API IA et IA Act : Fournisseurs API
⚖️ La Responsabilité Partagée
Vous utilisez l’API OpenAI pour un chatbot RH.
Un candidat est discriminé. Qui est responsable ?
OpenAI ? Vous ? Les deux.
L’AI Act redéfinit les responsabilités dans la chaîne de valeur IA.
Les API d’intelligence artificielle ont démocratisé l’accès aux modèles les plus puissants. En quelques lignes de code, vous intégrez GPT-4, Claude, ou Gemini dans votre application. Simple, rapide, efficace.
Mais cette simplicité cache une complexité juridique. L’AI Act distingue plusieurs rôles : fournisseur, déployeur, distributeur. Quand vous utilisez une API tierce, vous n’êtes pas le fournisseur du modèle. Mais vous êtes responsable de son usage.
Dans ce guide, découvrez comment naviguer la responsabilité partagée entre vous et vos fournisseurs API, et comment assurer la conformité AI Act de vos intégrations.
Par Loïc Gros-Flandre
Directeur de Modernee – Agence IA. Expert en intégration API et conformité IA. Spécialiste des architectures cloud et réglementations européennes.
📋 Ce que vous allez maîtriser
- → Rôles AI Act : fournisseur vs déployeur vs distributeur
- → OpenAI, Anthropic, Google : analyse des CGU
- → Vos responsabilités quand vous utilisez une API
- → Traçabilité et logging des appels API
- → Négociation de garanties contractuelles
Infographie : Chaîne de responsabilité AI Act pour les API IA
⚖️ Fournisseur, Déployeur, Distributeur : Qui Êtes-Vous ?
L’AI Act définit précisément trois rôles dans la chaîne de valeur IA. Votre rôle détermine vos obligations. Et quand vous utilisez une API tierce, vous portez généralement plusieurs casquettes.
Photo par Campaign Creators sur Unsplash
🏢 Fournisseur (Provider)
Le fournisseur développe ou fait développer un système d’IA et le met sur le marché sous son propre nom. OpenAI pour GPT-4, Anthropic pour Claude, Google pour Gemini.
- 📋 Obligations : Documentation technique, évaluation de conformité, marquage CE
- 🔧 Responsabilité : Conformité du modèle lui-même, pas de son usage
- 📜 Preuve : Doit fournir les model cards et benchmarks
👤 Déployeur (Deployer)
Le déployeur utilise un système d’IA sous son autorité, sauf pour un usage personnel. C’est vous quand vous intégrez une API dans votre application.
- 📋 Obligations : Usage conforme, supervision humaine, information des utilisateurs
- 🔧 Responsabilité : Conformité de l’usage, pas du modèle sous-jacent
- 📜 Preuve : Doit documenter son cas d’usage spécifique
🏪 Distributeur (Distributor)
Le distributeur met un système d’IA à disposition sur le marché sans modifier substantiellement le système. Rare pour les API, mais possible (revendeur white-label).
⚠️ Le Piège du Déployeur
Beaucoup pensent : « J’utilise l’API OpenAI, c’est leur responsabilité. »
Faux. OpenAI est responsable de GPT-4 comme modèle généraliste.
Vous êtes responsable de ce que vous en faites : scoring crédit, tri CV, diagnostic…
« L’API est un outil. Le marteau ne tue pas, c’est celui qui l’utilise. L’AI Act distingue clairement le fabricant du marteau et celui qui l’utilise. »
— Juriste spécialisé en droit du numérique
📜 OpenAI, Anthropic, Google : Analyse des CGU
Photo par Scott Graham sur Unsplash
Les conditions générales d’utilisation (CGU) des fournisseurs API définissent ce qu’ils garantissent… et ce qu’ils ne garantissent pas. Analyse comparative.
🤖 OpenAI (GPT-4, GPT-4o, o1)
| Point | Position OpenAI | Impact pour vous |
|---|---|---|
| Usage haut risque | Autorisé avec précautions | Vous devez implémenter les garde-fous |
| Conformité AI Act | Engagement en cours | Pas de garantie contractuelle explicite |
| Logs/traçabilité | 30 jours par défaut | Insuffisant pour AI Act (5+ ans recommandés) |
| Modification modèle | Sans préavis possible | Risque de régression non notifiée |
🔵 Anthropic (Claude 3, Claude 3.5)
| Point | Position Anthropic | Impact pour vous |
|---|---|---|
| Usage haut risque | Restrictions sectorielles | Certains usages médicaux/juridiques limités |
| Constitutional AI | Modèle aligné par conception | Moins de risques de contenus problématiques |
| Transparence | Model cards détaillées | Aide à la documentation AI Act |
| Data privacy | Pas d’entraînement sur vos données | Plus facile pour RGPD |
🔷 Google (Gemini, Vertex AI)
| Point | Position Google | Impact pour vous |
|---|---|---|
| Enterprise tier | SLA et garanties renforcées | Meilleur pour applications critiques |
| Région données | Choix région EU possible | Facilite RGPD et localisation |
| Audit logs | Cloud Audit Logs intégrés | Traçabilité native |
| AI Act | Engagement public de conformité | Plus de confiance réglementaire |
💡 Mistral AI : L’Option Européenne
Mistral (France) offre des avantages spécifiques :
• Siège UE = juridiction européenne native
• RGPD et AI Act comme priorités
• Support en français
• Modèles open-source disponibles (on-premise possible)
🔌 Quiz : API IA et Responsabilités AI Act
Testez vos connaissances sur les responsabilités partagées
🎯 Vos Responsabilités de Déployeur API
Même si vous utilisez une API tierce, vous restez responsable de plusieurs aspects critiques. Les CGU du fournisseur ne vous exonèrent pas.
1️⃣ Classification du Niveau de Risque
L’API GPT-4 est généraliste. Elle devient haut risque si vous l’utilisez pour :
- 🔴 Scoring crédit : Annexe III, accès aux services financiers
- 🔴 Tri de CV : Annexe III, recrutement et emploi
- 🔴 Diagnostic médical : Annexe III, dispositifs médicaux
- 🔴 Assurance : Annexe III, accès aux services essentiels
- 🟡 Chatbot client : Risque limité, obligation de transparence
2️⃣ Documentation de l’Application
Vous devez documenter votre usage spécifique de l’API :
Description Fonctionnelle
Quel problème résolvez-vous ? Quelles décisions sont prises par l’IA vs l’humain ?
Architecture Technique
Quelle API ? Quels prompts ? Quel post-processing ? Quelle intégration ?
Mesures de Mitigation
Comment gérez-vous les hallucinations ? Les biais ? Les contenus inappropriés ?
3️⃣ Supervision Humaine
Pour les usages haut risque, l’Article 14 exige une supervision humaine effective :
- 👤 Human-in-the-loop : Validation humaine avant action
- 👁️ Human-on-the-loop : Monitoring continu avec intervention possible
- 🔔 Alertes : Seuils de confiance déclenchant une revue
4️⃣ Information des Utilisateurs
L’Article 52 (transparence) exige d’informer les utilisateurs qu’ils interagissent avec une IA :
📢 Exemple de Notice
« Ce service utilise l’intelligence artificielle pour [générer des réponses / analyser votre demande]. Les résultats sont vérifiés par nos équipes. Vous pouvez demander une révision humaine à tout moment. »
📊 Traçabilité et Logging des Appels API
Photo par Carlos Muza sur Unsplash
L’Article 12 AI Act exige la traçabilité des opérations. Pour les API, cela signifie logger chaque interaction de manière structurée.
📝 Que Logger ?
| Donnée | Obligatoire | Exemple |
|---|---|---|
| Timestamp | ✅ Oui | 2025-12-19T14:32:17Z |
| Prompt envoyé | ✅ Oui | « Analyse ce CV pour le poste de… » |
| Réponse reçue | ✅ Oui | « Score: 78/100. Points forts:… » |
| Modèle/version | ✅ Oui | gpt-4-1106-preview |
| Décision prise | ✅ Oui (haut risque) | « Candidat retenu pour entretien » |
| Intervention humaine | ✅ Oui (haut risque) | « Validé par Marie D. le 19/12 » |
| Contexte utilisateur | ⚠️ Si pertinent | ID utilisateur (anonymisé) |
⏱️ Durée de Conservation
L’AI Act ne précise pas de durée exacte, mais recommande une conservation proportionnée :
- 🟢 Risque minimal : 1-2 ans (bonnes pratiques)
- 🟡 Risque limité : 3 ans minimum
- 🔴 Haut risque : 5+ ans recommandés (durée de prescription)
// Exemple : Logging structuré d'appel API
const logApiCall = async (prompt, response, decision) => {
const logEntry = {
timestamp: new Date().toISOString(),
model: "gpt-4-1106-preview",
api_version: "2024-01-01",
prompt: prompt,
response: response,
decision: decision,
confidence: response.confidence || null,
human_review: null, // À remplir si validation humaine
user_id_hash: hashUserId(currentUser), // Anonymisé
session_id: sessionId,
retention_until: addYears(new Date(), 5) // 5 ans
};
await db.aiLogs.insert(logEntry);
await sendToAuditSystem(logEntry); // Copie pour audit
return logEntry.id;
};
⚖️ Évaluateur : Responsabilité API IA
❓ Questions Fréquentes – API IA et AI Act
La responsabilité est partagée. OpenAI est « fournisseur » du modèle et responsable de sa conformité générale. Vous êtes « déployeur » et responsable de l’usage que vous en faites. Si votre application est haut risque (crédit, RH, santé), c’est vous qui devez documenter, superviser et éventuellement certifier.
Non. Les CGU des fournisseurs couvrent leur responsabilité en tant que fournisseur, pas la vôtre en tant que déployeur. Vous restez responsable de : la classification de risque de votre application, la documentation technique, la supervision humaine, l’information des utilisateurs, et les tests de non-discrimination.
Oui, absolument. L’API GPT-4 est généraliste et risque minimal en soi. Mais si vous l’utilisez pour du scoring crédit, du tri de CV, ou du diagnostic médical, votre application devient haut risque. C’est l’usage qui détermine le risque, pas le modèle.
Pour les applications haut risque, oui. L’Article 12 exige la traçabilité des opérations. Vous devez logger : les prompts envoyés, les réponses reçues, les timestamps, les décisions prises, et les interventions humaines. Durée de conservation recommandée : 5 ans minimum.
Partiellement. Les fournisseurs peuvent fournir : la documentation du modèle (model cards), les benchmarks de performance, les tests de biais généraux. Mais la certification de votre application spécifique reste votre responsabilité. Le fournisseur ne connaît pas votre cas d’usage.
C’est un risque majeur. Si OpenAI met à jour GPT-4, les performances de votre application peuvent changer. Solutions : utiliser des versions figées (snapshots), monitorer les performances, avoir des tests automatisés, prévoir des rollbacks.
Pas nécessairement. L’AI Act s’applique aux systèmes déployés dans l’UE, indépendamment de l’origine du fournisseur. OpenAI (US), Anthropic (US), ou Mistral (FR) sont tous soumis aux mêmes règles. L’avantage européen : proximité juridique, RGPD natif, support local.
Points à négocier : (1) Engagement de conformité AI Act dans le contrat, (2) Notification en cas de modification du modèle, (3) Accès à la documentation technique (model cards), (4) SLA sur la disponibilité des logs, (5) Clause d’audit, (6) Responsabilité partagée documentée.
Oui, mais la complexité de conformité augmente. Vous devez documenter chaque API, tracer chaque appel, et gérer les responsabilités avec chaque fournisseur. En cas de litige, vous devez prouver quelle API a produit quelle décision. Conseil : centraliser les logs.
Non. Que vous utilisiez une API cloud (OpenAI) ou un modèle self-hosted (Llama sur vos serveurs), l’AI Act s’applique de la même manière. L’avantage on-premise : contrôle total sur les logs, pas de dépendance au fournisseur. L’inconvénient : vous assumez aussi les responsabilités du fournisseur.
🎯 Conclusion : Maîtrisez la Chaîne de Responsabilité
Les API IA ont démocratisé l’accès à l’intelligence artificielle. Mais cette facilité technique cache une complexité juridique que l’AI Act rend explicite.
Vous n’êtes pas exonéré parce que vous utilisez l’API d’un tiers. Vous êtes déployeur, et à ce titre, vous portez la responsabilité de l’usage que vous faites de ces technologies.
- 1️⃣ Responsabilité partagée — Le fournisseur répond du modèle, vous répondez de l’usage
- 2️⃣ L’usage détermine le risque — Une API généraliste devient haut risque selon votre application
- 3️⃣ Traçabilité obligatoire — Loggez chaque appel, chaque décision, chaque intervention humaine
La deadline approche. Auditez vos intégrations API maintenant.
Formation API IA et Conformité AI Act
Apprenez à utiliser les API IA en conformité avec l’AI Act. Responsabilités, documentation, traçabilité, négociation contractuelle.
Me former à la conformité API → 500€🔌 API IA • ⚖️ Responsabilités • ✅ Conformité AI Act
📚 Sources Officielles Citées
- Règlement (UE) 2024/1689 – AI Act • Articles 3 (Définitions), 12 (Traçabilité), 14 (Supervision)
- OpenAI Terms of Use • Conditions d’utilisation API
- Anthropic Acceptable Use Policy • Politique d’usage acceptable