EU AI Act : fournisseur, deployeur ou importateur ? Identifiez votre role et vos obligations

L'EU AI Act ne traite pas toutes les entreprises de la meme maniere. Vos obligations de conformite dependent d'un facteur determinant : votre role dans la chaine de valeur de l'IA. Etes-vous celui qui developpe le systeme ? Celui qui l'utilise ? Celui qui l'importe d'un pays tiers ? Chaque role a des obligations distinctes — et les confondre peut couter jusqu'a 35 millions d'euros d'amende.

Les quatre roles definis par l'AI Act

Le fournisseur (provider)

Le fournisseur est la personne physique ou morale qui developpe un systeme d'IA ou un modele d'IA a usage general et le met sur le marche ou en service sous son propre nom ou sa propre marque. C'est le role qui porte la responsabilite principale sous l'AI Act.

Exemples concrets : un editeur de logiciel qui developpe un outil de scoring credit automatise, une startup qui cree un chatbot de diagnostic medical, une entreprise qui entraine un modele de detection de fraude pour le vendre a des banques.

Le critere cle est la mise sur le marche sous son propre nom. Si vous developpez un systeme IA en interne pour votre propre usage, vous etes a la fois fournisseur et deployeur de ce systeme.

Le deployeur (deployer)

Le deployeur est une personne physique ou morale qui utilise un systeme d'IA sous sa propre autorite, sauf lorsque le systeme est utilise dans le cadre d'une activite personnelle non professionnelle. C'est le role le plus frequent pour les entreprises francaises.

Exemples concrets : une entreprise qui utilise un outil de tri de CV automatise achete a un editeur, un hopital qui deploie un logiciel d'aide au diagnostic radiologique, une banque qui utilise un systeme de scoring credit fourni par un tiers, une PME qui integre ChatGPT ou Copilot dans ses processus metier.

L'expression sous sa propre autorite est determinante. Un employe qui utilise l'outil dans le cadre de son travail n'est pas un deployeur — c'est l'entreprise qui l'emploie qui est le deployeur. Les clients finaux qui interagissent avec l'IA (patients, candidats, consommateurs) ne sont pas des deployeurs non plus.

L'importateur

L'importateur est la personne physique ou morale etablie dans l'Union europeenne qui met sur le marche un systeme d'IA portant le nom ou la marque d'un fournisseur etabli dans un pays tiers.

Exemple : une societe francaise qui distribue en Europe un outil IA developpe par une entreprise americaine ou chinoise. L'importateur doit verifier que le fournisseur hors-UE a effectue les evaluations de conformite requises avant la mise sur le marche.

Le distributeur

Le distributeur est un intermediaire dans la chaine d'approvisionnement qui met un systeme d'IA a disposition sur le marche sans modifier substantiellement le systeme. Il n'est ni le fournisseur ni l'importateur.

Son role principal est de verifier que le systeme IA porte bien le marquage CE (pour les systemes haut risque) et que la documentation d'accompagnement est conforme avant de le commercialiser.

Obligations par role : ce que chacun doit faire

Obligations du fournisseur (les plus lourdes)

Le fournisseur de systeme d'IA a haut risque doit mettre en place un systeme de gestion des risques documente et mis a jour en continu, un systeme de gestion de la qualite couvrant l'ensemble du cycle de vie du systeme, une documentation technique complete (Annexe IV de l'AI Act), des tests et une validation avant la mise sur le marche, un marquage CE et une declaration de conformite, un enregistrement dans la base de donnees europeenne de l'IA, et un systeme de surveillance post-commercialisation.

Pour les systemes a risque limite (la majorite des outils IA en entreprise), le fournisseur a des obligations de transparence (Article 50) : informer que l'utilisateur interagit avec une IA, identifier les contenus generes par IA (watermarking), et fournir une description du fonctionnement du systeme.

Obligations du deployeur

Le deployeur de systeme d'IA a haut risque doit utiliser le systeme conformement aux instructions d'utilisation du fournisseur, garantir que les personnes physiques chargees de la supervision humaine sont formees et competentes, s'assurer que les donnees d'entree sont pertinentes et representatives au regard de la finalite du systeme, surveiller le fonctionnement du systeme et signaler tout incident grave au fournisseur et aux autorites, realiser une analyse d'impact sur les droits fondamentaux (AIPD) avant la mise en service, et informer les representants du personnel de l'utilisation du systeme sur le lieu de travail.

Pour les systemes a risque limite, le deployeur doit informer de maniere claire les personnes qui interagissent avec le systeme IA (par exemple, indiquer qu'un chatbot est une IA, pas un humain). Si le systeme genere des deepfakes ou du contenu synthetique, le deployeur doit le signaler explicitement.

Obligations de l'importateur

L'importateur doit verifier que le fournisseur hors-UE a effectue l'evaluation de conformite, que la documentation technique est disponible, que le marquage CE est appose, et que le fournisseur a designe un mandataire dans l'Union. En cas de non-conformite detectee, l'importateur ne doit pas mettre le systeme sur le marche.

Cas pratiques : comment determiner votre role

Cas 1 : Vous utilisez ChatGPT/Copilot dans vos processus

Vous etes deployeur. OpenAI (ou Microsoft) est le fournisseur. Vos obligations : transparence (informer que du contenu est genere par IA), usage conforme aux instructions du fournisseur, formation de vos equipes. Si vous integrez l'API dans un produit que vous commercialisez, vous devenez potentiellement fournisseur de ce nouveau systeme.

Cas 2 : Vous developpez un outil IA interne

Vous etes fournisseur ET deployeur simultanement. Vos obligations sont celles du fournisseur (les plus strictes). Meme si l'outil n'est pas commercialise, vous devez respecter les obligations si le systeme entre dans une categorie a haut risque (RH, credit, sante, etc.).

Cas 3 : Vous revendez une solution IA americaine en France

Vous etes importateur. Vous devez verifier la conformite du fournisseur americain avant la mise sur le marche europeen. Si le fournisseur n'a pas de mandataire dans l'UE, vous portez une part de responsabilite accrue.

Cas 4 : Vous personnalisez significativement un outil IA existant

Attention au basculement de statut. Si vous apportez une modification substantielle a un systeme IA existant, ou si vous apposez votre nom/marque sur un systeme haut risque modifie, vous devenez fournisseur de ce systeme. La frontiere entre "configuration" et "modification substantielle" est un enjeu juridique majeur de l'AI Act.

Le piege du basculement de role

Le statut de deployeur n'est pas immuable. L'AI Act prevoit explicitement qu'un deployeur peut devenir fournisseur dans trois situations : il apporte une modification substantielle au systeme IA, il appose son propre nom ou sa marque sur un systeme IA haut risque existant, ou il modifie la finalite du systeme IA (utilisation pour un usage different de celui prevu par le fournisseur initial).

Ce basculement entraine l'application immediate de toutes les obligations du fournisseur, y compris la documentation technique, l'evaluation de conformite et le marquage CE. Les consequences financieres sont majeures.

Calendrier selon votre role

Les echeances varient selon le type d'obligation :

2 aout 2026 (Digital Omnibus confirme) : obligations de transparence Article 50 pour tous les roles. Si vous deployer un chatbot, un generateur d'images ou un systeme de recommendation, vous devez informer les utilisateurs des maintenant.

2 decembre 2027 (Digital Omnibus reporte +16 mois) : obligations completes pour les systemes haut risque de l'Annexe III. Si vous etes fournisseur ou deployeur de systemes IA dans la sante, le RH, la finance, l'education ou la justice, cette date est votre deadline.

2 aout 2028 : obligations pour les systemes haut risque de l'Annexe I (machines, jouets, equipements medicaux). Concerne principalement les fabricants industriels.

Comment MaConformite vous aide a identifier votre role

Notre diagnostic gratuit en 3 minutes identifie automatiquement votre role (fournisseur, deployeur, importateur) en fonction de vos reponses. L'algorithme analyse votre relation avec les systemes IA que vous utilisez ou commercialisez, et adapte les obligations affichees dans votre dashboard en consequence. Pas de confusion, pas de documentation inutile — uniquement les obligations qui correspondent a votre situation reelle.

FAQ

Une PME qui utilise simplement des outils IA est-elle concernee par l'AI Act ?

Oui. En tant que deployeur, la PME a des obligations de transparence (informer que l'IA est utilisee) et, pour les systemes haut risque, des obligations de supervision humaine et d'analyse d'impact. Les obligations sont proportionnees mais reelles.

Quelle est la difference entre un deployeur et un simple utilisateur ?

Un deployeur utilise le systeme IA sous sa propre autorite dans un cadre professionnel. Un simple utilisateur (employe, client) utilise le systeme dans le cadre defini par le deployeur, sans controle sur son deploiement. Seul le deployeur a des obligations legales.

Comment savoir si j'ai apporte une modification substantielle a un systeme IA ?

L'AI Act ne donne pas de definition precise de la modification substantielle. Les criteres generalement retenus sont : changement de l'algorithme d'apprentissage, re-entrainement sur des donnees significativement differentes, modification de la finalite du systeme, ou ajout de fonctionnalites non prevues par le fournisseur initial. En cas de doute, consultez un juriste specialise.

Si je suis deployeur d'un systeme IA a risque limite, que dois-je faire concretement ?

Pour un systeme a risque limite (chatbot, generateur de texte, outil de recommandation), vos obligations sont principalement liees a la transparence : informer clairement les personnes qu'elles interagissent avec une IA, identifier les contenus generes par IA comme tels, et utiliser le systeme conformement aux instructions du fournisseur.

Le Digital Omnibus change-t-il les obligations des deployeurs ?

Le Digital Omnibus reporte principalement les echeances haut risque (Annexe III au 2 decembre 2027) et simplifie les obligations pour les PME et small mid-caps. Les obligations de transparence Article 50 pour les deployeurs restent au 2 aout 2026, sans changement.