90% des entreprises qui utilisent l'IA sont des déployeurs intégrant des modèles tiers — OpenAI, Anthropic, Azure AI ou des outils IA SaaS. Comprendre vos obligations : ce que le fournisseur doit vous fournir, ce que vous devez faire, et quand vous devenez vous-même fournisseur.
La réalité de l'IA tierce : 90 % des entreprises ne développent pas leur propre modèle
La majorité des entreprises européennes utilisant l'IA ne sont ni OpenAI, ni Mistral, ni un laboratoire de recherche. Elles intègrent des modèles existants — via une API, une plateforme SaaS, une brique Azure AI ou un plugin d'outil métier. Salesforce Einstein, Copilot for Microsoft 365, un chatbot RH alimenté par un LLM, une solution de scoring de crédit achetée à un éditeur spécialisé : dans tous ces cas, vous êtes déployeur d'un système IA construit par quelqu'un d'autre.
Cette position est celle de la grande majorité des organisations concernées par l'EU AI Act. Elle emporte des obligations précises — différentes de celles du fournisseur, mais non négligeables. Elle peut aussi évoluer : si vous modifiez le système ou le revendez, votre statut juridique change.
Comprendre votre position dans la chaîne de valeur IA est la première étape de toute démarche de conformité.
Votre position dans la chaîne de valeur IA
L'EU AI Act distingue deux acteurs principaux — fournisseurs et déployeurs — mais la réalité industrielle est plus nuancée. Trois configurations sont courantes :
Configuration 1 — Déployeur pur Vous achetez ou louez un système IA clé en main (outil SaaS, solution éditeur) et l'utilisez tel quel dans votre contexte professionnel. Vous ne modifiez ni le modèle, ni les paramètres fondamentaux, ni la finalité. Exemple : un service RH qui utilise un outil d'analyse de CV acheté à un éditeur. Vous êtes déployeur. Vos obligations portent sur l'usage, la supervision humaine, la tenue des journaux et le signalement des incidents.
Configuration 2 — Constructeur sur GPAI (API/LLM) Vous accédez à un modèle de fondation via API (GPT-4o, Claude, Gemini, Mistral…) et construisez votre propre application au-dessus. Vous definissez le prompt système, la logique métier, les interfaces utilisateur et la finalité concrète. Exemple : un cabinet d'avocats qui développe un assistant de recherche juridique sur l'API d'Anthropic. Vous êtes fournisseur de votre application IA — et déployeur du modèle GPAI sous-jacent. Vos obligations s'accumulent : celles du fournisseur pour votre application, celles du déployeur pour le modèle GPAI.
Configuration 3 — Revendeur ou intégrateur Vous prenez un système IA tiers et le commercialisez auprès de vos propres clients, parfois avec une personnalisation légère. Exemple : un intégrateur qui revend une solution de reconnaissance faciale sous son propre nom. Selon le degré de modification et la marque apposée, vous pouvez être requalifié en fournisseur à part entière, avec toutes les obligations associées — documentation technique, évaluation de conformité, marquage CE.
Utilisez le classificateur de risque IA pour déterminer le niveau de risque du système que vous déployez et identifier précisément vos obligations.
Obligations du déployeur lors de l'utilisation d'IA à haut risque
Si le système IA que vous utilisez est classé à haut risque au titre de l'Annexe III ou de l'Annexe I, l'Article 26 vous impose huit obligations distinctes. Ces obligations s'appliquent même si vous n'avez pas développé le système.
1. Respecter les instructions d'utilisation du fournisseur (Art. 26(1)) Vous devez utiliser le système uniquement selon les instructions fournies par le fournisseur. Utiliser un système à haut risque au-delà de sa destination prévue vous expose à une responsabilité directe.
2. Mettre en place une supervision humaine (Art. 26(2)) Les mesures de supervision humaine définies par le fournisseur dans les instructions d'utilisation doivent être effectives. Cela implique de désigner des personnes formées, de définir des processus d'escalade et de documenter les interventions.
3. Surveiller le système (Art. 26(5)) Vous devez surveiller le fonctionnement du système sur la base des instructions d'utilisation. Si vous constatez des risques pour la santé, la sécurité ou les droits fondamentaux, vous devez informer le fournisseur et, si nécessaire, l'autorité nationale compétente.
4. Conserver les journaux automatiquement générés (Art. 26(6)) Les systèmes IA à haut risque génèrent automatiquement des journaux d'événements. Vous devez les conserver pendant une durée minimale de six mois, sauf si la loi applicable impose une durée différente. Ces journaux peuvent être exigés par les autorités en cas d'incident.
5. Informer les personnes concernées (Art. 26(8)) Lorsque des personnes physiques sont soumises à une décision d'un système IA à haut risque, vous devez les informer clairement de cette utilisation — sauf disposition légale contraire.
6. Réaliser une analyse d'impact sur les droits fondamentaux (Art. 27) Avant de déployer un système IA à haut risque, les déployeurs qui sont des organismes publics ou qui opèrent des services critiques doivent réaliser une évaluation d'impact sur les droits fondamentaux. Elle doit être enregistrée dans la base de données EUAIA.
7. Signaler les incidents graves (Art. 26(5) et Art. 73) Tout incident grave ou dysfonctionnement présentant un risque pour la santé, la sécurité ou les droits fondamentaux doit être signalé au fournisseur immédiatement, et à l'autorité nationale compétente sans délai injustifié.
8. Coopérer avec les autorités de surveillance du marché (Art. 26(4)) Sur demande d'une autorité compétente, vous devez fournir toutes les informations pertinentes relatives à votre utilisation du système, y compris les journaux et les résultats de supervision.
Ce que le fournisseur doit vous fournir
L'EU AI Act crée des obligations de transmission d'information du fournisseur vers le déployeur. Si votre prestataire ne vous fournit pas ces éléments, il est en défaut de ses propres obligations réglementaires — ce qui devrait vous alerter sur sa conformité globale.
Pour les systèmes IA à haut risque (Art. 13) Le fournisseur doit vous remettre des instructions d'utilisation claires et complètes, incluant : la description de la destination prévue, les performances attendues selon les populations et contextes d'usage, les mesures de supervision humaine recommandées, les limitations connues, les données d'entrée requises, et les conditions d'utilisation sûre.
Pour les modèles GPAI (Art. 53) Les fournisseurs de modèles de fondation doivent fournir aux déployeurs en aval les informations techniques nécessaires pour assurer leur propre conformité. Cela inclut une documentation sur la nature et les capacités du modèle, les types de données utilisées en entraînement (de manière agrégée), les résultats des évaluations et les limitations identifiées.
Consultez notre guide sur la documentation technique pour comprendre le niveau de détail attendu dans ces transmissions.
Due diligence contractuelle : liste de contrôle des clauses à inclure
Le contrat avec votre prestataire IA tiers est votre premier outil de conformité. Il ne vous exonère pas de vos obligations réglementaires, mais il vous permet d'obtenir ce dont vous avez besoin pour les remplir — et de répartir la responsabilité en cas d'incident.
Clauses essentielles à inclure dans tout contrat IA tiers :
- Description précise du système — destination prévue, capacités, architecture générale et version
- Classification de risque EU AI Act — le prestataire doit confirmer par écrit la classification de son système et mettre à jour cette information en cas de changement
- Fourniture des instructions d'utilisation — obligation contractuelle de fournir les instructions Art. 13 dans la langue applicable, et de les mettre à jour
- Documentation de conformité — accès à la déclaration de conformité UE ou au résumé de l'évaluation de conformité pour les systèmes à haut risque
- Limitations connues et résultats des tests — métriques de performance, résultats des tests de biais, taux d'erreur par population
- Procédures de signalement d'incidents — délais et canaux de notification mutuelle en cas d'incident, dysfonctionnement ou changement significatif du système
- Audits et coopération — droit du déployeur d'auditer ou de faire auditer le prestataire, et obligation de coopérer avec les autorités
- Gestion des changements — notification préalable en cas de modification substantielle du système susceptible d'affecter sa classification ou ses performances
- Mandataire autorisé UE — confirmation que le prestataire non-UE dispose d'un mandataire autorisé (Art. 22) et ses coordonnées
- Répartition des responsabilités — clause explicite précisant qui supporte quelles obligations, sans pour autant prétendre transférer des obligations réglementaires
Quand vous devenez fournisseur
La frontière entre déployeur et fournisseur n'est pas toujours évidente. L'Article 25 définit les conditions dans lesquelles un déployeur bascule vers le statut de fournisseur — avec toutes les obligations qui en découlent.
Vous devenez fournisseur si vous :
- Mettez le système sur le marché ou en service sous votre propre nom ou marque, quelle que soit la modification apportée
- Apportez une modification substantielle au système IA à haut risque — un changement affectant sa conformité avec les exigences du Chapitre III ou modifiant sa destination prévue
- Changez la destination prévue d'un système IA non classifié à haut risque de manière à le faire entrer dans la catégorie haut risque
La notion de modification substantielle est centrale. Reconfigurer un modèle GPAI avec un prompt système qui en change radicalement la finalité, le connecter à des bases de données sensibles ou l'intégrer dans un processus décisionnel à fort impact peut constituer une modification substantielle. À l'inverse, une personnalisation cosmétique (interface, langue, ton) ne l'est généralement pas.
En cas de doute, consultez l'outil de classification et demandez une analyse juridique avant tout déploiement commercial.
Étapes pratiques : programme de conformité IA tierce
La conformité aux obligations de déployeur ne requiert pas un département juridique dédié, mais elle exige une démarche structurée. Voici les étapes d'un programme minimal et efficace :
Étape 1 — Inventorier tous les systèmes IA tiers utilisés Recenser chaque outil, API, plugin et solution SaaS utilisant de l'IA dans votre organisation. Inclure les usages métier décentralisés — les achats d'outils IA par des équipes individuelles sont courants et souvent non tracés par la DSI.
Étape 2 — Classifier chaque système Pour chaque système inventorié, déterminer sa classification EU AI Act : interdit, haut risque (Annexe I ou III), risque limité (Art. 50) ou risque minimal. Utiliser le classificateur de risque IA comme point de départ.
Étape 3 — Mettre à jour les contrats prestataires Pour chaque prestataire concerné par un système à haut risque ou un modèle GPAI, initier une renégociation ou un avenant pour inclure les clauses listées ci-dessus. Fixer un délai contractuel de réponse.
Étape 4 — Collecter la documentation de conformité Demander et archiver les instructions d'utilisation, déclarations de conformité et documentation technique disponibles. Créer un registre des systèmes IA avec les dates de mise à jour de cette documentation.
Étape 5 — Mettre en place la supervision humaine Pour chaque système à haut risque, formaliser les processus de supervision : qui supervise, avec quelle fréquence, comment les décisions du système peuvent être contestées ou annulées. Documenter ces processus.
Étape 6 — Configurer la conservation des journaux Vérifier que les journaux générés automatiquement sont conservés pendant au minimum six mois, et qu'ils sont accessibles sur demande d'une autorité. Intégrer cette conservation dans votre politique de gestion des données.
Étape 7 — Établir un processus de signalement des incidents Définir en interne qui est responsable du signalement d'incidents, avec quels délais, et vers quels canaux (prestataire, autorité nationale). Tester ce processus au moins une fois par an.
Étape 8 — Former les utilisateurs opérationnels Les personnes utilisant des systèmes IA à haut risque dans leur travail quotidien doivent comprendre les limites du système, les signes d'un dysfonctionnement et leur rôle dans la supervision humaine. Une formation annuelle documentée est la norme minimale.
La position de déployeur est celle de la majorité des entreprises européennes — et elle n'est pas passive. Connaitre vos obligations, structurer vos relations contractuelles avec vos prestataires et mettre en place une supervision effective sont les trois piliers d'une conformité EU AI Act réaliste pour les organisations qui utilisent l'IA sans la développer elles-mêmes.
Pour aller plus loin, consultez notre guide sur les rôles fournisseurs et déployeurs, la documentation technique attendue et l'outil de classification du risque IA.
Calendrier officiel de conformité AI Act
Mis à jour le · Sources : Règlement (UE) 2024/1689 et Digital Omnibus AI 2026.
| Obligation | S'applique à | Date initiale | Nouvelle date | Statut | Compte à rebours | Base légale |
|---|---|---|---|---|---|---|
| Pratiques interdites (Art. 5) | Tous les fournisseurs et déployeurs | active | — | AI Act Art. 5 | ||
| Règles GPAI (chapitre 5) | Fournisseurs de modèles GPAI | active | — | AI Act Art. 51-56 | ||
| IA à haut risque — Annexe III (autonomes) | Fournisseurs de systèmes autonomes Annexe III | deferred | — | Omnibus AI 2026 Art. 6(2) | ||
| IA à haut risque — Annexe I (embarquée) | Systèmes IA embarqués dans produits réglementés Annexe I | deferred | — | Omnibus AI 2026 Art. 6(1) | ||
| Marquage contenu IA (transparence) | Fournisseurs de systèmes GPAI génératifs | active | — | AI Act Art. 50(2) | ||
| Bacs à sable réglementaires | Autorités nationales compétentes | active | — | AI Act Art. 57 |
⬇ Télécharger JSON · CC BY 4.0
Convergence AI Act – DORA – NIS2
Votre organisation est-elle soumise à la fois à l'AI Act et à DORA ? Les deux règlements se croisent sur la résilience opérationnelle des systèmes d'IA financiers. Notre site jumeau regulation-dora.eu couvre DORA en profondeur.
Explorer regulation-dora.eu ↗Questions fréquentes
Oui, en tant que déployeurs. Le fournisseur de l'API (OpenAI, Anthropic) est le fournisseur du modèle GPAI et supporte les obligations GPAI. Si vous construisez une application sur leur API et la mettez à disposition d'utilisateurs, vous devenez fournisseur de cette application (un système IA). Vous avez des obligations de déployeur vis-à-vis du modèle GPAI sous-jacent, et des obligations de fournisseur pour votre propre système IA.
Pour les systèmes IA à haut risque : le prestataire (en tant que fournisseur) doit fournir les instructions d'utilisation (Art. 13), et un résumé de l'évaluation de conformité ou la déclaration de conformité. Pour les modèles GPAI : les fournisseurs doivent fournir la documentation technique et les informations nécessaires pour la conformité en aval. Exigez contractuellement : description du système, limitations connues, résultats des tests de biais, métriques de performance et procédures de signalement d'incidents.
Contractuellement, vous pouvez répartir la responsabilité entre les parties — mais la responsabilité réglementaire ne peut pas être externalisée par contrat. Si vous déployez un système IA à haut risque, vous avez des obligations de déployeur quelle que soit votre convention. Utilisez les contrats pour vous assurer que le fournisseur vous donne ce dont vous avez besoin pour remplir vos obligations, pas pour y échapper.
L'EU AI Act s'applique aux systèmes IA mis sur le marché européen quelle que soit l'établissement du fournisseur. Les fournisseurs non-UE doivent désigner un mandataire autorisé dans l'UE (Art. 22) qui a les mêmes obligations légales qu'un fournisseur établi dans l'UE. Vérifiez que le prestataire dispose d'un mandataire autorisé avant de déployer son système IA.
Restez informé des évolutions AI Act
Recevez les alertes compliance quand les délais ou obligations changent.
Pas de spam. Désabonnement en un clic.