, conformément à l’article 12.

des mesures identifiées et, lorsque cela est techniquement possible, intégrées par le fournisseur dans le système d’IA à haut risque avant la mise sur le marché ou la mise en service de ce dernier;

des mesures identifiées par le fournisseur avant la mise sur le marché ou la mise en service du système d’IA à haut risque et qui se prêtent à une mise en œuvre par le déployeur.

de comprendre correctement les capacités et les limites pertinentes du système d’IA à haut risque et d’être en mesure de surveiller correctement son fonctionnement, y compris en vue de détecter et de traiter les anomalies, les dysfonctionnements et les performances inattendues;

d’avoir conscience d’une éventuelle tendance à se fier automatiquement ou excessivement aux sorties produites par un système d’IA à haut risque (biais d’automatisation), en particulier pour les systèmes d’IA à haut risque utilisés pour fournir des informations ou des recommandations concernant les décisions à prendre par des personnes physiques;

d’interpréter correctement les sorties du système d’IA à haut risque, compte tenu par exemple des outils et méthodes d’interprétation disponibles;

de décider, dans une situation particulière, de ne pas utiliser le système d’IA à haut risque ou d’ignorer, remplacer ou inverser la sortie du système d’IA à haut risque;

d’intervenir dans le fonctionnement du système d’IA à haut risque ou d’interrompre le système au moyen d’un bouton d’arrêt ou d’une procédure similaire permettant au système de s’arrêter de manière sécurisée.

une stratégie de respect de la réglementation, notamment le respect des procédures d’évaluation de la conformité et des procédures de gestion des modifications apportées aux systèmes d’IA à haut risque;

des techniques, procédures et actions systématiques destinées à la conception des systèmes d’IA à haut risque ainsi qu’au contrôle et à la vérification de cette conception;

des techniques, procédures et actions systématiques destinées au développement des systèmes d’IA à haut risque ainsi qu’au contrôle et à l’assurance de leur qualité;

des procédures d’examen, de test et de validation à exécuter avant, pendant et après le développement du système d’IA à haut risque, ainsi que la fréquence à laquelle elles doivent être réalisées;

des spécifications techniques, notamment des normes, à appliquer et, lorsque les normes harmonisées pertinentes ne sont pas appliquées intégralement, ou ne couvrent pas toutes les exigences pertinentes énoncées à la section 2, les moyens à utiliser pour faire en sorte que le système d’IA à haut risque satisfasse auxdites exigences;

les systèmes et procédures de gestion des données, notamment l’acquisition, la collecte, l’analyse, l’étiquetage, le stockage, la filtration, l’exploration, l’agrégation, la conservation des données et toute autre opération concernant les données qui est effectuée avant la mise sur le marché ou la mise en service de systèmes d’IA à haut risque et aux fins de celles-ci;

le système de gestion des risques prévu à l’article 9;

l’élaboration, la mise en œuvre et le fonctionnement d’un système de surveillance après commercialisation conformément à l’article 72;

les procédures relatives au signalement d’un incident grave conformément à l’article 73;

la gestion des communications avec les autorités nationales compétentes, les autres autorités compétentes, y compris celles fournissant ou facilitant l’accès aux données, les organismes notifiés, les autres opérateurs, les clients ou d’autres parties intéressées;

les systèmes et procédures de conservation de tous les documents et informations pertinents;

la gestion des ressources, y compris les mesures liées à la sécurité d’approvisionnement;

un cadre de responsabilisation définissant les responsabilités de l’encadrement et des autres membres du personnel en ce qui concerne tous les aspects énumérés dans le présent paragraphe.

la documentation technique visée à l’article 11;

la documentation concernant le système de gestion de la qualité visé à l’article 17;

la documentation concernant les modifications approuvées par les organismes notifiés, le cas échéant;

les décisions et autres documents émis par les organismes notifiés, le cas échéant;

la déclaration UE de conformité visée à l’article 47.

vérifier que la déclaration UE de conformité visée à l’article 47 et la documentation technique visée à l’article 11 ont été établies et que le fournisseur a suivi une procédure appropriée d’évaluation de la conformité;

tenir à la disposition des autorités compétentes et des autorités ou organismes nationaux visés à l’article 74, paragraphe 10, pendant une période de dix ans après la mise sur le marché ou la mise en service du système d’IA à haut risque, les coordonnées du fournisseur ayant désigné le mandataire, une copie de la déclaration UE de conformité visée à l’article 47, la documentation technique et, le cas échéant, le certificat délivré par l’organisme notifié;

à la demande motivée d’une autorité compétente, communiquer à cette dernière toutes les informations et tous les documents, y compris ceux visés au point b) du présent alinéa, nécessaires pour démontrer la conformité d’un système d’IA à haut risque avec les exigences énoncées à la section 2, et notamment lui donner accès aux journaux générés automatiquement par le système d’IA à haut risque, visés à l’article 12, paragraphe 1, dans la mesure où ces journaux se trouvent sous le contrôle du fournisseur;

à la demande motivée des autorités compétentes, coopérer avec elles à toute mesure prise par ces dernières à l’égard du système d’IA à haut risque, en particulier pour réduire et atténuer les risques posés par le système d’IA à haut risque;

le cas échéant, respecter les obligations en matière d’enregistrement visées à l’article 49, paragraphe 1, ou, si l’enregistrement est effectué par le fournisseur lui-même, vérifier que les informations visées à l’annexe VIII, section A, point 3, sont correctes.

le fournisseur du système d’IA à haut risque a suivi la procédure pertinente d’évaluation de la conformité visée à l’article 43;

le fournisseur a établi la documentation technique conformément à l’article 11 et à l’annexe IV;

le système porte le marquage CE requis et est accompagné de la déclaration UE de conformité visée à l’article 47 et de la notice d’utilisation;

le fournisseur a désigné un mandataire conformément à l’article 22, paragraphe 1.

il commercialise sous son propre nom ou sa propre marque un système d’IA à haut risque déjà mis sur le marché ou mis en service, sans préjudice des dispositions contractuelles prévoyant une autre répartition des obligations;

il apporte une modification substantielle à un système d’IA à haut risque qui a déjà été mis sur le marché ou a déjà été mis en service de telle manière qu’il reste un système d’IA à haut risque en application de l’article 6;

il modifie la destination d’un système d’IA, y compris un système d’IA à usage général, qui n’a pas été classé à haut risque et a déjà été mis sur le marché ou mis en service de telle manière que le système d’IA concerné devient un système d’IA à haut risque conformément l’article 6.

le système d’IA à haut risque est mis sur le marché avec le produit sous le nom ou la marque du fabricant du produit;

le système d’IA à haut risque est mis en service sous le nom ou la marque du fabricant du produit après que le produit a été mis sur le marché.

une description des processus du déployeur dans lesquels le système d’IA à haut risque sera utilisé conformément à sa destination;

une description de la période pendant laquelle et de la fréquence à laquelle chaque système d’IA à haut risque est destiné à être utilisé;

les catégories de personnes physiques et les groupes susceptibles d’être concernés par son utilisation dans le contexte spécifique;

les risques spécifiques de préjudice susceptibles d’avoir une incidence sur les catégories de personnes physiques ou groupes de personnes identifiés en vertu du point c) du présent paragraphe, compte tenu des informations fournies par le fournisseur conformément à l’article 13;

une description de la mise en œuvre des mesures de contrôle humain, conformément à la notice d’utilisation;

les mesures à prendre en cas de matérialisation de ces risques, y compris les dispositifs relatifs à la gouvernance interne et aux mécanismes de plainte internes.

évalue l’incidence sur les certificats délivrés par l’organisme notifié;

transmet un rapport sur ses conclusions à la Commission et aux autres États membres dans un délai de trois mois après avoir signalé les modifications apportées à la désignation;

exige de l’organisme notifié qu’il suspende ou retire, dans un délai raisonnable qu’elle détermine, tous les certificats délivrés à tort afin d’assurer la conformité constante des systèmes d’IA à haut risque sur le marché;

informe la Commission et les États membres des certificats dont elle a demandé la suspension ou le retrait;

fournit aux autorités nationales compétentes de l’État membre dans lequel le fournisseur a son siège social toutes les informations pertinentes sur les certificats dont elle a demandé la suspension ou le retrait; cette autorité prend les mesures appropriées si cela est nécessaire pour éviter un risque potentiel pour la santé, la sécurité ou les droits fondamentaux.

l’autorité notifiante a confirmé, dans un délai d’un mois suivant la suspension ou la restriction, qu’il n’y a pas de risque pour la santé, la sécurité ou les droits fondamentaux en lien avec les certificats concernés par la suspension ou la restriction, et l’autorité notifiante a défini un calendrier de mesures pour remédier à la suspension ou à la restriction; ou

l’autorité notifiante a confirmé qu’aucun certificat ayant trait à la suspension ne sera délivré, modifié ou délivré à nouveau pendant la période de suspension ou de restriction et elle indique si l’organisme notifié est en mesure de continuer à contrôler les certificats existants délivrés et à en être responsable pour la durée de la suspension ou de la restriction. Si l’autorité notifiante considère que l’organisme notifié n’est pas en mesure de se charger des certificats existants délivrés, le fournisseur du système faisant l’objet du certificat confirme par écrit aux autorités nationales compétentes de l’État membre dans lequel il a son siège social, dans un délai de trois mois suivant la suspension ou la restriction, qu’un autre organisme notifié qualifié assume temporairement les fonctions de surveillance de l’organisme notifié et continue d’assumer la responsabilité des certificats pour la durée de la suspension ou de la restriction.

l’autorité nationale compétente de l’État membre dans lequel le fournisseur du système d’IA à haut risque faisant l’objet du certificat a son siège social a confirmé que les systèmes d’IA à haut risque en question ne présentent pas de risque pour la santé, la sécurité ou les droits fondamentaux; et

un autre organisme notifié a confirmé par écrit qu’il assumera la responsabilité immédiate de ces systèmes d’IA et achèvera son évaluation dans un délai de douze mois à compter du retrait de la désignation.

la Commission, en vertu de l’article 10, paragraphe 1, du règlement (UE) no 1025/2012, a demandé à une ou plusieurs organisations européennes de normalisation d’élaborer une norme harmonisée pour les exigences énoncées à la section 2 du présent chapitre ou, le cas échéant, pour les obligations énoncées au chapitre V, sections 2 et 3, et:

aucune référence à des normes harmonisées couvrant les exigences visées à la section 2 du chapitre ou, le cas échéant, les obligations énoncées au chapitre V, sections 2 et 3, n’a été publiée au Journal officiel de l’Union européenne conformément au règlement (UE) no 1025/2012, et aucune référence de ce type ne devrait être publiée dans un délai raisonnable.

du contrôle interne visé à l’annexe VI; ou

de l’évaluation du système de gestion de la qualité et de l’évaluation de la documentation technique, avec l’intervention d’un organisme notifié, visée à l’annexe VII.

tout certificat d’évaluation UE de la documentation technique, tout document complémentaire afférent à ce certificat, et toute approbation d’un système de gestion de la qualité délivrée conformément aux exigences de l’annexe VII;

tout refus, restriction, suspension ou retrait d’un certificat d’évaluation UE de la documentation technique ou d’une approbation d’un système de gestion de la qualité délivrée conformément aux exigences de l’annexe VII;

toute circonstance ayant une incidence sur la portée ou les conditions de la notification;

toute demande d’information reçue des autorités de surveillance du marché concernant les activités d’évaluation de la conformité;

sur demande, les activités d’évaluation de la conformité réalisées dans le cadre de leur notification et toute autre activité réalisée, y compris les activités transfrontières et sous-traitées.

les approbations de systèmes de gestion de la qualité qu’il a refusées, suspendues ou retirées et, sur demande, les approbations qu’il a délivrées;

les certificats d’évaluation UE de la documentation technique ou les documents complémentaires y afférents qu’il a refusés, retirés, suspendus ou soumis à d’autres restrictions et, sur demande, les certificats et/ou documents complémentaires y afférents qu’il a délivrés.

à l’annexe VIII, section A, points 1 à 10, à l’exception des points 6, 8 et 9;

à l’annexe VIII, section B, points 1 à 5, et points 8 et 9;

à l’annexe VIII, section C, points 1 à 3;

à l’annexe IX, points 1, 2, 3 et 5.

il dispose de capacités à fort impact évaluées sur la base de méthodologies et d’outils techniques appropriés, y compris des indicateurs et des critères de référence;

sur la base d’une décision de la Commission, d’office ou à la suite d’une alerte qualifiée du groupe scientifique, il possède des capacités ou un impact équivalents à ceux énoncés au point a), compte tenu des critères définis à l’annexe XIII.

élaborent et tiennent à jour la documentation technique du modèle, y compris son processus d’entraînement et d’essai et les résultats de son évaluation, qui contient, au minimum, les informations énoncées à l’annexe XI aux fins de la fournir, sur demande, au Bureau de l’IA et aux autorités nationales compétentes;

élaborent, tiennent à jour et mettent à disposition des informations et de la documentation à l’intention des fournisseurs de systèmes d’IA qui envisagent d’intégrer le modèle d’IA à usage général dans leurs systèmes d’IA. Sans préjudice de la nécessité d’observer et de protéger les droits de propriété intellectuelle et les informations confidentielles de nature commerciale ou les secrets d’affaires conformément au droit de l’Union et au droit national, ces informations et cette documentation:

mettent en place une politique visant à se conformer au droit de l’Union en matière de droit d’auteur et droits voisins, et notamment à identifier et à respecter, y compris au moyen de technologies de pointe, une réservation de droits exprimée conformément à l’article 4, paragraphe 3, de la directive (UE) 2019/790;

élaborent et mettent à la disposition du public un résumé suffisamment détaillé du contenu utilisé pour entraîner le modèle d’IA à usage général, conformément à un modèle fourni par le Bureau de l’IA.

vérifier que la documentation technique prévue à l’annexe XI a été rédigée et que toutes les obligations visées à l’article 53 et, le cas échéant, à l’article 55 ont été remplies par le fournisseur;

tenir à la disposition du Bureau de l’IA et des autorités nationales compétentes une copie de la documentation technique prévue à l’annexe XI, pendant une période de dix ans après la mise sur le marché du modèle d’IA à usage général, et les coordonnées du fournisseur ayant désigné le mandataire;

communiquer au Bureau de l’IA, sur demande motivée de sa part, toutes les informations et tous les documents, y compris ceux visés au point b), nécessaires pour démontrer qu’il respecte les obligations du présent chapitre;

coopérer avec le Bureau de l’IA et les autorités compétentes, sur demande motivée de leur part, à toute mesure qu’ils prennent à l’égard d’un modèle d’IA à usage général, y compris lorsque le modèle est intégré dans des systèmes d’IA mis sur le marché ou mis en service dans l’Union.

effectuent une évaluation des modèles sur la base de protocoles et d’outils normalisés reflétant l’état de la technique, y compris en réalisant et en documentant des essais contradictoires des modèles en vue d’identifier et d’atténuer les risques systémiques;

évaluent et atténuent les risques systémiques éventuels au niveau de l’Union, y compris leurs origines, qui peuvent découler du développement, de la mise sur le marché ou de l’utilisation de modèles d’IA à usage général présentant un risque systémique;

suivent, documentent et communiquent sans retard injustifié au Bureau de l’IA et, le cas échéant, aux autorités nationales compétentes les informations pertinentes concernant les incidents graves ainsi que les éventuelles mesures correctives pour y remédier;

garantissent un niveau approprié de protection en matière de cybersécurité pour le modèle d’IA à usage général présentant un risque systémique et l’infrastructure physique du modèle.

les moyens de s’assurer que les informations visées à l’article 53, paragraphe 1, points a) et b), sont mises à jour à la lumière des évolutions du marché et des technologies;

le niveau approprié de détail pour le résumé du contenu utilisé pour l’entraînement;

l’identification du type et de la nature des risques systémiques au niveau de l’Union, y compris leurs origines, le cas échéant;

les mesures, procédures et modalités d’évaluation et de gestion des risques systémiques au niveau de l’Union, y compris la documentation y afférente, qui sont proportionnées aux risques, prennent en considération leur gravité et leur probabilité et tiennent compte des défis spécifiques que pose la maîtrise de ces risques à la lumière des différentes façons dont ils peuvent apparaître ou se concrétiser tout au long de la chaîne de valeur de l’IA.

disposent des compétences et pouvoirs pertinents dans leur État membre afin de contribuer activement à l’accomplissement des tâches du Comité IA visées à l’article 66;

soient désignés comme point de contact unique vis-à-vis du Comité IA et, lorsqu’il y a lieu, compte tenu des besoins des États membres, comme point de contact unique pour les parties prenantes;

soient habilités à faciliter la cohérence et la coordination entre les autorités nationales compétentes de leur État membre en ce qui concerne la mise en œuvre du présent règlement, y compris par la collecte de données et d’informations pertinentes aux fins de l’accomplissement de leurs tâches au sein du Comité IA.

disposer d’une expertise et d’une compétence particulières ainsi que d’une expertise scientifique ou technique dans le domaine de l’IA;

être indépendant vis-à-vis de tout fournisseur de systèmes d’IA ou de modèles d’IA à usage général;

être capable de mener des activités avec diligence, précision et objectivité.

soutenir la mise en œuvre et le contrôle de l’application du présent règlement en ce qui concerne les modèles et systèmes d’IA à usage général, en particulier:

soutenir, à leur demande, les autorités de surveillance du marché dans leur travail;

soutenir les activités transfrontières de surveillance du marché visées à l’article 74, paragraphe 11, sans préjudice des pouvoirs des autorités de surveillance du marché;

soutenir le Bureau de l’IA dans l’exercice de ses fonctions dans le cadre de la procédure de sauvegarde de l’Union prévue à l’article 81.

toute référence à un opérateur économique en vertu du règlement (UE) 2019/1020 s’entend comme incluant tous les opérateurs identifiés à l’article 2, paragraphe 1, du présent règlement;

toute référence à un produit en vertu du règlement (UE) 2019/1020 s’entend comme incluant tous les systèmes d’IA relevant du champ d’application du présent règlement.

l’accès au code source est nécessaire pour évaluer la conformité d’un système d’IA à haut risque avec les exigences énoncées au chapitre III, section 2; et

les procédures d’essai ou d’audit et les vérifications fondées sur les données et la documentation communiquées par le fournisseur ont été entièrement accomplies ou se sont révélées insuffisantes.

suspendre ou faire cesser les essais en conditions réelles;

exiger du fournisseur ou du fournisseur potentiel et du déployeur ou futur déployeur qu’ils modifient tout aspect des essais en conditions réelles.

les droits de propriété intellectuelle et les informations confidentielles de nature commerciale ou les secrets d’affaires des personnes physiques ou morales, y compris le code source, à l’exception des cas visés à l’article 5 de la directive (UE) 2016/943 du Parlement européen et du Conseil ( 1 );

la mise en œuvre effective du présent règlement, notamment en ce qui concerne les inspections, les investigations ou les audits;

les intérêts en matière de sécurité nationale et publique;

la conduite des procédures pénales ou administratives;

les informations classifiées en vertu du droit de l’Union ou du droit national.

le non-respect de l’interdiction des pratiques en matière d’IA visées à l’article 5;

le non-respect, par le système d’IA à haut risque, des exigences énoncées au chapitre III, section 2;

des lacunes dans les normes harmonisées ou les spécifications communes visées aux articles 40 et 41 qui confèrent une présomption de conformité;

le non-respect de l’article 50.

le marquage CE a été apposé en violation de l’article 48;

le marquage CE n’a pas été apposé;

la déclaration UE de conformité visée à l’article 47 n’a pas été établie;

la déclaration UE de conformité visée à l’article 47 n’a pas été établie correctement;

l’enregistrement dans la base de données de l’UE visée à l’article 71 n’a pas été effectué;

le cas échéant, il n’a pas été désigné de mandataire;

la documentation technique n’est pas disponible.

le point de contact du fournisseur du modèle d’IA à usage général concerné;

une description des faits pertinents, les dispositions concernées du présent règlement et la raison pour laquelle le fournisseur en aval considère que le fournisseur du modèle d’IA à usage général concerné a enfreint le présent règlement;

toute autre information que le fournisseur en aval qui a envoyé la demande juge pertinente, y compris, le cas échéant, les informations recueillies de sa propre initiative.

qu’un modèle d’IA à usage général présente un risque concret identifiable au niveau de l’Union; ou

qu’un modèle d’IA à usage général satisfait aux conditions visées à l’article 51.

le point de contact du fournisseur du modèle d’IA à usage général concerné présentant un risque systémique;

une description des faits pertinents et les motifs de l’alerte donnée par le groupe scientifique;

toute autre information que le groupe scientifique juge pertinente, y compris, le cas échéant, les informations recueillies de sa propre initiative.

pour évaluer le respect, par le fournisseur, des obligations prévues par le présent règlement, lorsque les informations recueillies en vertu de l’article 91 sont insuffisantes; ou

pour enquêter sur les risques systémiques, au niveau de l’Union, des modèles d’IA à usage général présentant un risque systémique, en particulier à la suite d’une alerte qualifiée du groupe scientifique conformément à l’article 90, paragraphe 1, point a).

de prendre les mesures appropriées pour se conformer aux obligations énoncées à aux articles 53 et 54;

de mettre en œuvre des mesures d’atténuation, lorsque l’évaluation effectuée conformément à l’article 92 a suscité des préoccupations sérieuses et fondées quant à un risque systémique au niveau de l’Union;

de restreindre la mise à disposition du modèle sur le marché, de le retirer ou de le rappeler.