Article 52 Surveillance du marché et contrôle des produits comportant des éléments numériques sur le marché de l’Union

Les produits comportant des éléments numériques classés comme systèmes d’IA à haut risque conformément à l’article 6 du règlement (UE) 2024/1689 du Parlement européen et du Conseil(²²)Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle et modifiant les règlements (CE) n^o 300/2008, (UE) n^o 167/2013, (UE) n^o 168/2013, (UE) 2018/858, (UE) 2018/1139 et (UE) 2019/2144 et les directives 2014/90/UE, (UE) 2016/797 et (UE) 2020/1828 (règlement sur l’intelligence artificielle) (JO L, 2024/1689, 12.7.2024, ELI: http://data.europa.eu/eli/reg/2024/1689/oj). qui relèvent du champ d’application du présent règlement devraient satisfaire aux exigences essentielles de cybersécurité énoncées dans celui-ci. Lorsque ces systèmes d’IA à haut risque satisfont aux exigences essentielles de cybersécurité énoncées dans le présent règlement, ils devraient être réputés respecter les exigences de cybersécurité énoncées à l’article article 15 du règlement (UE) 2024/1689, dans la mesure où ces exigences sont couvertes par la déclaration UE de conformité, ou par certaines parties de celle-ci, délivrée en vertu du présent règlement. À cette fin, l’évaluation des risques de cybersécurité associés à un produit comportant des éléments numériques classés comme système d’IA à haut risque en vertu du règlement (UE) 2024/1689 qui doit être prise en compte pendant les phases de planification, de conception, de développement, de production, de livraison et de maintenance de ce produit, comme l’exige le présent règlement, devrait tenir compte des risques pour la cyberrésilience d’un système d’IA en cas de tentatives par des tiers non autorisés de modifier son utilisation, son comportement ou ses performances, y compris les vulnérabilités propres à l’IA telles que l’empoisonnement des données ou les attaques adversaires, ainsi que, le cas échéant, les risques pour les droits fondamentaux, conformément au règlement (UE) 2024/1689. En ce qui concerne les procédures d’évaluation de la conformité relatives aux exigences essentielles de cybersécurité d’un produit comportant des éléments numériques qui entre dans le champ d’application du présent règlement et classé comme système d’IA à haut risque, l’article 43 du règlement (UE) 2024/1689 devrait de manière générale s’appliquer en lieu et place des dispositions pertinentes du présent règlement. Toutefois, l’application de cette règle ne devrait pas entraîner de réduction du niveau d’assurance nécessaire pour les produits importants ou critiques comportant des éléments numériques visés dans le présent règlement. Par conséquent, par dérogation à cette règle, les systèmes d’IA à haut risque qui relèvent du champ d’application du règlement (UE) 2024/1689 et sont également considérés comme des produits importants ou critiques comportant des éléments numériques visés dans le présent règlement et auxquels s’applique la procédure d’évaluation de la conformité fondée sur le contrôle interne visée à l’annexe VI du règlement (UE) 2024/1689 devraient être soumis aux procédures d’évaluation de la conformité prévues par le présent règlement en ce qui concerne les exigences essentielles de cybersécurité énoncées dans celui-ci. Dans ce cas, pour tous les autres aspects couverts par le règlement (UE) 2024/1689, les dispositions pertinentes relatives à l’évaluation de la conformité fondée sur le contrôle interne énoncées à l’annexe VI de ce règlement devraient s’appliquer.

Afin de garantir la sécurité des produits comportant des éléments numériques après leur mise sur le marché, les fabricants doivent déterminer une période d’assistance qui doit correspondre à la durée d’utilisation prévue du produit comportant des éléments numériques. Pour déterminer la période d’assistance, le fabricant devrait notamment tenir compte des attentes raisonnables de l’utilisateur, de la nature du produit, ainsi que du droit de l’Union applicable à la durée de vie des produits comportant des éléments numériques. Les fabricants devraient également être en mesure de prendre en compte d’autres facteurs pertinents. Les critères doivent être appliqués de manière à garantir la proportionnalité de la durée de la période d’assistance. Sur demande, un fabricant doit fournir aux autorités de surveillance du marché les informations prises en compte pour déterminer la durée de la période d’assistance d’un produit comportant des éléments numériques.

La période d’assistance pendant laquelle le fabricant garantit le traitement efficace des vulnérabilités ne doit pas être inférieure à cinq ans, sauf si la durée de vie du produit comportant des éléments numériques est inférieure à cinq ans, auquel cas le fabricant doit assurer le traitement des vulnérabilités pendant ladite durée. Dans les cas des produits comportant des éléments numériques dont on peut raisonnablement s’attendre à ce qu’ils soient utilisés pendant plus de cinq ans, comme c’est souvent le cas pour les composants matériels tels que les cartes mères ou les microprocesseurs, les dispositifs de réseau tels que les routeurs, les modems ou les commutateurs, ainsi que les logiciels tels que les systèmes d’exploitation ou les outils d’édition vidéo, les fabricants devraient en conséquence prévoir des périodes d’assistance plus longues. En particulier, les produits comportant des éléments numériques destinés à être utilisés dans des environnements industriels, tels que les systèmes de contrôle industriels, sont souvent utilisés pendant des périodes beaucoup plus longues. Un fabricant ne devrait pouvoir définir une période d’assistance inférieure à cinq ans que si cela est justifié par la nature du produit comportant des éléments numériques concerné et s’il est prévu que ce produit soit utilisé pendant moins de cinq ans, auquel cas la période d’assistance devrait correspondre à la durée d’utilisation prévue. Par exemple, la durée de vie d’une application de recherche des contacts destinée à être utilisée pendant une pandémie pourrait être limitée à la durée de la pandémie. En outre, certaines applications logicielles ne peuvent par nature être mises à disposition que sous la forme d’un abonnement, en particulier lorsque l’application devient indisponible pour l’utilisateur et n’est donc plus utilisable à l’expiration de l’abonnement.

Lorsque les produits comportant des éléments numériques arrivent au terme de leur période d’assistance, afin de garantir que les vulnérabilités peuvent être traitées après la fin de la période d’assistance, les fabricants devraient envisager de divulguer le code source de ces produits comportant des éléments numériques soit à d’autres entreprises qui s’engagent à étendre la fourniture de services de traitement des vulnérabilités, soit au public. Lorsque les fabricants communiquent le code source à d’autres entreprises, ils doivent pouvoir protéger la propriété du produit comportant des éléments numériques et empêcher la diffusion du code source au public, par exemple au moyen d’accords contractuels.

Afin de garantir que les fabricants de l’Union déterminent des périodes d’assistance similaires pour des produits comparables comportant des éléments numériques, l’ADCO devrait publier des statistiques sur les périodes d’assistance moyennes déterminées par les fabricants pour des catégories de produits comportant des éléments numériques et publier des orientations indiquant les périodes d’assistance appropriées pour ces catégories. En outre, afin de garantir une approche harmonisée dans l’ensemble du marché intérieur, la Commission devrait pouvoir adopter des actes délégués pour spécifier des périodes d’assistance minimales pour des catégories de produits spécifiques lorsque les données fournies par les autorités de surveillance du marché semblent indiquer que les périodes d’assistance déterminées par les fabricants ne sont pas systématiquement conformes aux critères de détermination des périodes d’assistance établis dans le présent règlement ou que les fabricants de différents États membres déterminent de manière injustifiée des périodes d’assistance différentes.

La surveillance du marché est un outil essentiel pour assurer l’application correcte et uniforme du droit de l’Union. Il convient dès lors de mettre en place le cadre juridique dans lequel la surveillance du marché pourra être effectuée de manière appropriée. Les règles relatives à la surveillance du marché de l’Union et au contrôle des produits entrant sur le marché de l’Union prévues par le règlement (UE) 2019/1020 s’appliquent aux produits comportant des éléments numériques qui relèvent du champ d’application du présent règlement.

Conformément au règlement (UE) 2019/1020, une autorité de surveillance du marché est chargée de la surveillance du marché sur le territoire de l’État membre qui l’a désignée. Le présent règlement ne devrait pas empêcher les États membres de choisir les autorités compétentes pour l’accomplissement des tâches de surveillance du marché. Chaque État membre devrait désigner une ou plusieurs autorités de surveillance du marché sur son territoire. Les États membres devraient pouvoir choisir de désigner toute autorité existante ou nouvelle pour agir en qualité d’autorité de surveillance du marché, y compris les autorités compétentes désignées ou établies en vertu de l’article 8 de la directive (UE) 2022/2555, les autorités nationales de certification de cybersécurité désignées en vertu de l’article 58 du règlement (UE) 2019/881 ou les autorités de surveillance du marché désignées aux fins de la directive 2014/53/UE. Les opérateurs économiques devraient coopérer pleinement avec les autorités de surveillance du marché et les autres autorités compétentes. Chaque État membre devrait communiquer à la Commission ainsi qu’aux autres États membres le nom de ses autorités de surveillance du marché et les domaines de compétence de chacune de ces autorités et veiller à ce qu’elles disposent des ressources et compétences nécessaires pour effectuer les tâches de surveillance du marché qui leur incombent en vertu du présent règlement. En vertu de l’article 10, paragraphes 2 et 3, du règlement (UE) 2019/1020, chaque État membre devrait désigner un bureau de liaison unique chargé, entre autres, de représenter la position coordonnée des autorités de surveillance du marché et de contribuer à la coopération entre les autorités de surveillance du marché des différents États membres.

Il convient de créer un ADCO chargé spécifiquement de la cyberrésilience des produits comportant des éléments numériques aux fins de l’application uniforme du présent règlement, conformément à l’article 30, paragraphe 2, du règlement (UE) 2019/1020. L’ADCO devrait être composé de représentants des autorités de surveillance du marché désignées et, si nécessaire, de représentants des bureaux de liaison uniques. La Commission devrait soutenir et encourager la coopération entre les autorités de surveillance du marché par l’intermédiaire du réseau de l’Union pour la conformité des produits, institué en vertu de l’article 29 du règlement (UE) 2019/1020 et composé de représentants de chaque État membre, y compris un représentant de chaque bureau de liaison unique visé à l’article 10 dudit règlement et un expert national facultatif, des présidents des ADCO et de représentants de la Commission. La Commission devrait participer aux réunions du réseau de l’Union pour la conformité des produits, de ses sous-groupes et de l’ADCO. Elle devrait également assister l’ADCO au moyen d’un secrétariat exécutif qui lui fournirait une assistance technique et logistique. L’ADCO pourrait également inviter des experts indépendants et nouer des liens avec d’autres ADCO, tels que ceux établis conformément à la directive 2014/53/UE.

Les autorités de surveillance du marché, par l’intermédiaire de l’ADCO établi en vertu du présent règlement, devraient coopérer étroitement entre elles et être en mesure d’élaborer des documents d’orientation afin de faciliter les activités de surveillance du marché au niveau national, par exemple en indiquant des bonnes pratiques et en élaborant des indicateurs qui permettent de vérifier efficacement la conformité des produits comportant des éléments numériques au présent règlement.

Lorsqu’il existe des indices de non-respect du présent règlement dans plusieurs États membres, les autorités de surveillance du marché devraient pouvoir mener des activités conjointes avec d’autres autorités, en vue de vérifier la conformité et d’identifier les risques de cybersécurité des produits comportant des éléments numériques.