Deployer au sens de l'AI Act : les obligations meconnues des entreprises qui UTILISENT l'IA en 2026

La majorite des articles sur l'EU AI Act se concentrent sur les fournisseurs — les entreprises qui developpent des systemes d'IA. Mais le reglement cree une seconde categorie d'acteurs tout aussi importante : les deployers (ou "deployeurs"), c'est-a-dire les entreprises qui utilisent des systemes d'IA dans un cadre professionnel.

Si votre entreprise utilise un logiciel de recrutement avec tri automatique de CV, un CRM predictif, un chatbot client, ChatGPT Team, Microsoft Copilot ou un outil d'analyse de donnees base sur l'IA, vous etes un deployer. Et vos obligations ne sont pas negligeables.

Deployer vs fournisseur : quelle difference ?

Le fournisseur (provider) est l'entite qui developpe ou fait developper un systeme d'IA et le met sur le marche. Le deployer est l'entite qui utilise ce systeme dans un contexte professionnel, sous sa propre autorite. La distinction est cruciale car elle determine qui porte quelles obligations.

Un cabinet de recrutement qui utilise un ATS avec scoring IA est deployer. L'editeur de l'ATS est fournisseur. Les deux ont des obligations distinctes mais complementaires. En pratique, la majorite des PME francaises sont des deployers : elles achetent ou souscrivent a des outils d'IA developpes par d'autres.

Les 6 obligations du deployer au 2 aout 2026

1. Inventaire de tous vos systemes d'IA

Votre premiere obligation est de savoir ce que vous utilisez. Recensez chaque outil, logiciel ou service qui integre de l'IA dans votre organisation. Incluez les outils evidents (chatbots, scoring) et les moins evidents (filtres anti-spam avances, recommandations produit, suggestions automatiques dans votre CRM). Pour chaque systeme, documentez : le nom du fournisseur, la finalite d'utilisation, les categories de personnes affectees et le niveau de risque selon l'AI Act.

2. Classification par niveau de risque

Chaque systeme doit etre classe selon les 4 niveaux de l'AI Act. Les deployers de systemes haut risque (recrutement IA, credit scoring, evaluation scolaire, triage medical) portent les obligations les plus lourdes. Les deployers de systemes a risque limite (chatbots, IA generative) doivent assurer la transparence. Attention : c'est le contexte d'utilisation qui determine le risque, pas l'outil lui-meme. Un LLM utilise pour generer des descriptions de produits = risque minimal. Le meme LLM utilise pour trier des candidatures = haut risque.

3. Supervision humaine effective (Article 14)

Pour les systemes haut risque, vous devez garantir qu'un humain competent supervise les decisions de l'IA. Concretement : toute decision significative generee par un systeme d'IA haut risque doit etre revisable, contestable et corrigeable par une personne qualifiee. Le "bouton de validation automatique" ne suffit pas — la supervision doit etre reelle et documentee.

4. Conservation des logs (Article 12)

Les deployers de systemes haut risque doivent conserver les logs generes automatiquement par le systeme. Ces journaux d'evenements doivent etre conserves pendant une duree adaptee a la finalite du systeme (minimum 6 mois recommande) et etre accessibles aux autorites de surveillance sur demande. En pratique, demandez a votre fournisseur comment acceder aux logs et exportez-les regulierement.

5. Transparence envers les personnes affectees

Pour tout systeme d'IA, les personnes affectees par les decisions doivent etre informees. Pour un chatbot : un message clair indiquant l'interaction avec une IA. Pour un systeme de scoring : informer le candidat, le client ou le patient que l'IA participe au processus de decision. Pour l'IA generative : signaler que le contenu est genere par l'IA quand il est susceptible d'etre pris pour du contenu humain.

6. Litteratie IA des equipes (Article 4)

Obligation souvent sous-estimee : le deployer doit garantir un niveau de competence suffisant pour toute personne qui manipule des systemes d'IA. En pratique, cela signifie former vos equipes — meme sommairement — sur le fonctionnement general de l'IA, ses limites, ses biais possibles et les reflexes de supervision. Un simple programme de sensibilisation interne (2 heures) suffit pour les systemes a risque minimal. Pour les systemes haut risque, une formation structuree est recommandee.

Le due diligence fournisseur : votre bouclier legal

En tant que deployer, vous avez le droit — et la responsabilite — de verifier que vos fournisseurs respectent leurs propres obligations. Avant de souscrire ou renouveler un outil d'IA, posez ces 5 questions :

1. Votre systeme est-il classe comme haut risque au sens de l'AI Act ?

2. Disposez-vous de la documentation technique conforme a l'Annexe IV ?

3. Quelles donnees d'entrainement avez-vous utilisees et comment la representativite est-elle assuree ?

4. Quels mecanismes de supervision humaine sont integres ?

5. Etes-vous enregistre dans la base de donnees europeenne pour les systemes haut risque ?

Si le fournisseur ne peut pas repondre, c'est un signal d'alarme. En cas de controle, c'est vous — le deployer — qui serez interroge sur ces points.

Les outils IA courants et leur classification

Pour vous aider a evaluer votre situation, voici la classification probable des outils les plus repandus en entreprise :

Haut risque : ATS avec scoring de CV (recrutement), logiciels de credit scoring, outils d'evaluation de performance des employes, systemes d'orientation scolaire, outils de triage medical, scoring d'eligibilite aux prestations sociales.

Risque limite (transparence) : chatbots et assistants virtuels clients, outils de generation de contenu (ChatGPT, Claude, Gemini), systemes de deepfake ou synthese vocale, moteurs de recommandation visibles.

Risque minimal : filtres anti-spam, correcteurs orthographiques IA, suggestions de recherche interne, categorisation automatique d'emails, recommandations internes non exposees aux clients.

PME de moins de 750 salaries : les allegements Omnibus

Le Digital Omnibus I (decembre 2025) a etendu aux entreprises de moins de 750 salaries les mesures initialement reservees aux PME stricto sensu. Ces allegements comprennent : acces aux bacs a sable reglementaires nationaux (en France : supervision de la CNIL), documentation simplifiee pour les systemes haut risque, et accompagnement technique par les autorites nationales. Ces allegements ne suppriment pas les obligations — ils les rendent plus accessibles. L'inventaire, la classification et la supervision humaine restent obligatoires.

Les sanctions pour les deployers

Les deployers sont soumis au meme regime de sanctions que les fournisseurs : jusqu'a 15 millions d'euros ou 3% du chiffre d'affaires mondial pour le non-respect des obligations. Pour les PME, les sanctions sont plafonnees mais restent significatives. La CNIL, designee autorite competente en France pour la surveillance, dispose des moyens de controle et de sanction.

Comment se mettre en conformite en 5 etapes

Etape 1 — Inventaire (1 semaine) : listez tous les outils IA utilises dans votre organisation. Impliquez chaque departement — le marketing peut utiliser un outil de personnalisation IA dont la DSI ignore l'existence.

Etape 2 — Classification (2 jours) : evaluez le niveau de risque de chaque systeme en fonction de votre contexte d'utilisation, pas du marketing du fournisseur.

Etape 3 — Due diligence fournisseur (1 semaine) : envoyez le questionnaire de conformite a chaque fournisseur de systeme haut risque.

Etape 4 — Supervision et formation (2 semaines) : mettez en place les mecanismes de supervision humaine et formez vos equipes.

Etape 5 — Documentation (continue) : constituez votre dossier de conformite : inventaire, classifications, reponses fournisseurs, registre de supervision, logs.

Notre plateforme MaConformite automatise les etapes 1 a 5 avec un diagnostic sectoriel guide, la generation automatique de l'inventaire, les checklists par article du reglement et la documentation Annexe IV pre-remplie. Commencez votre diagnostic gratuit en 3 minutes pour evaluer votre exposition.

FAQ — Deployers et EU AI Act

Mon entreprise utilise seulement ChatGPT Team. Suis-je concerne ?

Oui. ChatGPT est un systeme d'IA a usage general (GPAI). En tant que deployer, votre obligation principale est la transparence : si vous utilisez du contenu genere par ChatGPT vis-a-vis de tiers (clients, candidats), vous devez le signaler. Si vous l'utilisez pour prendre des decisions qui affectent des personnes (evaluation, scoring), le contexte peut le reclasser en haut risque.

Le fournisseur ne veut pas repondre a mes questions de conformite. Que faire ?

Documentez le refus. En cas de controle, montrer que vous avez fait preuve de diligence (questions envoyees, relances) vous protege partiellement. A terme, envisagez de changer de fournisseur pour un acteur conforme — la conformite AI Act deviendra un critere de selection standard d'ici fin 2026.

J'utilise un outil IA heberge aux Etats-Unis. L'AI Act s'applique-t-il ?

Oui. L'AI Act s'applique des que le systeme d'IA est utilise sur le territoire de l'Union europeenne, independamment de l'hebergement. C'est le lieu d'utilisation et les personnes affectees qui comptent, pas le lieu de developpement ou d'hebergement.

Combien coute la mise en conformite pour une PME ?

Pour une PME de 50 salaries utilisant 5 a 10 outils IA (dont 1-2 haut risque), comptez entre 2 000 et 10 000 euros en interne (temps passe) ou via un consultant. Notre plateforme MaConformite reduit ce cout de 60 a 80% grace a l'automatisation du diagnostic et de la documentation.