Obligations des Fournisseurs IA : Responsabilités Complètes
⚠️ Responsabilité Maximale
Les fournisseurs portent la charge d'obligations la plus lourde de l'AI Act. Sur les 127 obligations identifiées, plus de 80% s'appliquent directement aux fournisseurs de systèmes à haut risque.
Vous développez, éditez ou commercialisez des solutions d'intelligence artificielle ? L'AI Act fait de vous un fournisseur (provider), le rôle le plus régulé de tout l'écosystème IA.
Cette page détaille l'ensemble de vos obligations légales : de la conception à la surveillance post-commercialisation, en passant par le marquage CE et l'enregistrement européen.
Par Loïc Gros-Flandre
Directeur de Modernee - Agence IA & Fondateur de Soignant Voice Application médical. Expert en conformité IA et transformation digitale des entreprises.
📚 Ce que vous allez apprendre
- → La définition exacte du "fournisseur" selon l'AI Act
- → Les 12 obligations majeures pour les systèmes à haut risque
- → Le processus complet d'évaluation de conformité
- → Les exigences de marquage CE et d'enregistrement
- → Les cas où un déployeur devient fournisseur
Infographie : Cycle complet de conformité pour les fournisseurs IA
🏭 Qu'est-ce qu'un Fournisseur selon l'AI Act ?
La définition du fournisseur (provider en anglais) est fondamentale car elle détermine le niveau de responsabilité le plus élevé de l'AI Act.
📖 Définition Officielle (Article 3)
"Fournisseur : personne physique ou morale, autorité publique, agence ou autre organisme qui développe un système d'IA ou un modèle d'IA à usage général ou qui fait développer un système d'IA ou un modèle d'IA à usage général et le met sur le marché ou met le système d'IA en service sous son propre nom ou sa propre marque, à titre onéreux ou gratuit."
🎯 Qui Est Fournisseur Concrètement ?
Vous êtes fournisseur si vous correspondez à l'un de ces profils :
- 💻 Éditeur de logiciel IA : Vous développez et commercialisez une solution IA
- 🚀 Startup IA : Vous créez un produit IA, même en phase beta
- 🏢 Entreprise interne : Vous développez une IA pour usage interne et la déployez
- 🔧 Intégrateur : Vous personnalisez un modèle et le commercialisez sous votre marque
- 🌐 Fournisseur de modèles : Vous proposez des API ou modèles de fondation
Pour comprendre comment ces obligations s'articulent avec celles des entreprises utilisatrices, consultez notre guide dédié.
⚠️ Attention au Changement de Rôle
Un acteur initialement déployeur peut devenir fournisseur dans certaines situations :
🔄 Vous Devenez Fournisseur Si...
- → Vous modifiez substantiellement un système IA existant
- → Vous changez l'usage prévu initial du système
- → Vous commercialisez sous votre propre marque
- → Vous intégrez un système à risque limité dans un usage haut risque
Ce changement de rôle est particulièrement important pour les PME qui intègrent des solutions tierces.
"Le critère clé est le contrôle effectif sur le système. Celui qui décide de la conception, des données et de l'usage devient fournisseur, quelle que soit l'origine du code."
— Guidance Commission Européenne, AI Act Implementation, 2025
📋 Les 12 Obligations Majeures du Fournisseur
Pour les systèmes à haut risque, le fournisseur doit respecter 12 obligations techniques et organisationnelles. Voici le détail complet.
| # | Obligation | Article | Exigence Clé |
|---|---|---|---|
| 1 | Système de gestion des risques | Art. 9 | Processus continu d'identification et traitement des risques |
| 2 | Gouvernance des données | Art. 10 | Qualité, représentativité, absence de biais des données |
| 3 | Documentation technique | Art. 11 | Dossier complet selon Annexe IV, conservé 10 ans |
| 4 | Enregistrement automatique | Art. 12 | Logs permettant la traçabilité des décisions |
| 5 | Transparence | Art. 13 | Instructions claires pour les déployeurs |
| 6 | Supervision humaine | Art. 14 | Conception permettant le contrôle humain effectif |
| 7 | Précision et robustesse | Art. 15 | Performance fiable et résistante aux perturbations |
| 8 | Cybersécurité | Art. 15 | Protection contre les attaques et manipulations |
| 9 | Évaluation de conformité | Art. 43 | Auto-évaluation ou organisme notifié |
| 10 | Marquage CE | Art. 48 | Apposition visible avant mise sur le marché |
| 11 | Déclaration de conformité | Art. 47 | Document officiel selon format Annexe V |
| 12 | Enregistrement base UE | Art. 49 | Inscription dans la base de données européenne |
📄 Focus : La Documentation Technique (Annexe IV)
La documentation technique est l'élément le plus lourd. Elle doit inclure :
- 📝 Description générale : Usage prévu, fonctionnalités, limites
- 🔧 Architecture technique : Algorithmes, modèles, composants
- 📊 Données d'entraînement : Sources, volumes, caractéristiques
- 📈 Métriques de performance : Précision, rappel, robustesse
- ⚠️ Analyse des risques : Identification et mesures d'atténuation
- 👤 Supervision humaine : Mécanismes de contrôle
- 📖 Instructions déployeur : Guide d'utilisation conforme
La documentation doit être maintenue 10 ans après la mise sur le marché.
🔒 Focus : Évaluation de Conformité
Le type d'évaluation dépend du système :
✅ Auto-évaluation (Article 43.2)
Applicable à la majorité des systèmes à haut risque. Le fournisseur évalue lui-même la conformité selon les procédures décrites à l'Annexe VI.
🏛️ Organisme Notifié Obligatoire (Article 43.1)
Requis pour : identification biométrique à distance, certaines infrastructures critiques listées à l'Annexe III. L'organisme notifié délivre un certificat de conformité.
Pour les obligations de transparence spécifiques, consultez notre guide dédié.
🎯 Testez vos connaissances Fournisseur IA (Quiz 5 min)
🏢 Cas Pratiques : 3 Fournisseurs Face à l'AI Act
Analysons trois situations concrètes de fournisseurs avec leurs obligations spécifiques.
🏥 Cas 1 : Startup MedTech (Diagnostic IA)
Contexte
Entreprise : MedScan AI (20 employés)
Produit : Logiciel d'analyse d'imagerie médicale pour détection de tumeurs
Classification : HAUT RISQUE (dispositif médical + IA)
Obligations spécifiques :
- 🔬 Évaluation par organisme notifié obligatoire (dispositif médical classe IIa+)
- 📋 Documentation technique selon Annexe IV ET MDR (Règlement Dispositifs Médicaux)
- 📊 Validation clinique avec données représentatives
- 🔄 Système de vigilance post-commercialisation renforcé
Budget estimé : 80 000€ - 120 000€ (inclut organisme notifié)
Délai : 12-18 mois
🤖 Cas 2 : Éditeur SaaS RH (Recrutement IA)
Contexte
Entreprise : TalentMatch (50 employés)
Produit : Plateforme de présélection automatique des candidatures
Classification : HAUT RISQUE (emploi, recrutement)
Obligations spécifiques :
- ⚖️ Auto-évaluation suffisante (pas d'organisme notifié requis)
- 🎯 Focus sur les biais algorithmiques : genre, origine, âge
- 📝 Instructions claires pour les déployeurs (services RH clients)
- 🔍 Audit des données d'entraînement pour représentativité
Budget estimé : 40 000€ - 60 000€
Délai : 8-12 mois
Les obligations de déploiement IA s'appliquent ensuite aux clients qui utilisent la plateforme.
💬 Cas 3 : Fournisseur API Chatbot
Contexte
Entreprise : ConversAI (15 employés)
Produit : API de chatbot conversationnel pour sites e-commerce
Classification : RISQUE LIMITÉ (chatbot standard)
Obligations spécifiques :
- 📢 Transparence : S'assurer que les déployeurs informent les utilisateurs
- 📖 Documentation des capacités et limites du chatbot
- 🎓 Formation Article 4 pour l'équipe de développement
- ⚠️ Clauses contractuelles interdisant les usages haut risque
⚠️ Risque d'Escalade
Si un client utilise le chatbot pour du scoring crédit ou du support médical, le système devient haut risque. Le fournisseur doit anticiper ces usages dans ses conditions générales.
Budget estimé : 8 000€ - 15 000€
Délai : 4-6 semaines
🚀 Plan d'Action en 7 Étapes pour les Fournisseurs
Voici le processus structuré de mise en conformité pour les fournisseurs de systèmes à haut risque.
Classifier Vos Systèmes (2 semaines)
Utilisez l'arbre de décision officiel pour déterminer le niveau de risque de chaque système IA que vous développez ou commercialisez.
Livrable : Matrice de classification risque/système
Implémenter la Gestion des Risques (4 semaines)
Mettez en place un processus d'identification, évaluation et traitement des risques. Ce processus doit être continu, pas ponctuel.
Livrable : Procédure de gestion des risques + registre
Auditer les Données d'Entraînement (3 semaines)
Documentez les sources de données, vérifiez la représentativité, identifiez les biais potentiels, et mettez en place des mesures correctives.
Livrable : Rapport de gouvernance des données
Rédiger la Documentation Technique (8 semaines)
Créez le dossier technique complet selon l'Annexe IV. C'est l'étape la plus chronophage mais essentielle.
Livrable : Dossier technique complet
Implémenter les Mesures Techniques (4 semaines)
Intégrez les logs automatiques, les mécanismes de supervision humaine, et les mesures de cybersécurité dans votre système.
Livrable : Système technique conforme + tests
Effectuer l'Évaluation de Conformité (2-6 semaines)
Réalisez l'auto-évaluation ou faites appel à un organisme notifié si votre système le requiert.
Livrable : Rapport d'évaluation + certificat si applicable
Marquage CE et Enregistrement (2 semaines)
Apposez le marquage CE, rédigez la déclaration de conformité, et inscrivez-vous dans la base de données européenne.
Livrable : Marquage CE + déclaration + inscription base UE
Pour les obligations des utilisateurs de vos systèmes, vous devez fournir des instructions claires dans votre documentation.
💰 Simulateur Budget Conformité Fournisseur
❓ Questions Fréquentes - Obligations Fournisseurs IA
Un fournisseur (provider) est toute personne physique ou morale qui développe un système IA ou le fait développer, et le met sur le marché ou le met en service sous son propre nom ou sa propre marque, à titre onéreux ou gratuit. Cela inclut les éditeurs de logiciels IA, les startups développant des solutions IA, les entreprises qui personnalisent des modèles existants sous leur marque, et les fournisseurs de modèles de fondation comme OpenAI ou Anthropic.
Cela dépend du type de système. Pour la majorité des systèmes à haut risque, une auto-évaluation suffit selon l'Article 43.2. Le fournisseur évalue lui-même sa conformité en suivant les procédures de l'Annexe VI. Cependant, pour les systèmes d'identification biométrique à distance et certaines infrastructures critiques listées spécifiquement à l'Annexe III, une évaluation par un organisme notifié est obligatoire.
Le marquage CE est une déclaration visible attestant que le système IA est conforme aux exigences de l'AI Act. Il doit être apposé de manière visible, lisible et indélébile avant la mise sur le marché. Pour les systèmes purement numériques sans support physique, il peut figurer dans l'interface utilisateur ou la documentation électronique. Le format suit les règles du Règlement 765/2008 et doit avoir une hauteur minimale de 5mm.
La documentation technique doit être conservée 10 ans après la mise sur le marché du dernier système IA concerné. Cette durée s'applique à tous les éléments : dossier technique, évaluations de conformité, déclarations, rapports d'audit, et journaux de modifications. Pour les systèmes évolutifs (SaaS, API), cette période recommence à chaque mise à jour majeure du système.
Un déployeur devient fournisseur dans quatre situations : s'il modifie substantiellement le système IA (pas juste des paramètres mineurs), s'il change l'usage prévu initial (par exemple, utiliser un chatbot pour du scoring crédit), s'il commercialise sous sa propre marque, ou s'il intègre un système à risque limité dans un usage haut risque. Dans ces cas, il hérite de toutes les obligations du fournisseur original.
Oui, les fournisseurs de modèles de fondation (GPT, Claude, Gemini, Llama...) ont des obligations additionnelles définies aux Articles 52-55. Ils doivent fournir une documentation technique des capacités et limites, une politique d'utilisation acceptable, et des obligations de transparence renforcées. Les modèles classés "à risque systémique" (plus de 10^25 FLOPS d'entraînement) ont des exigences encore plus strictes, incluant des évaluations de sécurité avancées.
Oui, tout fournisseur établi hors de l'UE qui met un système IA sur le marché européen doit désigner un mandataire établi dans l'UE avant la mise sur le marché. Ce mandataire agit comme représentant légal, doit pouvoir fournir la documentation technique, et doit coopérer avec les autorités de surveillance. Le nom et les coordonnées du mandataire doivent figurer dans la documentation et sur le système.
Les fournisseurs non conformes risquent des sanctions majeures : jusqu'à 35M€ ou 7% du CA mondial pour les pratiques interdites, 15M€ ou 3% pour les systèmes à haut risque non conformes, 7,5M€ ou 1,5% pour les informations incorrectes. Ces sanctions peuvent être cumulées avec d'autres réglementations (RGPD, MDR pour les dispositifs médicaux). Les importateurs et distributeurs peuvent aussi être sanctionnés s'ils n'ont pas vérifié la conformité.
"Le fournisseur est le premier responsable. Il ne peut pas transférer sa responsabilité aux déployeurs ou aux utilisateurs finaux."
— Considérant 78, Règlement AI Act
✅ Conclusion : Le Fournisseur, Pilier de la Conformité IA
En tant que fournisseur, vous portez la responsabilité principale de la conformité AI Act. Vos obligations sont nombreuses mais structurées.
🎯 Les 3 Priorités du Fournisseur
- 1️⃣ Classifier correctement : Le niveau de risque détermine tout
- 2️⃣ Documenter exhaustivement : La preuve est dans le dossier technique
- 3️⃣ Anticiper la surveillance : La conformité est un processus continu
La bonne nouvelle : une fois le processus en place, chaque nouveau système bénéficie du cadre établi. L'investissement initial se rentabilise.
Consultez également les obligations IA Act générales pour une vue d'ensemble de tout l'écosystème réglementaire.
🚀 Formez Vos Équipes de Développement
La formation Article 4 est obligatoire pour tous vos développeurs et product managers. Anticipez l'échéance d'août 2025.
Accéder à la Formation Certifiante → 500€✅ Finançable OPCO • ✅ Certificat nominatif • ✅ Focus développeurs et fournisseurs
L'échéance Article 4 approche. Formez vos équipes maintenant !
📚 Sources Officielles
- Règlement (UE) 2024/1689 - Articles 16-24 (Obligations Fournisseurs) • Journal officiel de l'UE
- Commission européenne - Cadre réglementaire IA • Documentation officielle
- CNIL - Dossier Intelligence Artificielle • Autorité française
- AI Act Explorer - Article 16 (Obligations Fournisseurs) • Analyse détaillée