Sous-Traitance IA et IA Act : Responsabilités
La chaîne de responsabilité IA Act
67% des entreprises utilisent des prestataires externes pour leurs systèmes IA. Mais la responsabilité ne se délègue pas : le donneur d'ordre reste responsable de la conformité globale.
Vous avez externalisé le développement de votre système IA ? Confié la maintenance à une ESN ? Hébergé votre modèle chez un cloud provider ? Vous restez responsable.
L'IA Act crée une chaîne de responsabilité où chaque acteur a des obligations. Le donneur d'ordre ne peut pas se cacher derrière son sous-traitant. Et le sous-traitant ne peut pas ignorer la destination finale de son travail.
Ce guide clarifie les responsabilités, les clauses contractuelles obligatoires, et comment sécuriser vos relations avec les prestataires IA.
Par Loïc Gros-Flandre
Directeur de Modernee - Agence IA et Fondateur de Soignant Voice. Expert en conformité IA et gestion des prestataires.
Ce que vous allez apprendre
- → Qui est responsable : donneur d'ordre vs sous-traitant
- → Clauses contractuelles obligatoires
- → 3 cas pratiques : ESN, cloud, offshore
- → Comment auditer vos sous-traitants
- → Guide en 7 étapes pour sécuriser la chaîne
Infographie : Chaîne de responsabilité en sous-traitance IA
⚖️ Qui Est Responsable : Donneur d'Ordre ou Sous-Traitant ?
La réponse courte : les deux. Mais pas au même niveau.
L'IA Act établit une chaîne de responsabilité où chaque acteur a des obligations spécifiques. Comprendre ces obligations est essentiel pour les entreprises utilisant l'IA.
🏢 Le Donneur d'Ordre (Déployeur)
Vous utilisez un système IA pour votre activité ? Vous êtes déployeur au sens de l'IA Act, même si vous n'avez pas développé le système vous-même.
Vos responsabilités :
- 📋 Vérifier la conformité du système avant déploiement
- 👥 Former les utilisateurs (Article 4)
- 👁️ Superviser le fonctionnement en production
- 🚨 Signaler les incidents aux autorités
- 🔍 Contrôler vos sous-traitants
Point crucial
La sous-traitance ne transfère pas la responsabilité. Vous ne pouvez pas dire "c'est la faute de mon prestataire" lors d'un contrôle.
🔧 Le Sous-Traitant
Le sous-traitant a une responsabilité directe pour son périmètre d'intervention :
- 📄 Documentation technique de sa contribution
- 🎓 Formation de ses propres équipes
- ✅ Exécution conforme aux exigences contractuelles
- 🔔 Alerter le client sur les risques identifiés
🔄 Quand le Sous-Traitant Devient Fournisseur
Attention : un sous-traitant peut devenir fournisseur (avec des obligations plus lourdes) s'il :
- 1️⃣ Commercialise le système sous son propre nom
- 2️⃣ Modifie substantiellement l'usage prévu
- 3️⃣ Apporte des modifications significatives au système
Dans ce cas, il assume les obligations complètes des fournisseurs.
"La sous-traitance IA est un transfert d'exécution, pas un transfert de responsabilité. Le donneur d'ordre reste le garant final."
— Me Sophie Lapierre, Avocate spécialisée droit du numérique
📝 Clauses Contractuelles Obligatoires
Vos contrats avec les prestataires IA doivent intégrer des clauses spécifiques. Voici les essentielles.
📋 Clause de Conformité IA Act
Exemple de clause
"Le Prestataire s'engage à respecter le Règlement (UE) 2024/1689 relatif à l'intelligence artificielle. Il garantit que les travaux fournis permettent au Client de satisfaire à ses obligations au titre de ce règlement."
🔍 Clause d'Audit
Indispensable pour les systèmes haut risque :
- ✅ Droit d'auditer sur site ou à distance
- ✅ Accès aux locaux, systèmes, documentation
- ✅ Préavis raisonnable (7-15 jours)
- ✅ Possibilité d'audit par tiers de confiance
📚 Clause de Documentation
Le sous-traitant doit fournir :
- 📄 Documentation technique de sa contribution
- 🧪 Résultats de tests et validations
- 📊 Données d'entraînement utilisées (si applicable)
- 🔄 Historique des modifications
🎓 Clause de Formation
Les équipes du sous-traitant doivent être formées :
Exemple de clause
"Le Prestataire garantit que les collaborateurs affectés au projet ont reçu une formation adaptée à l'IA Act conformément à l'Article 4 du Règlement. Il fournira les attestations de formation sur demande."
🚨 Clause de Signalement
Le sous-traitant doit alerter en cas de :
- ⚠️ Incident de sécurité impactant le système IA
- 🐛 Dysfonctionnement ou comportement inattendu
- 📉 Dégradation des performances
- ❌ Non-conformité détectée
🔚 Clause de Résiliation
Prévoyez la sortie en cas de non-conformité :
| Situation | Action | Délai |
|---|---|---|
| Non-conformité mineure | Mise en demeure + Plan de correction | 30 jours |
| Non-conformité majeure | Pénalités + Résiliation possible | 15 jours |
| Incident grave | Suspension immédiate + Résiliation | Immédiat |
🎯 Vos contrats sont-ils conformes IA Act ? (Quiz 5 min)
🏢 3 Cas Pratiques : ESN, Cloud, Offshore
💼 Cas 1 : Développement par une ESN
Une grande entreprise confie le développement d'un système de scoring RH à une ESN.
Niveau de risque : HAUT
Système RH = Annexe III de l'IA Act. Toutes les obligations haut risque s'appliquent.
Responsabilités du donneur d'ordre :
- 📋 Définir les exigences IA Act dans le cahier des charges
- 🔍 Auditer la conformité avant réception
- 👥 S'assurer que l'ESN forme ses développeurs
- 📄 Récupérer toute la documentation technique
Responsabilités de l'ESN :
- 🎓 Former ses équipes à l'IA Act
- 📄 Documenter l'architecture, les données, les tests
- 🧪 Réaliser les tests de biais et performance
- 🔔 Alerter le client sur les risques identifiés
Budget conformité : 30K€ - 60K€ (réparti entre les parties)
☁️ Cas 2 : Hébergement Cloud (AWS, Azure, GCP)
Une entreprise héberge son modèle IA chez un cloud provider américain.
Complexité : Localisation et conformité
Le cloud provider n'est pas exempté de l'IA Act si le système est déployé dans l'UE.
Points d'attention :
- 📍 Localisation des données : Assurez-vous de la conformité RGPD + IA Act
- 📋 Contrat cloud : Vérifiez les clauses de conformité réglementaire
- 🔒 Sécurité : Le cloud provider doit garantir la sécurité de l'infrastructure
- 🔍 Audit : Exigez un droit d'audit ou des certifications tierces (SOC 2, ISO 27001)
Conseil pratique : Les grands cloud providers proposent des addendums IA Act. Demandez-les.
Budget conformité : 10K€ - 25K€ (principalement revue juridique)
🌍 Cas 3 : Développement Offshore
Une PME fait développer son chatbot par une équipe en Inde.
Risque élevé : Contrôle et conformité
La distance complique les audits. Le prestataire offshore peut ignorer l'IA Act européen.
Mesures spécifiques :
- 📋 Contrat de droit européen : Imposez l'application de l'IA Act contractuellement
- 🎓 Formation obligatoire : Financez la formation de l'équipe offshore
- 🔍 Audits renforcés : Audits distants fréquents + audit sur site annuel
- 👤 Responsable local : Désignez un interlocuteur européen responsable
Budget conformité : 40K€ - 80K€ (formation + audits + coordination)
"L'offshore n'est pas incompatible avec l'IA Act, mais il exige une gouvernance renforcée. Le coût de la conformité peut réduire l'avantage économique."
— Dr. Antoine Duval, Expert procurement IT
🔍 Comment Auditer Vos Sous-Traitants IA
L'audit des sous-traitants IA n'est pas un simple questionnaire. C'est une évaluation structurée de leur conformité.
📋 Checklist d'Audit Sous-Traitant IA
1. Gouvernance IA
- ✅ Politique IA documentée
- ✅ Responsable IA désigné
- ✅ Formation Article 4 des équipes
2. Documentation Technique
- ✅ Architecture du système documentée
- ✅ Données d'entraînement tracées
- ✅ Tests de performance documentés
- ✅ Tests de biais réalisés
3. Sécurité et Incidents
- ✅ Procédure de gestion des incidents
- ✅ Historique des incidents (si applicable)
- ✅ Plan de continuité
4. Sous-traitance en cascade
- ✅ Liste des sous-sous-traitants
- ✅ Clauses IA Act dans leurs contrats
📊 Fréquence des Audits
| Niveau de risque | Fréquence audit | Type |
|---|---|---|
| Haut risque (RH, santé, crédit) | Annuel + déclencheurs | Audit complet sur site |
| Risque modéré | Tous les 2 ans | Audit documentaire + entretiens |
| Risque faible (cloud, infrastructure) | Tous les 3 ans | Questionnaire + certifications |
📋 Guide de Gestion Sous-Traitants en 7 Étapes
Voici le processus pour sécuriser votre chaîne de sous-traitance IA.
Cartographier les Sous-Traitants IA (2 semaines)
Identifiez tous les prestataires impliqués : développement, données, hébergement, maintenance, annotation. N'oubliez pas la sous-traitance en cascade.
Évaluer le Niveau de Risque (1 semaine)
Classifiez chaque relation selon l'impact sur vos systèmes IA haut risque. Priorisez les sous-traitants critiques.
Rédiger les Clauses Contractuelles (4 semaines)
Créez un modèle de clauses IA Act à intégrer dans tous les contrats. Adaptez selon le niveau de risque.
Mettre à Jour les Contrats Existants (6 semaines)
Négociez des avenants avec vos prestataires actuels. Commencez par les plus critiques.
Planifier les Audits (2 semaines)
Définissez le calendrier d'audit selon le risque. Préparez les questionnaires et checklists.
Former les Équipes Achats (2 semaines)
Sensibilisez les acheteurs et gestionnaires de contrats. Ils doivent comprendre les enjeux IA Act.
Instaurer la Gouvernance Continue (Continu)
Mettez en place le suivi : revues périodiques, alertes, re-qualification des sous-traitants.
💰 Estimateur Budget Conformité Sous-Traitance
❓ Questions Fréquentes sur la Sous-Traitance IA
Oui. Le donneur d'ordre reste responsable de la conformité globale.
Il doit s'assurer que ses sous-traitants respectent l'IA Act. C'est une responsabilité partagée, pas un transfert.
Clauses essentielles : conformité IA Act, accès à la documentation, droit d'audit, formation Article 4, signalement incidents, résiliation pour non-conformité.
Oui, s'il commercialise le système sous son nom ou le modifie substantiellement.
Dans ce cas, il assume les obligations fournisseur complètes.
Pas avec la même intensité. Priorisez selon le risque : audit complet pour les critiques, questionnaire pour les génériques (cloud).
Oui, si leur travail impacte des systèmes déployés dans l'UE.
Imposez l'IA Act contractuellement. La localisation n'exempte pas.
Exigez la transparence : votre sous-traitant doit déclarer ses propres sous-traitants et leur imposer les mêmes obligations.
Avant août 2026. Prévoyez 6-9 mois pour négocier les avenants.
Commencez maintenant par les sous-traitants critiques.
Négociable. Options : sous-traitant absorbe, partage des coûts, ou donneur d'ordre finance.
Les grands comptes imposent souvent au sous-traitant.
Oui, si une clause de résiliation IA Act est prévue.
Prévoyez des pénalités graduées : mise en demeure, pénalités, puis résiliation.
Absolument. Les ESN développant ou intégrant des systèmes IA sont des sous-traitants au sens IA Act.
Elles doivent former leurs équipes et documenter leur travail.
🎓 Formez Vos Équipes Achats et Juridiques
La gestion des sous-traitants IA nécessite des compétences spécifiques. Acheteurs, juristes, et chefs de projet doivent comprendre l'IA Act.
Formation Certifiante AI Act - Module Sous-Traitance
Maîtrisez les clauses contractuelles, les audits, et la gouvernance des prestataires IA.
- ✅ Clauses contractuelles obligatoires
- ✅ Méthodologie d'audit
- ✅ Gestion offshore
- ✅ Certificat reconnu
Finançable OPCO • Accès illimité 12 mois
✅ Conclusion : Sécurisez Votre Chaîne de Sous-Traitance
La sous-traitance IA n'est pas un transfert de responsabilité. C'est un transfert d'exécution avec une responsabilité partagée.
Les 3 points essentiels à retenir
- 1️⃣ Responsabilité partagée : Donneur d'ordre et sous-traitant sont tous deux responsables
- 2️⃣ Clauses obligatoires : Conformité, audit, formation, signalement, résiliation
- 3️⃣ Audits réguliers : Contrôlez la conformité de vos prestataires critiques
Les entreprises qui maîtrisent leur chaîne de sous-traitance IA auront un avantage compétitif. Celles qui négligent ce sujet s'exposent aux sanctions et aux interruptions de service.
Le compte à rebours est lancé. Mettez à jour vos contrats avant l'échéance.
Sources Officielles Citées
- Règlement (UE) 2024/1689 - Texte officiel IA Act • Journal officiel de l'UE
- CNIL - Guide Sous-Traitance • Bonnes pratiques RGPD applicables
- Commission européenne - Cadre réglementaire IA • Documentation officielle