Qui est responsable de la conformité : le fournisseur SaaS ou le client ?

Les responsabilités sont partagées. Le fournisseur SaaS (provider) doit garantir que le système IA est conforme by design : documentation technique, évaluation de conformité, marquage CE pour les systèmes haut risque. Le client (deployer) doit s'assurer de l'utilisation conforme : respect des conditions d'utilisation, surveillance humaine, information des personnes concernées, signalement des incidents.

Quelles clauses contractuelles exiger d'un fournisseur SaaS IA ?

Les clauses essentielles sont : (1) Déclaration de niveau de risque IA Act, (2) Engagement de conformité avec preuves (marquage CE, documentation), (3) Accès à la documentation technique, (4) Notification des mises à jour impactant la conformité, (5) Clauses d'audit, (6) Responsabilités en cas de non-conformité, (7) Garanties sur les données d'entraînement (licéité RGPD), (8) Processus de signalement des incidents.

Comment auditer un SaaS IA avant de l'acheter ?

Checklist d'audit pré-achat : (1) Demander le niveau de risque IA Act déclaré, (2) Vérifier l'existence du marquage CE (si haut risque), (3) Obtenir la Model Card ou documentation technique, (4) Vérifier les certifications (ISO 42001, SOC 2), (5) Analyser les clauses contractuelles IA Act, (6) Demander des preuves de tests de biais et robustesse, (7) Vérifier la localisation des données et serveurs.

Les SaaS américains sont-ils conformes à l'IA Act ?

Pas automatiquement. L'IA Act s'applique à tout système IA utilisé dans l'UE, quelle que soit l'origine du fournisseur. Les éditeurs américains doivent donc se conformer s'ils veulent servir le marché européen. Vérifiez que le fournisseur a un représentant légal dans l'UE (obligatoire), dispose de la documentation technique requise, et peut fournir les garanties contractuelles nécessaires.

Que faire si mon fournisseur SaaS n'est pas conforme ?

Trois options : (1) Négocier une mise en conformité avec engagement contractuel et délais, (2) Migrer vers une solution conforme avant l'entrée en vigueur des obligations, (3) Réduire l'utilisation aux fonctionnalités non-IA ou risque minimal. En dernier recours, la non-conformité du fournisseur n'exonère pas le deployer de ses propres obligations. Vous restez responsable de l'utilisation conforme.

saas ia act - formation-ia-act

Q: Un SaaS utilisant l'IA est-il soumis à l'IA Act ?

Oui, les solutions SaaS intégrant de l'IA sont pleinement soumises à l'IA Act. Le fournisseur SaaS est généralement considéré comme 'fournisseur' du système IA au sens du règlement, tandis que l'entreprise cliente est 'deployer' (déployeur). Les deux ont des obligations distinctes mais complémentaires. Le niveau de risque du système détermine les obligations applicables.

☁️ L’IA est Partout dans vos SaaS

92% des entreprises utilisent au moins un SaaS intégrant de l’IA (Salesforce Einstein, HubSpot, Notion AI…). Mais qui est responsable de la conformité IA Act ?

Votre CRM prédit le scoring des leads. Votre outil RH filtre les CV. Votre logiciel comptable détecte les anomalies. Tous utilisent l’IA. Tous sont concernés par l’IA Act.

Le problème : vous n’avez pas développé ces outils. Vous êtes client d’un éditeur SaaS. Êtes-vous pour autant exonéré de responsabilité ?

Ce guide clarifie les responsabilités partagées entre fournisseurs SaaS et clients, les clauses contractuelles à exiger, et comment auditer vos solutions cloud.

225 jours restants

92% Entreprises avec SaaS IA

2 Responsables (Provider + Deployer)

Par Loïc Gros-Flandre

Directeur de Modernee – Expert en conformité des solutions SaaS et accompagnement des entreprises utilisatrices d’IA.

☁️ Spécialiste Cloud & IA • 📋 Audit SaaS

                📚 Ce que vous allez maîtriser
                → Modèle de responsabilité partagée IA Act
→ Obligations du fournisseur SaaS vs du client
→ Clauses contractuelles essentielles
→ Audit pré-achat d’une solution SaaS IA
→ Gestion des fournisseurs non-conformes

            

Infographie : Responsabilités partagées Fournisseur SaaS vs Client

☁️ SaaS IA : Définition et Cadre IA Act

Un SaaS IA (Software as a Service avec Intelligence Artificielle) est une application cloud intégrant des fonctionnalités d’IA : recommandations, prédictions, automatisations, analyse de données, génération de contenu.

saas ia - Équipe travaillant sur solutions cloud

Photo par Campaign Creators sur Unsplash

📋 Exemples de SaaS IA Courants

Catégorie	Exemples	Fonctionnalité IA
CRM	Salesforce Einstein, HubSpot	Scoring leads, prédiction churn
RH	Workday, BambooHR	Tri CV, matching candidats
Finance	Sage, QuickBooks	Détection anomalies, prévisions
Marketing	Mailchimp, ActiveCampaign	Segmentation, personnalisation
Productivité	Notion AI, Microsoft 365 Copilot	Génération, résumé, suggestions
Support	Zendesk, Intercom	Chatbots, routage tickets

⚖️ Le Double Rôle : Provider vs Deployer

L’IA Act distingue deux acteurs clés dans la chaîne de valeur SaaS :

☁️ Provider (Fournisseur) : L’éditeur SaaS qui développe et met à disposition le système IA
🏢 Deployer (Déployeur) : L’entreprise cliente qui utilise le SaaS pour ses activités

⚠️ Attention Responsabilité

La non-conformité de votre fournisseur SaaS ne vous exonère pas de vos propres obligations en tant que deployer. Vous restez responsable de l’utilisation conforme.

« Les entreprises pensent souvent que le SaaS les protège. C’est faux. Utiliser un outil non-conforme vous expose aussi aux sanctions. »
— Avocat Spécialisé Numérique, Barreau de Paris, 2024

📋 Obligations du Fournisseur SaaS

Photo par Scott Graham sur Unsplash

Le fournisseur SaaS porte la responsabilité principale de la conformité du système IA lui-même.

🔧 Obligations Techniques

Documentation Technique Complète

Le fournisseur doit produire une documentation technique détaillée : architecture, données d’entraînement, métriques de performance, limites connues. Cette doc doit être accessible aux clients sur demande.

Évaluation de Conformité

Pour les systèmes haut risque, une évaluation de conformité est obligatoire avant mise sur le marché. Le fournisseur doit prouver le respect des exigences (qualité données, robustesse, biais, explicabilité).

Marquage CE et Déclaration

Les systèmes haut risque doivent porter le marquage CE et être enregistrés dans la base de données européenne. Sans cela, ils ne peuvent légalement être utilisés dans l’UE.

Surveillance Post-Marché

Le fournisseur doit surveiller son système en production : collecter les incidents, analyser les dérives, implémenter des corrections. C’est une obligation continue, pas un one-shot.

🏢 Obligations du Client (Deployer)

En tant qu’utilisateur du SaaS IA, vos obligations sont distinctes mais tout aussi importantes :

✅ Vérification préalable : S’assurer que le fournisseur est conforme
✅ Utilisation dans le cadre : Respecter les conditions d’utilisation prévues
✅ Surveillance humaine : Maintenir un contrôle humain sur les décisions IA
✅ Information des personnes : Prévenir les utilisateurs finaux qu’ils interagissent avec une IA
✅ Formation équipes : Former vos collaborateurs (Article 4 IA Act)
✅ Signalement incidents : Reporter les dysfonctionnements graves

🎯 Testez votre Conformité SaaS IA (Quiz 3 min)

📝 Clauses Contractuelles Essentielles

Votre contrat SaaS doit inclure des clauses spécifiques à l’IA Act. Sans elles, vous n’avez aucune protection juridique.

📋 Les 8 Clauses Indispensables

Clause	Contenu	Importance
1. Déclaration de Risque	Niveau de risque IA Act déclaré par le fournisseur	🔴 Critique
2. Engagement Conformité	Garantie de respect des exigences IA Act applicables	🔴 Critique
3. Accès Documentation	Droit d’accès à la documentation technique sur demande	🟠 Important
4. Notification Updates	Information préalable des mises à jour impactant la conformité	🟠 Important
5. Clause d’Audit	Droit d’audit ou de demander des preuves de conformité	🟠 Important
6. Responsabilités	Répartition claire des responsabilités en cas de sanction	🟢 Recommandé
7. Données Training	Garanties sur la licéité des données d’entraînement	🟢 Recommandé
8. Processus Incidents	Procédure de signalement et traitement des incidents	🟢 Recommandé

💡 Conseil Négociation

Si votre fournisseur refuse ces clauses, c’est un signal d’alarme. Un éditeur confiant dans sa conformité n’a aucune raison de les refuser. Documentez le refus pour votre propre protection.

« Nous avons renégocié 40% de nos contrats SaaS pour y inclure des clauses IA Act. Deux fournisseurs ont refusé. Nous les avons remplacés. »
— DSI, Groupe CAC 40, 2024

🔍 Auditer un SaaS IA Avant Achat

Photo par Carlos Muza sur Unsplash

📋 Checklist Audit Pré-Achat

1️⃣ Niveau de risque : Demander la classification IA Act déclarée
2️⃣ Marquage CE : Vérifier l’existence (si système haut risque)
3️⃣ Documentation : Obtenir Model Card ou doc technique
4️⃣ Certifications : ISO 42001, SOC 2, autres normes
5️⃣ Tests biais : Demander les rapports d’évaluation
6️⃣ Localisation données : Serveurs EU vs hors-EU
7️⃣ Représentant UE : Obligatoire pour fournisseurs non-européens

🇺🇸 Cas Spécial : SaaS Américains

Les éditeurs américains (Salesforce, Microsoft, Google) doivent se conformer à l’IA Act pour servir le marché européen. Vérifiez :

✅ Représentant légal désigné dans l’UE
✅ Documentation technique disponible
✅ Clauses contractuelles adaptées au droit européen
✅ Options de localisation des données en Europe

⚠️ Transferts de Données

L’utilisation d’un SaaS américain implique souvent des transferts de données hors UE. Vérifiez la conformité RGPD en parallèle de l’IA Act (clauses contractuelles types, évaluation d’impact transfert).

📊 Évaluateur Risque SaaS IA

Nombre de SaaS IA utilisés

Vos contrats incluent-ils des clauses IA Act ?

Avez-vous audité vos fournisseurs SaaS ?

Domaine d’utilisation principal

❓ Questions Fréquentes sur les SaaS IA

Un SaaS utilisant l’IA est-il soumis à l’IA Act ?

Oui, pleinement. Le fournisseur SaaS est « provider » et doit garantir la conformité du système. L’entreprise cliente est « deployer » et doit s’assurer de l’utilisation conforme. Le niveau de risque du système détermine les obligations applicables.

Qui est responsable : le fournisseur ou le client ?

Les deux ! Le fournisseur est responsable de la conformité by design (documentation, tests, marquage). Le client est responsable de l’utilisation conforme (surveillance humaine, formation, signalement). Les responsabilités sont partagées mais distinctes.

Quelles clauses exiger dans le contrat SaaS ?

Les clauses essentielles : déclaration de niveau de risque, engagement de conformité, accès à la documentation, notification des updates, droit d’audit, répartition des responsabilités, garanties sur les données d’entraînement, processus de signalement des incidents.

Comment auditer un SaaS IA avant achat ?

Checklist : demander le niveau de risque déclaré, vérifier le marquage CE (si haut risque), obtenir la Model Card, vérifier les certifications (ISO 42001, SOC 2), demander les rapports de tests biais/robustesse, vérifier la localisation des données et le représentant UE.

Les SaaS américains sont-ils conformes ?

Pas automatiquement. L’IA Act s’applique à tout système IA utilisé dans l’UE. Les éditeurs américains doivent se conformer pour servir le marché européen. Vérifiez le représentant légal UE, la documentation disponible, et les clauses contractuelles européennes.

Que faire si mon fournisseur n’est pas conforme ?

Trois options : négocier une mise en conformité avec engagement et délais, migrer vers une solution conforme, ou réduire l’utilisation aux fonctionnalités non-IA. La non-conformité du fournisseur ne vous exonère pas de vos propres obligations.

✅ Conclusion : Maîtrisez vos SaaS IA

L’utilisation de SaaS IA ne vous exonère pas de vos obligations IA Act. Vous partagez la responsabilité avec votre fournisseur.

La clé : des contrats solides, un audit préalable rigoureux, et une surveillance continue de vos fournisseurs.

                🎯 Les 3 Points Clés
                1️⃣ Responsabilité partagée : Provider + Deployer ont des obligations
2️⃣ Contrats essentiels : 8 clauses IA Act à exiger
3️⃣ Audit obligatoire : Vérifiez avant d’acheter et pendant l’usage

            