L'EU AI Act répartit les obligations entre les fournisseurs (qui construisent les systèmes IA) et les déployeurs (qui les mettent en œuvre). Comprendre votre rôle détermine votre charge de conformité — et votre capacité à transférer la responsabilité à une autre partie.
L'architecture à deux acteurs de l'EU AI Act
L'EU AI Act ne crée pas une obligation universelle unique pour tous les acteurs de l'IA. Il distingue systématiquement deux rôles principaux dans la chaîne de valeur IA :
- Les fournisseurs — les entités qui développent, entraînent ou affinent des systèmes IA et les mettent sur le marché
- Les déployeurs — les entités qui exploitent des systèmes IA dans un contexte professionnel sans les avoir construits
Cette distinction n'est pas sémantique. Elle détermine quelles obligations s'appliquent, qui détient quelle documentation, qui s'enregistre dans la base de données UE de l'IA, qui effectue l'évaluation de la conformité, et qui est responsable en cas de problème. Identifier correctement votre rôle est la première étape de tout programme de conformité à l'EU AI Act.
Un troisième rôle — le mandataire autorisé — s'applique aux fournisseurs établis hors de l'UE qui doivent désigner un représentant basé dans l'UE pour porter leurs obligations réglementaires sur le territoire européen.
Définir le fournisseur (Art. 3(3))
Un fournisseur est toute personne physique ou morale, autorité publique, agence ou autre organisme qui :
- Développe un système IA ou le fait développer, et
- Le place sur le marché ou le met en service sous son propre nom ou marque — que ce soit à titre onéreux ou gratuit
Les indicateurs clés du statut de fournisseur sont la responsabilité de développement et la mise sur le marché. Un laboratoire IA qui construit et licence un modèle de scoring de crédit est un fournisseur. Un cabinet de conseil qui conçoit et construit un outil de présélection de candidatures pour un client, puis le lui remet, est également un fournisseur (tant qu'il met le système sur le marché sous son propre nom ; si le système est construit sous la marque du client, c'est le client qui peut être le fournisseur).
La définition couvre :
- Les startups IA et éditeurs de logiciels vendant des produits IA packagés
- Les entreprises construisant des systèmes IA pour un déploiement interne
- Les institutions de recherche publiant des systèmes IA à usage général
- Les prestataires cloud offrant de l'IA-as-a-service sous leur propre marque
Les fournisseurs supportent la charge de conformité la plus lourde aux termes de l'AI Act. Pour les systèmes à haut risque, cela inclut la réalisation d'évaluations de conformité, la préparation de la documentation technique, l'enregistrement dans la base de données UE de l'IA, l'apposition du marquage CE, et la mise en place d'un système de surveillance après commercialisation.
Définir le déployeur (Art. 3(4))
Un déployeur est toute personne physique ou morale, autorité publique, agence ou autre organisme qui utilise un système IA sous son autorité à des fins professionnelles — sauf lorsque l'utilisation s'inscrit dans une activité personnelle non professionnelle.
Les déployeurs ne construisent pas de systèmes IA. Ils utilisent des systèmes construits par d'autres — achetés sur étagère, licenciés via API, ou intégrés dans un produit SaaS. La grande majorité des organisations européennes qui "utilisent l'IA" sont des déployeurs : entreprises utilisant ChatGPT ou Claude via API, services RH utilisant un outil de suivi des candidatures alimenté par l'IA, hôpitaux utilisant des outils de diagnostic assistés par IA, banques utilisant des modèles de crédit fournis par des éditeurs.
Principales obligations du déployeur (pour les systèmes IA à haut risque) :
- Utiliser le système uniquement conformément aux instructions fournies par le fournisseur (Art. 26(1))
- Désigner une personne compétente, disposant de l'autorité et des ressources nécessaires pour assurer la surveillance humaine (Art. 26(2))
- S'assurer que les données d'entrée sont pertinentes et représentatives pour la finalité prévue (Art. 26(5))
- Surveiller le fonctionnement du système pour détecter les anomalies (Art. 26(5))
- Conserver les journaux produits par le système pendant la durée requise (Art. 26(6))
- Notifier le fournisseur et l'autorité compétente de tout incident grave (Art. 26(8))
- Réaliser une Analyse d'Impact sur la Protection des Données lorsque le RGPD l'exige (Art. 26(9))
Les déployeurs de systèmes de reconnaissance d'émotions et de catégorisation biométrique doivent également respecter les obligations de transparence de l'Art. 50 quel que soit le niveau de risque.
La frontière fournisseur-déployeur en pratique
La frontière entre fournisseur et déployeur est claire en théorie mais souvent floue en pratique. Trois scénarios illustrent les zones grises courantes :
Scénario 1 : SaaS sur étagère sans personnalisation
Une entreprise souscrit à une plateforme de présélection RH alimentée par IA sans aucune modification. L'éditeur est le fournisseur. L'entreprise est le déployeur. L'éditeur doit à l'entreprise les instructions d'utilisation, la documentation de conformité et la capacité de journalisation. L'entreprise doit à ses employés transparence et surveillance humaine.
Scénario 2 : Intégration API avec ingénierie de prompt substantielle
Une entreprise intègre un modèle GPAI via API, ajoute un prompt système personnalisé, construit une interface utilisateur et commercialise l'application auprès de ses clients. Pour le modèle GPAI sous-jacent, le développeur d'origine est le fournisseur. Pour l'application construite par-dessus, l'entreprise est le fournisseur — elle a développé un système IA et le place sur le marché sous sa propre marque. Les obligations de fournisseur et les obligations GPAI s'appliquent à des niveaux différents.
Scénario 3 : Construction interne sur mesure
Une banque construit son propre modèle d'évaluation de la solvabilité, l'entraîne sur des données propriétaires et le déploie en interne pour les décisions de prêt. La banque est simultanément le fournisseur (elle a construit et déployé le système) et le déployeur (elle exploite le système à ses propres fins). Toutes les obligations du fournisseur au titre de l'AI Act s'appliquent — y compris l'évaluation de la conformité pour ce cas d'usage à haut risque de l'Annexe III — ainsi que toutes les obligations du déployeur.
Quand les déployeurs deviennent fournisseurs (Art. 25)
L'Art. 25 établit des déclencheurs clairs par lesquels un déployeur assume le statut de fournisseur et hérite de toutes ses obligations :
- Modification substantielle — le déployeur apporte une modification substantielle à un système IA à haut risque au-delà de ce que le fournisseur d'origine avait prévu
- Changement de finalité entraînant une classification haut risque — le déployeur utilise un système non-haut-risque d'une manière répondant aux critères haut risque de l'Annexe III
- Mise sur le marché sous son propre nom — le déployeur place le système IA sur le marché ou le met en service sous son propre nom ou marque
- Modification de modèle GPAI — un déployeur qui apporte une modification majeure à un modèle GPAI altérant son cas d'usage général
Lorsque l'Art. 25 est déclenché, les obligations du fournisseur d'origine sont transférées au nouveau fournisseur. Le fournisseur d'origine est libéré de ses obligations pour le système modifié ou dont la finalité a changé. C'est un mécanisme important d'allocation de responsabilité : les organisations qui ne font que personnaliser un système doivent comprendre où la personnalisation finit et où la modification substantielle commence.
Tableau comparatif des obligations
| Obligation | Fournisseur | Déployeur |
|---|---|---|
| Évaluation de la conformité (Annexe VI/VII) | Oui | Non |
| Documentation technique (Annexe IV) | Oui | Non |
| Marquage CE et déclaration UE de conformité | Oui | Non |
| Enregistrement dans la base de données UE de l'IA | Oui (Art. 49) | Oui (organismes publics, Art. 49(2)) |
| Instructions d'utilisation | Doit fournir | Doit respecter |
| Plan de surveillance après commercialisation | Doit établir | Doit soutenir |
| Déclaration d'incident grave | À l'ASM (Art. 73) | Au fournisseur (Art. 26(8)) |
| Mesures de surveillance humaine | Doit implémenter dans la conception | Doit implémenter dans l'exploitation |
| Capacité de journalisation | Doit intégrer | Doit activer et conserver |
| Évaluation d'impact sur les droits fondamentaux | Non | Oui (organismes publics, Art. 27) |
| AIPD RGPD (le cas échéant) | Oui | Oui |
Comment déterminer votre rôle
Trois questions permettent d'établir votre rôle au titre de l'EU AI Act :
-
Avez-vous développé le système IA, ou l'avez-vous fait développer sous votre direction ? Si oui — et si vous l'avez mis sur le marché ou en service — vous êtes fournisseur.
-
Utilisez-vous un système IA construit par quelqu'un d'autre à des fins professionnelles ? Si oui, vous êtes déployeur.
-
Avez-vous substantiellement modifié, changé la finalité ou rebrandé un système IA ? Si oui, vous pouvez être devenu fournisseur de ce système modifié au titre de l'Art. 25.
Pour les organisations qui sont les deux — construction interne pour usage interne — toutes les obligations s'accumulent. Il n'existe pas de réduction pour les opérations intégrées.
Allocation contractuelle des responsabilités
L'AI Act permet aux fournisseurs et déployeurs d'allouer contractuellement certaines obligations spécifiques. L'Art. 25(1) le permet explicitement pour certaines obligations. Cependant, deux limites s'appliquent :
- La responsabilité réglementaire ne peut pas être contractuellement externalisée. Si le déployeur exploite un système à haut risque, il reste responsable de ses obligations de déployeur quel que soit le contrat. Les contrats peuvent établir un recours interne mais ne peuvent pas transférer la responsabilité réglementaire à l'autre partie.
- Le flux d'information doit être préservé. Toute allocation doit garantir que le déployeur dispose des informations nécessaires à l'exécution de ses obligations — instructions d'utilisation, accès aux journaux, canaux de notification d'incidents. Les contrats qui bloquent ce flux d'information sont problématiques pour la conformité, pas seulement commercialement.
Les équipes achats devraient utiliser les contrats avec les fournisseurs IA pour s'assurer que les fournisseurs apportent ce dont les déployeurs ont besoin : instructions, documentation de conformité, canaux de notification d'incidents, engagements de mise à jour, et clauses de gouvernance des données pour toute donnée partagée en vue d'un fine-tuning.
Calendrier officiel de conformité AI Act
Mis à jour le · Sources : Règlement (UE) 2024/1689 et Digital Omnibus AI 2026.
| Obligation | S'applique à | Date initiale | Nouvelle date | Statut | Compte à rebours | Base légale |
|---|---|---|---|---|---|---|
| Pratiques interdites (Art. 5) | Tous les fournisseurs et déployeurs | active | — | AI Act Art. 5 | ||
| Règles GPAI (chapitre 5) | Fournisseurs de modèles GPAI | active | — | AI Act Art. 51-56 | ||
| IA à haut risque — Annexe III (autonomes) | Fournisseurs de systèmes autonomes Annexe III | deferred | — | Omnibus AI 2026 Art. 6(2) | ||
| IA à haut risque — Annexe I (embarquée) | Systèmes IA embarqués dans produits réglementés Annexe I | deferred | — | Omnibus AI 2026 Art. 6(1) | ||
| Marquage contenu IA (transparence) | Fournisseurs de systèmes GPAI génératifs | active | — | AI Act Art. 50(2) | ||
| Bacs à sable réglementaires | Autorités nationales compétentes | active | — | AI Act Art. 57 |
⬇ Télécharger JSON · CC BY 4.0
Convergence AI Act – DORA – NIS2
Votre organisation est-elle soumise à la fois à l'AI Act et à DORA ? Les deux règlements se croisent sur la résilience opérationnelle des systèmes d'IA financiers. Notre site jumeau regulation-dora.eu couvre DORA en profondeur.
Explorer regulation-dora.eu ↗Questions fréquentes
Un fournisseur (Art. 3(3)) est toute entité qui développe un système IA ou le fait développer, et le place sur le marché ou le met en service sous son propre nom ou marque. Un déployeur (Art. 3(4)) est toute entité qui utilise un système IA sous son autorité à des fins professionnelles — sans l'avoir construit. Le fournisseur conçoit le système ; le déployeur l'exploite. Tous deux ont des obligations distinctes.
Oui. Une entreprise qui construit un système IA à haut risque pour usage interne est à la fois fournisseur (elle a développé le système) et déployeur (elle l'exploite). Cela se produit fréquemment lorsqu'une organisation construit un outil de sélection RH ou un modèle de scoring de crédit pour ses propres opérations. Dans ce cas, toutes les obligations du fournisseur et toutes celles du déployeur s'appliquent simultanément.
Un déployeur devient fournisseur selon l'Art. 25 lorsqu'il : modifie substantiellement un système IA à haut risque ; change la finalité prévue d'un système non-haut-risque de sorte à le rendre haut risque ; place le système sur le marché sous son propre nom ou marque ; ou effectue une modification majeure d'un modèle GPAI le plaçant dans un nouveau cas d'usage. Une fois ce seuil franchi, les obligations de l'ancien fournisseur sont transférées en totalité au nouveau fournisseur.
Pour les systèmes IA à haut risque, les fournisseurs doivent fournir au déployeur : les instructions d'utilisation (Art. 13) incluant la description du système, la finalité prévue, les caractéristiques de performance, les limitations, les scénarios de mauvaise utilisation prévisibles et les mesures techniques nécessaires à un déploiement sûr. Ils doivent aussi donner accès aux capacités de journalisation et un support technique. Les fournisseurs de modèles GPAI doivent remettre un résumé des données d'entraînement et des capacités nécessaires à la conformité en aval.
Restez informé des évolutions AI Act
Recevez les alertes compliance quand les délais ou obligations changent.
Pas de spam. Désabonnement en un clic.