Le règlement sur la cyber-résilience (CRA) (1) crée un cadre horizontal de cybersécurité qui doit être articulé avec le règlement européen sur l’intelligence artificielle (RIA) (2) lorsque des produits comportant des éléments numériques intègrent des systèmes d’IA à haut risque.
Cette convergence impose aux fabricants une double conformité réglementaire dont les modalités précises sont définies par l’article 12 et le considérant 51 du CRA.
En effet, lorsqu’un produit numérique incorpore un système d’intelligence artificielle qualifié comme étant à haut risque au sens de l’article 6 du RIA, il relève simultanément des exigences de cybersécurité du CRA et des obligations spécifiques à l’IA. Le législateur européen a toutefois prévu un mécanisme de simplification : la conformité aux exigences essentielles de cybersécurité du CRA vaut présomption de conformité aux exigences de cybersécurité énoncées à l’article 15 du RIA, dans les limites couvertes par la déclaration UE de conformité établie au titre du CRA.
Présomption de conformité : articulation entre CRA et RIA
L’article 12 du CRA établit le principe selon lequel les produits comportant des éléments numériques classés comme systèmes d’IA à haut risque conformément à l’article 6 du RIA sont réputés conformes aux exigences de cybersécurité énoncées à l’article 15 du RIA lorsque trois conditions cumulatives sont remplies.
Premièrement, ces produits doivent satisfaire aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie I, du CRA. Cette annexe détaille les caractéristiques techniques que doivent présenter les produits comportant des éléments numériques en matière de sécurité dès la conception, de minimisation de la surface d’attaque, de protection contre les accès non autorisés, de confidentialité, d’intégrité et de disponibilité des données.
Deuxièmement, les processus mis en place par le fabricant doivent être conformes aux exigences essentielles de cybersécurité énoncées à l’annexe I, partie II, du CRA. Cette partie vise les obligations processuelles tout au long du cycle de vie du produit, notamment en matière de gestion des vulnérabilités, de fourniture de mises à jour de sécurité, et de traitement des incidents de cybersécurité.
Troisièmement, le niveau de cyberprotection requis à l’article 15 du RIA doit être démontré par la déclaration UE de conformité délivrée en vertu du CRA. Cette déclaration atteste que le fabricant a procédé à l’ensemble des vérifications nécessaires et que le produit respecte les exigences applicables.
Lorsque ces trois conditions sont réunies, le fabricant bénéficie d’une présomption de conformité aux exigences de cybersécurité du RIA. Cette simplification évite une double certification redondante sur des aspects strictement identiques. Toutefois, elle ne dispense pas le fabricant de respecter l’ensemble des autres obligations prévues par le RIA, notamment en matière de qualité des données, de transparence, de supervision humaine, ou encore de documentation technique spécifique aux systèmes d’IA.
Évaluation des risques cyber spécifiques à l’IA
Le considérant 51 du CRA précise que l’évaluation des risques de cybersécurité associés à un produit comportant des éléments numériques classé comme système d’IA à haut risque doit prendre en compte les risques propres à l’intelligence artificielle. Cette exigence s’impose pendant toutes les phases du cycle de vie du produit : planification, conception, développement, production, livraison et maintenance.
L’évaluation doit notamment intégrer les risques pour la cyberrésilience du système d’IA en cas de tentatives par des tiers non autorisés de modifier son utilisation, son comportement ou ses performances. Parmi les vulnérabilités propres à l’IA figurent l’empoisonnement des données (data poisoning), c’est-à-dire l’insertion de données malveillantes dans les jeux de données d’entraînement afin d’altérer le comportement du système, et les attaques adversaires (adversarial attacks), qui consistent à manipuler les entrées du système pour provoquer des erreurs de classification ou de prédiction.
Cette approche élargie de l’évaluation des risques de cybersécurité distingue les produits intégrant de l’IA des autres produits numériques. Le fabricant doit structurer son analyse de manière à identifier non seulement les vulnérabilités techniques classiques (failles logicielles, défauts de configuration, absence de chiffrement), mais également les vulnérabilités spécifiques aux algorithmes d’apprentissage automatique et aux modèles d’IA embarqués.
Le considérant 51 précise en outre que cette évaluation doit tenir compte, le cas échéant, des risques pour les droits fondamentaux, conformément au RIA. Cette mention renvoie à la dimension éthique et sociétale des systèmes d’IA à haut risque, qui peuvent affecter les droits des personnes en cas de défaillance ou de manipulation. L’évaluation des risques de cybersécurité doit ainsi intégrer une réflexion sur les conséquences d’une cyberattaque réussie en termes d’atteinte aux droits fondamentaux.
Procédures d’évaluation de la conformité : principe et exception
L’articulation entre le CRA et le RIA repose sur un principe général assorti d’une exception significative pour les produits importants et critiques.
Le principe, énoncé à l’article 12, paragraphe 2, du CRA, prévoit que pour les produits comportant des éléments numériques classés comme systèmes d’IA à haut risque, la procédure d’évaluation de la conformité pertinente prévue à l’article 43 du RIA s’applique. Autrement dit, c’est le régime du RIA qui prévaut pour l’évaluation de la conformité aux exigences de cybersécurité.
Cette règle simplifie le parcours du fabricant en évitant une double procédure d’évaluation. Les organismes notifiés compétents pour contrôler la conformité des systèmes d’IA à haut risque au titre du RIA sont également compétents pour contrôler la conformité de ces systèmes aux exigences énoncées à l’annexe I du CRA, à condition que la conformité de ces organismes aux exigences prévues par l’article 39 du CRA ait été évaluée dans le cadre de la procédure de notification prévue par le RIA.
Toutefois, le considérant 51 du CRA indique expressément que l’application de cette règle ne doit pas entraîner de réduction du niveau d’assurance nécessaire pour les produits importants ou critiques comportant des éléments numériques. En effet, ces produits, en raison de leur criticité, sont soumis à des procédures d’évaluation de la conformité renforcées au titre du CRA, impliquant l’intervention d’organismes notifiés selon des modalités strictes.
L’exception est donc formulée à l’article 12, paragraphe 3, du CRA. Les produits importants comportant des éléments numériques énumérés à l’annexe III du CRA, qui font l’objet des procédures d’évaluation de la conformité prévues par l’article 32 du CRA, ainsi que les produits critiques comportant des éléments numériques énumérés à l’annexe IV du CRA, qui doivent obtenir un certificat de cybersécurité européen ou, à défaut, qui font l’objet des procédures d’évaluation de la conformité prévues par l’article 32, paragraphe 3, du CRA, et qui sont également classés comme systèmes d’IA à haut risque auxquels s’applique la procédure d’évaluation de la conformité fondée sur le contrôle interne prévue à l‘annexe VI du RIA, sont soumis aux procédures d’évaluation de la conformité prévues par le CRA en ce qui concerne les exigences essentielles de cybersécurité.
En d’autres termes, pour ces produits importants ou critiques, la procédure d’évaluation de la conformité du CRA s’applique en priorité pour la partie cybersécurité, même si le produit est également un système d’IA à haut risque. Cette dérogation garantit que le niveau élevé d’assurance exigé par le CRA pour les produits les plus sensibles n’est pas dilué par l’application des procédures du RIA.
Coordination des autorités de surveillance du marché
L’article 52, paragraphe 14, du CRA organise la répartition des compétences entre les autorités de surveillance du marché pour les produits comportant des éléments numériques classés comme systèmes d’IA à haut risque.
Le principe retenu est celui de la compétence des autorités désignées au titre du CRA. Pour ces produits, les autorités de surveillance du marché désignées aux fins du RIA sont les autorités responsables des activités de surveillance du marché requises en vertu du CRA. Cette unification évite la fragmentation des contrôles et garantit une approche cohérente.
Toutefois, ces autorités désignées aux fins du RIA doivent coopérer, le cas échéant, avec les autorités de surveillance du marché désignées en vertu du CRA. Cette coopération s’impose notamment en ce qui concerne le contrôle de la mise en œuvre des obligations en matière de communication d’informations prévues à l’article 14 du CRA, qui concerne la notification des vulnérabilités exploitées et des incidents graves. Dans ce cadre, les autorités désignées au titre du RIA collaborent avec les CSIRT (Computer Security Incident Response Teams) désignés comme coordinateurs et avec l’ENISA (Agence de l’Union européenne pour la cybersécurité).
L’article 52, paragraphe 14, du CRA précise également que les autorités de surveillance du marché désignées en vertu du RIA informent les autorités de surveillance du marché désignées en vertu du CRA de toute conclusion pertinente pour la réalisation de leurs tâches liées à la mise en œuvre du CRA. Cette obligation d’information garantit que les autorités compétentes en matière de cybersécurité disposent des éléments nécessaires pour exercer leurs missions, même lorsque la surveillance principale est assurée par les autorités IA.
Conclusion
L’articulation entre le CRA et le RIA repose sur un mécanisme juridique précis, fondé sur le principe de présomption de conformité et l’application prioritaire des procédures du RIA, sauf pour les produits importants et critiques. Cette architecture normative vise à éviter les redondances tout en garantissant un niveau élevé de protection pour les produits les plus sensibles.
Les fabricants doivent désormais intégrer cette double dimension réglementaire dès la conception de leurs produits. L’évaluation des risques de cybersécurité doit impérativement couvrir les vulnérabilités propres à l’IA, et le choix de la procédure d’évaluation de la conformité doit être opéré avec rigueur en fonction de la qualification du produit.
- Règlement (UE) 2024/2847 du Parlement européen et du Conseil du 23 octobre 2024 concernant des exigences de cybersécurité horizontales pour les produits comportant des éléments numériques (règlement sur la cyberrésilience).
- Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle (règlement sur l’intelligence artificielle).
Avocate
Directrice du département Informatique contentieux complexe
Avocate
Collaboratrice du département Informatique contentieux complexe
