AWS, Azure et Google Cloud sont-ils fournisseurs IA au sens de l'IA Act ?

Cela dépend du service utilisé. Pour l'infrastructure pure (IaaS - compute, storage), ils sont généralement considérés comme simples hébergeurs. Pour les services IA managés (Amazon Rekognition, Azure Cognitive Services, Google AI Platform), ils deviennent fournisseurs IA avec les obligations complètes : documentation, tests, conformité. Le client reste déployeur. La classification dépend du niveau de service.

Qui est responsable : le fournisseur cloud ou le client ?

La responsabilité est partagée selon le modèle cloud. IaaS : le client développe et déploie l'IA, il assume la quasi-totalité des obligations IA Act. PaaS : responsabilité partagée selon les composants utilisés. SaaS IA : le fournisseur assume les obligations de fournisseur, le client celles de déployeur. Les contrats doivent clarifier cette répartition.

cloudtech - formation-ia-act

Q: Les modèles GPAI hébergés en cloud sont-ils concernés ?

Oui, les modèles d'IA à usage général (GPAI) comme GPT, Claude, Gemini hébergés en cloud sont pleinement concernés. Le fournisseur du modèle (OpenAI, Anthropic, Google) a des obligations spécifiques GPAI. Le fournisseur cloud qui héberge et distribue le modèle peut avoir des obligations de distributeur. Le client qui intègre le modèle dans son application devient déployeur.

Q: La localisation des données impacte-t-elle la conformité IA Act ?

L'IA Act s'applique aux systèmes IA utilisés dans l'UE, quelle que soit la localisation des serveurs. Cependant, la localisation des données peut impacter d'autres réglementations (RGPD, NIS2). Les hyperscalers proposent des régions européennes. Pour les systèmes haut risque, une documentation sur la localisation des traitements est recommandée.

Q: Les clauses contractuelles cloud doivent-elles évoluer ?

Oui, les contrats cloud doivent intégrer des clauses IA Act : répartition des responsabilités fournisseur/déployeur, accès à la documentation technique, transmission des mises à jour de conformité, clauses d'audit, notification des incidents IA. Les grands fournisseurs cloud mettent à jour leurs conditions générales. Vérifiez vos contrats existants.

Q: Un SaaS utilisant l'IA doit-il être certifié ?

Si le SaaS utilise un système IA haut risque (RH, crédit, santé...), le fournisseur SaaS doit respecter les obligations de fournisseur IA : documentation technique, tests, évaluation de conformité, marquage CE. Si le SaaS utilise de l'IA à risque limité (chatbots), les obligations de transparence s'appliquent. Les SaaS purement administratifs avec IA minimale ont peu d'obligations.

☁️ CloudTech : L’Infrastructure de l’IA

92% des workloads IA tournent sur le cloud. AWS, Azure et Google Cloud hébergent les modèles qui transforment nos entreprises. Mais qui est responsable au sens de l’IA Act ?

Le cloud computing est devenu l’épine dorsale de l’IA. Des modèles de langage aux systèmes de vision, tout s’exécute sur des infrastructures cloud partagées.

Cette réalité crée une chaîne de responsabilité complexe. Fournisseur d’infrastructure, fournisseur de modèle, intégrateur, client final : qui doit quoi au regard de l’IA Act ?

Ce guide clarifie les responsabilités des acteurs cloud et les obligations contractuelles à mettre en place.

225 jours restants

92% workloads IA en cloud

3 hyperscalers majeurs

Par Loïc Gros-Flandre

Directeur de Modernee – Expert en conformité IA et architectures cloud pour les entreprises européennes.

☁️ Spécialiste cloud et IA • 🔐 Accompagnement conformité SaaS

                📚 Ce que vous allez apprendre
                → Modèle de responsabilité partagée cloud + IA Act
→ Classification : IaaS, PaaS, SaaS et leurs obligations
→ Hyperscalers (AWS, Azure, GCP) : ce qu’ils garantissent
→ GPAI en cloud : modèles généraux et chaîne de valeur
→ Clauses contractuelles IA Act à négocier
→ Plan d’action pour entreprises utilisant le cloud IA

            

Infographie : Modèle de responsabilité partagée Cloud + IA Act selon le type de service

🔄 Le Modèle de Responsabilité Partagée Cloud + IA Act

ia cloudtech act - Équipe infrastructure cloud

Photo par Campaign Creators sur Unsplash

☁️ Le Concept de Base

Le cloud fonctionne sur un principe de responsabilité partagée : le fournisseur gère l’infrastructure, le client gère ses applications et données.

L’IA Act ajoute une nouvelle dimension à ce partage : qui est fournisseur IA ? Qui est déployeur ?

⚠️ Point Clé

La responsabilité IA Act ne suit pas toujours la responsabilité cloud traditionnelle. Un client IaaS peut être fournisseur IA. Un fournisseur SaaS peut être déployeur pour certains usages.

📊 IaaS : Infrastructure as a Service

Exemples : AWS EC2, Azure Virtual Machines, Google Compute Engine

☁️ Fournisseur cloud : Infrastructure physique, virtualisation
👤 Client : OS, runtime, modèle IA, application, données
⚖️ IA Act : Le client assume les obligations de FOURNISSEUR IA

🔧 PaaS : Platform as a Service

Exemples : AWS SageMaker, Azure ML, Google Vertex AI

☁️ Fournisseur cloud : Infrastructure + OS + outils ML
👤 Client : Modèle IA, entraînement, déploiement
⚠️ IA Act : Responsabilité PARTAGÉE à définir contractuellement

📦 SaaS IA : Software as a Service

Exemples : Salesforce Einstein, HubSpot IA, Zoom AI Companion

☁️ Fournisseur SaaS : Tout le stack y compris l’IA
👤 Client : Uniquement ses données et configuration
⚖️ IA Act : Fournisseur SaaS = Fournisseur IA. Client = Déployeur

« Le cloud ne dilue pas la responsabilité IA Act. Il la répartit différemment. Chaque acteur doit connaître ses obligations. »
— CTO, éditeur SaaS européen, 2025

🏢 Hyperscalers : AWS, Azure, Google Cloud

Les trois géants du cloud ont des approches différentes de l’IA Act.

🟠 Amazon Web Services (AWS)

Service	Type	Responsabilité IA Act
EC2, S3, Lambda	IaaS/FaaS	Client = Fournisseur IA
SageMaker	PaaS ML	Partagée (contrat)
Rekognition, Comprehend	API IA	AWS = Fournisseur IA
Bedrock (Claude, Titan)	GPAI	Complexe : Anthropic + AWS + Client

🔵 Microsoft Azure

💻 VMs, Storage : Client assume tout (IaaS)
🔧 Azure ML : Responsabilité partagée (PaaS)
🧠 Cognitive Services : Microsoft fournisseur IA
🤖 Azure OpenAI : OpenAI + Microsoft + Client (triple)

🔴 Google Cloud Platform (GCP)

💻 Compute Engine : Client assume tout (IaaS)
🔧 Vertex AI : Responsabilité partagée (PaaS)
🧠 Cloud Vision, NLP : Google fournisseur IA
🌟 Gemini API : Google fournisseur GPAI

⚠️ GPAI en Cloud = Triple Responsabilité

Utiliser GPT-4 via Azure OpenAI implique trois acteurs : OpenAI (fournisseur GPAI), Microsoft (distributeur), vous (déployeur). Chacun a des obligations spécifiques.

☁️ Évaluez Votre Conformité CloudTech IA (Quiz 3 min)

📝 Clauses Contractuelles IA Act à Négocier

ia cloudtech act - Négociation contrats cloud

Photo par Scott Graham sur Unsplash

Les contrats cloud doivent intégrer des clauses IA Act spécifiques.

📋 Clauses Essentielles

1️⃣ Répartition des responsabilités : Qui est fournisseur IA, qui est déployeur
2️⃣ Accès documentation technique : Le client doit pouvoir obtenir la doc IA Act
3️⃣ Transmission des mises à jour : Notification des changements de conformité
4️⃣ Droits d’audit : Possibilité de vérifier la conformité du fournisseur
5️⃣ Notification incidents IA : Délais et procédures en cas de problème
6️⃣ Coopération régulateur : Engagement à collaborer si contrôle

⚠️ Points d’Attention Contrats Existants

🔍 Vérifiez Vos Contrats Actuels

Les contrats signés avant l’IA Act ne contiennent généralement pas ces clauses. Renégociez ou demandez des avenants. Les grands fournisseurs proposent des DPA (Data Processing Addendum) incluant l’IA Act.

📄 Exemple de Clause Type

📝 Clause Répartition Responsabilités IA Act

« Le Fournisseur assume les obligations de fournisseur IA au sens de l’IA Act pour les services IA managés listés en Annexe A. Le Client assume les obligations de déployeur pour tout usage de ces services. Pour les services IaaS/PaaS listés en Annexe B, le Client assume l’intégralité des obligations fournisseur et déployeur. »

💼 Cas Pratiques : SaaS, API IA, Hébergement Modèles

📊 Cas 1 : Startup SaaS Utilisant Azure OpenAI

💻 Contexte

Une startup française propose un SaaS de rédaction automatique pour les entreprises, basé sur GPT-4 via Azure OpenAI. 500 clients B2B.

Chaîne de responsabilité :

🟠 OpenAI : Fournisseur GPAI (obligations Article 53)
🔵 Microsoft : Distributeur GPAI (transmission obligations)
🟣 Startup SaaS : Fournisseur IA (application spécifique) + Déployeur
👤 Clients B2B : Déployeurs finaux

Obligations de la startup :

📄 Obtenir la documentation GPAI d’OpenAI/Microsoft
📋 Documenter son propre usage (prompts, fine-tuning, garde-fous)
⚠️ Informer ses clients de l’usage d’IA (transparence)
👥 Former ses équipes (Article 4)

🔌 Cas 2 : ETI Utilisant AWS Rekognition

⚠️ Contexte

Une ETI logistique utilise AWS Rekognition pour scanner automatiquement les colis et détecter les anomalies. Usage interne uniquement.

Classification : Risque VARIABLE (pas de biométrie sur personnes).

Répartition :

🟠 AWS : Fournisseur IA (Rekognition est un service IA managé)
🏭 ETI : Déployeur (utilise le service)

Obligations ETI :

📄 Vérifier que Rekognition est conforme IA Act (doc AWS)
👥 Former les opérateurs utilisant le système
📋 Documenter l’usage spécifique (logging, monitoring)

🏠 Cas 3 : Hébergement Modèle Propriétaire

🧠 Contexte

Une banque développe son propre modèle de scoring crédit et l’héberge sur Google Cloud (Vertex AI).

Classification : HAUT RISQUE (crédit aux personnes physiques).

Répartition :

🔴 Google Cloud : Fournisseur infrastructure (PaaS)
🏦 Banque : Fournisseur IA (modèle propriétaire) + Déployeur

Obligations banque (complètes) :

📄 Documentation technique exhaustive
🧪 Tests de conformité et biais
✅ Évaluation de conformité
🏷️ Marquage CE
📈 Surveillance post-marché

« Le cloud simplifie l’infrastructure, pas la conformité. Un modèle haut risque reste haut risque, qu’il soit on-premise ou en cloud. »
— RSSI, groupe bancaire, 2025

🚀 Plan d’Action pour Utilisateurs Cloud IA

ia cloudtech act - Dashboard monitoring cloud

Photo par Carlos Muza sur Unsplash

Voici la roadmap pour les entreprises utilisant le cloud pour leurs workloads IA.

Inventaire Services Cloud IA (Sem. 1-2)

Cartographier tous les services cloud utilisés : IaaS, PaaS, SaaS, APIs IA. Identifier les services contenant de l’IA. Distinguer IA managée vs IA développée en interne.

Classification des Responsabilités (Sem. 3-4)

Pour chaque service IA : qui est fournisseur IA ? Qui est déployeur ? Identifier les zones grises (PaaS notamment). Documenter la répartition.

Audit Contrats Cloud (Sem. 5-8)

Vérifier les contrats existants. Identifier les clauses manquantes. Demander les avenants IA Act aux fournisseurs. Négocier les points critiques.

Formation Équipes Cloud/IA (Sem. 9-14)

Former les équipes DevOps, Data, Cloud. Certificat Article 4. Articuler avec formations cloud existantes (AWS Certified, Azure, GCP).

Documentation Usages (Sem. 15-22)

Documenter vos usages spécifiques des services IA cloud. Créer les Model Cards pour vos modèles propriétaires. Intégrer la doc fournisseur.

Tests et Monitoring (Sem. 23-28)

Mettre en place le monitoring des services IA cloud. Configurer les alertes. Tester les procédures d’incident.

Gouvernance Continue (Continu)

Processus de validation pour nouveaux services IA cloud. Revue périodique des contrats. Veille sur les mises à jour fournisseurs.

💰 Estimateur Budget Conformité CloudTech

Type d’organisation

Nombre de services IA cloud utilisés

Effectif à former (DevOps, Data, Cloud)

Modèles IA propriétaires hébergés ?

❓ Questions Fréquentes IA CloudTech Act

AWS, Azure, Google Cloud sont-ils fournisseurs IA ?

Cela dépend du service. Pour l’infrastructure pure (IaaS), ils sont simples hébergeurs. Pour les services IA managés (Rekognition, Cognitive Services, Vertex AI), ils sont fournisseurs IA avec obligations complètes. La classification dépend du niveau de service utilisé.

Qui est responsable : fournisseur cloud ou client ?

Responsabilité partagée selon le modèle. IaaS : client assume quasi-tout. PaaS : partagé selon composants. SaaS IA : fournisseur = fournisseur IA, client = déployeur. Les contrats doivent clarifier cette répartition.

Les modèles GPAI hébergés en cloud sont-ils concernés ?

Oui, pleinement concernés. Le fournisseur du modèle (OpenAI, Anthropic) a des obligations GPAI. Le fournisseur cloud qui distribue peut avoir des obligations de distributeur. Le client qui intègre devient déployeur. Triple chaîne de responsabilité.

La localisation des données impacte-t-elle la conformité ?

L’IA Act s’applique aux systèmes utilisés dans l’UE, quelle que soit la localisation des serveurs. Cependant, la localisation impacte RGPD et NIS2. Les hyperscalers proposent des régions européennes. Pour les systèmes haut risque, documenter la localisation est recommandé.

Les clauses contractuelles cloud doivent-elles évoluer ?

Oui, les contrats doivent intégrer des clauses IA Act : répartition responsabilités, accès documentation, notification mises à jour, droits d’audit, incidents IA. Les grands fournisseurs mettent à jour leurs CGV. Vérifiez vos contrats existants.

Un SaaS utilisant l’IA doit-il être certifié ?

Si le SaaS utilise un système IA haut risque (RH, crédit, santé), le fournisseur SaaS doit respecter les obligations fournisseur IA : documentation, tests, évaluation de conformité, marquage CE. SaaS avec IA minimale ou risque limité : obligations proportionnées.

✅ Conclusion : CloudTech et IA Act

Le cloud computing ne simplifie pas la conformité IA Act, il répartit différemment les responsabilités entre fournisseur et client.

Les hyperscalers assument les obligations sur leurs services IA managés, mais le client reste toujours déployeur et parfois fournisseur pour ses usages spécifiques.

                🎯 Les 3 Priorités Immédiates
                1️⃣ Cartographier tous vos services cloud contenant de l’IA
2️⃣ Auditer vos contrats cloud pour les clauses IA Act
3️⃣ Former vos équipes Cloud/DevOps/Data (Article 4)

            