Startups IA et editeurs de logiciels : vos obligations EU AI Act en tant que fournisseur en 2026

Chaque semaine, des fondateurs de startups IA decouvrent, parfois tardivement, qu'ils ne sont pas seulement utilisateurs de l'EU AI Act — ils en sont aussi des sujets actifs avec des obligations propres. Si vous developpez une application qui integre de l'intelligence artificielle et la commercialisez, l'EU AI Act vous qualifie de fournisseur. Ce statut implique des obligations bien plus etendues que celles qui pesent sur les simples deployers.

Voici ce que vous devez savoir — et faire — avant les prochaines echeances.

Fournisseur ou deployer : une distinction qui change tout

L'EU AI Act structure ses obligations autour de deux roles principaux que les organisations peuvent occuper dans la chaine de l'IA :

Le fournisseur (provider) est l'entite qui developpe un systeme d'IA ou en fait developper un, et le place sur le marche ou le met en service sous sa propre marque, que ce soit a titre onereux ou non. En pratique : vous etes fournisseur si vous commercialisez un SaaS, une API, un plugin ou tout logiciel qui integre une fonctionnalite IA.

Le deployer est l'entite qui utilise un systeme d'IA dans le cadre de ses activites professionnelles. En pratique : une PME qui utilise votre logiciel est deployer, pas fournisseur.

La difference est fondamentale. Les deployers ont des obligations limitees — AIPD pour les systemes haut risque, transparence, supervision humaine. Les fournisseurs doivent, eux, garantir la conformite du systeme avant de le mettre sur le marche, documenter son fonctionnement de facon exhaustive, obtenir le marquage CE pour les systemes haut risque, et l'enregistrer dans la base de donnees europeenne.

Qui est fournisseur au sens de l'EU AI Act ?

La definition est plus large que ce que beaucoup anticipent. Vous etes fournisseur si vous :

Commercialisez un produit IA sous votre marque, meme si la couche IA est construite sur un modele tiers (OpenAI GPT-4o, Mistral, Anthropic Claude). Le fait d'encapsuler une API IA dans votre propre interface, de l'adapter a un cas d'usage metier, et de la proposer a des clients vous positionne comme fournisseur du systeme final.

Mettez en service un systeme d'IA pour votre propre usage professionnel interne, si ce systeme pourrait etre qualifie de haut risque. Dans ce cas, vous cumulez les roles de fournisseur et de deployer.

Modifiez substantiellement un systeme d'IA tiers pour un usage different de l'usage prevu initialement par le fournisseur original. L'ajout de nouvelles fonctionnalites ou le retraining sur de nouvelles donnees peut declencher ce transfert de responsabilite.

Le cas typique des startups B2B : vous construisez un outil d'analyse de CV assiste par IA, un systeme de notation de credit, un moteur de recommandation medicale, ou un assistant RH. Quel que soit le modele sous-jacent utilise, vous etes fournisseur — et vous devez vous conformer aux obligations correspondantes.

Les obligations specifiques des fournisseurs de systemes a haut risque

L'Annexe III de l'EU AI Act liste les systemes consideres haut risque par defaut. Elle couvre notamment : les systemes de recrutement et d'evaluation RH, les outils de credit scoring, les systemes de diagnostic medical, les outils d'evaluation educative, et les systemes utilises dans l'administration de la justice. Si votre produit tombe dans une de ces categories, voici ce que vous devez preparer.

1. La documentation technique (Annexe IV)

L'article 11 de l'EU AI Act impose aux fournisseurs de systemes haut risque de constituer une documentation technique conforme a l'Annexe IV. Cette documentation couvre 9 sections obligatoires : description generale du systeme et de son usage prevu, architecture detaillee et processus de developpement, description des donnees d'entrainement et de test, methodes et metriques d'evaluation des performances, mesures de gestion des risques, modifications apportees au long du cycle de vie, normes appliquees et solutions retenues, instructions d'utilisation, et declaration de conformite UE.

La bonne nouvelle pour les startups et PME : l'article 11 prevoit explicitement que les PME et microentreprises peuvent fournir les elements de l'Annexe IV de facon simplifiee. La Commission europeenne est chargee d'etablir un formulaire adapte. En l'absence de normes harmonisees (les normes CEN et CENELEC sont attendues fin 2026), la documentation doit decrire les solutions adoptees pour satisfaire aux exigences du Chapitre III, Section 2.

2. L'evaluation de conformite et le marquage CE

Avant la mise sur le marche d'un systeme haut risque, le fournisseur doit realiser une evaluation de conformite. Pour la majorite des systemes de l'Annexe III, cette evaluation peut etre realisee en interne (auto-evaluation) — un organisme notifie externe n'est obligatoire que pour les systemes biometriques et certains systemes d'infrastructure critique. A l'issue de cette evaluation positive, le fournisseur appose le marquage CE sur son systeme et dans sa documentation.

3. L'enregistrement dans la base de donnees EU

Avant la mise sur le marche, les fournisseurs de systemes haut risque doivent enregistrer le systeme dans la base de donnees europeenne dedicee, accessible au public. Cet enregistrement couvre : la denomination et coordonnees du fournisseur, le nom commercial du systeme, l'usage prevu, la classification de risque, le statut de l'evaluation de conformite, et le lien vers la notice d'utilisation. La base de donnees est maintenue par la Commission europeenne et constitue un registre public de tous les systemes IA haut risque circulant dans l'UE.

4. La surveillance post-commercialisation

Les obligations ne s'arretent pas a la mise sur le marche. Les fournisseurs doivent mettre en place un systeme de surveillance post-commercialisation : collecte et analyse des donnees de performance en conditions reelles, remontee des incidents graves aux autorites nationales (dans les 15 jours pour les incidents graves, dans les 2 jours pour les incidents mortels ou graves pour la sante), et mise a jour de la documentation technique en cas de modification substantielle.

Ce que change le Digital Omnibus de mai 2026 pour les startups IA

L'accord provisoire conclu le 7 mai 2026 entre le Parlement europeen et le Conseil apporte des modifications importantes au calendrier d'application, avec un impact direct sur les startups IA :

Report de 18 mois pour les obligations documentaires Annexe III : la plupart des exigences techniques et documentaires pour les systemes haut risque de l'Annexe III sont reportees du 2 aout 2026 au 2 decembre 2027. Cela concerne notamment la constitution complete de la documentation Annexe IV et l'enregistrement dans la base de donnees EU pour de nombreux systemes.

Ce qui reste au 2 aout 2026 : les obligations d'Article 50 (transparence et disclosure chatbot) et les interdictions de l'Article 5 (pratiques inacceptables) ne sont pas concernees par le report. Si votre produit deploie des chatbots ou des systemes conversationnels en interaction directe avec des utilisateurs finaux, l'obligation de disclosure reste en vigueur au 2 aout 2026.

Important : le report ne signifie pas l'exemption. Il donne du temps supplementaire pour preparer la conformite, pas pour l'ignorer. Les organismes de surveillance nationaux (en France, la CNIL pour le volet IA-RGPD) commenceront leurs controles des 2027.

Les allegemements specifiques pour les startups et PME

L'EU AI Act integre plusieurs dispositions specifiquement congues pour reduire la charge reglementaire des petites structures :

Formulaire de documentation simplifie (Article 11) : les PME et microentreprises peuvent utiliser un format allege de documentation technique. La Commission etablira un formulaire standardise — en attendant sa publication, une description claire et structuree des 9 points de l'Annexe IV dans un format lisible est acceptable.

Acces aux sandboxes reglementaires (Articles 57 a 63) : les autorites nationales peuvent etablir des environnements controlees (bacs a sable reglementaires) dans lesquels les startups peuvent tester leurs systemes IA sous supervision des autorites, avant la mise sur le marche, avec un cadre reglementaire allege. La France, via la CNIL et le reseau des autorites IA, devrait deployer ces sandboxes courant 2026-2027.

Reduction des frais d'evaluation de conformite : pour les PME recourant a un organisme notifie externe, les frais doivent etre proportionnes a la taille et au chiffre d'affaires de l'entreprise. Les organismes notifies sont tenus d'appliquer des tarifs adaptes aux microentreprises.

Priorite d'acces aux ressources de l'AIOB : l'AI Office europeen (AIOB), instance de coordination cree par l'EU AI Act, doit mettre a disposition des ressources et orientations specifiques pour les startups, incluant des guides pratiques, des modeles de documentation et un helpdesk dedie.

Plan d'action pour les startups IA — 12 semaines

Semaines 1-2 : Classification. Determiner si votre systeme IA entre dans l'Annexe III (haut risque) ou dans une autre categorie. Pour chaque produit commercial, identifier votre role exact : etes-vous uniquement fournisseur ? Ou aussi deployer si vous utilisez le systeme en interne ? Si votre produit n'est pas haut risque, les obligations sont limitees a la transparence (Article 50 si vous deployez des chatbots) et aux bonnes pratiques.

Semaines 3-5 : Documentation de base. Constituer la documentation technique Annexe IV dans sa version simplifiee. Documenter l'architecture du systeme, les donnees d'entrainement, les metriques de performance, et les mesures de gestion des risques. Ce travail, meme sans obligation immediate au 2 aout 2026, vous protege en cas de controle et accelere la conformite complete avant decembre 2027.

Semaines 6-8 : Conformite Article 50. Si votre produit inclut un chatbot, assistant conversationnel, ou tout systeme en interaction directe avec des utilisateurs finaux, implementer la disclosure obligatoire avant le 2 aout 2026. Ce n'est pas techniquement complexe mais doit etre documente.

Semaines 9-10 : Gouvernance interne. Nommer un responsable conformite IA (peut etre cumule avec le DPO existant). Mettre en place un registre interne des systemes IA avec leur classification, statut de conformite et date de prochaine revue.

Semaines 11-12 : Revue contrats et fournisseurs. Auditer vos contrats avec vos fournisseurs de modeles IA (OpenAI, Mistral, Anthropic, etc.). Verifier que les obligations de transparence, de performance et de traceabilite sont couvertes contractuellement. En tant que fournisseur du systeme final, vous etes responsable meme si la couche IA vient d'un tiers.

Questions frequentes — startups IA et EU AI Act

Notre SaaS integre GPT-4o via API. OpenAI est-il responsable de notre conformite ?

Non. OpenAI est fournisseur du modele sous-jacent et responsable de la conformite du modele lui-meme. Vous, en tant que fournisseur du SaaS final, etes responsable de la conformite de votre systeme tel qu'il est utilise par vos clients. Si votre usage du modele cree un systeme haut risque au sens de l'Annexe III, vous devez en assurer la conformite — meme si vous n'avez pas entraine le modele vous-meme.

Notre systeme n'est pas encore commercialise. Devons-nous etre conformes avant le lancement ?

Pour les systemes haut risque : oui, les obligations s'appliquent avant la mise sur le marche ou la mise en service. Vous ne pouvez pas commercialiser un systeme haut risque sans documentation technique conforme, evaluation de conformite completee, et (pour la majorite des cas apres decembre 2027) enregistrement dans la base EU. Integrer la conformite des la phase de developpement est infiniment moins couteux que de devoir retrofitter un produit en production.

Notre startup est en phase pre-seed. Peut-on ignorer l'EU AI Act pour l'instant ?

En phase de prototypage pur, sans utilisateurs exterieurs, les obligations sont minimales. Des que vous avez des utilisateurs, meme en beta, la question de la mise en service se pose. Si votre systeme est potentiellement haut risque, la prudence est de commencer la documentation des la phase beta — le sandbox reglementaire (Articles 57-63) est precisement concu pour accompagner les startups en phase de test supervisee.

Que se passe-t-il si notre systeme est haut risque mais que nous l'avons commercialise avant le 2 aout 2026 ?

L'EU AI Act prevoit des regles de transition. Les systemes deja commercialises avant les echeances disposent d'un delai de mise en conformite. L'important est d'engager la demarche de conformite activement — les autorites de surveillance accordent une priorite aux entreprises qui ont initie leur mise en conformite de bonne foi.

Le report Digital Omnibus s'applique-t-il a tous nos systemes haut risque ?

Le report de 18 mois concerne principalement les exigences techniques et documentaires pour les systemes de l'Annexe III dans des domaines non couverts par des legislations sectorielles existantes. Certains systemes haut risque — notamment dans les dispositifs medicaux (MDR), les vehicules autonomes, et les composants de securite — restent soumis aux calendriers de leurs reglementations sectorielles. Consultez un expert conformite pour verifier le calendrier applicable a votre cas specifique.

Conclusion : la conformite fournisseur, un avantage competitif des 2026

Les startups IA qui abordent l'EU AI Act comme une contrainte passent a cote d'un signal fort : dans le marche B2B europeen, la conformite va devenir un critere de qualification aussi important que la securite ISO 27001 ou la conformite RGPD. Les acheteurs grands comptes et les administrations publiques incluront systematiquement la conformite EU AI Act dans leurs appels d'offres a partir de 2027.

Les startups qui construisent leur conformite des maintenant — documentation, gouvernance, procedures — pourront la produire instantanement lors d'un appel d'offres, la valoriser dans leur pitch investisseurs, et l'afficher comme differenciateur face a des concurrents non conformes. Le cout de la conformite precoce est marginal compare au cout d'une mise en conformite d'urgence sous pression d'un acheteur grand compte ou d'une autorite de controle.

Notre diagnostic sectoriel MaConformite est specifiquement concu pour aider les editeurs de logiciels IA a identifier leur classification de risque, leurs obligations exactes en tant que fournisseur, et les etapes prioritaires de conformite pour leur profil. Gratuit, 12 minutes, sans inscription.

Pour aller plus loin : guide complet EU AI Act entreprises francaises — Article 50 : chatbot disclosure aout 2026 — analyse du Digital Omnibus mai 2026.