Retour au blog

Fournisseur ou déployeur d'IA : qui est responsable de quoi selon l'AI Act ?

1 juillet 20266 min de lecture

Vous utilisez un outil d'IA dans votre entreprise ? Vous avez intégré une solution d'intelligence artificielle dans votre produit ou service ? Selon votre situation, le règlement européen sur l'IA — l'AI Act — vous attribue un rôle précis : celui de fournisseur ou de déployeur. Et avec ce rôle, des responsabilités bien distinctes. Beaucoup de dirigeants de PME ignorent encore dans quelle case ils se trouvent, ce qui les expose à des risques juridiques réels avant l'échéance du 2 août 2026. Voici ce que vous devez savoir.

Fournisseur ou déployeur : deux définitions précises dans l'AI Act

L'AI Act, dans ses définitions (Article 3), est explicite sur ces deux notions fondamentales.

Le fournisseur (ou « provider » en anglais) est la personne physique ou morale qui développe un système d'IA ou qui le fait développer, et qui le met sur le marché ou le met en service sous son propre nom ou sa propre marque. En clair : si vous créez un logiciel intégrant de l'IA pour le vendre à d'autres entreprises ou au grand public, vous êtes fournisseur.

Le déployeur (ou « deployer ») est quant à lui la personne physique ou morale qui utilise un système d'IA sous sa propre autorité, dans le cadre d'une activité professionnelle. Concrètement : si vous achetez ou licenciez un outil d'IA existant pour l'intégrer dans vos processus internes ou vos services clients, vous êtes déployeur.

La distinction semble simple, mais la réalité des PME est souvent plus nuancée. Une entreprise peut être simultanément fournisseur et déployeur — par exemple si elle développe un système d'IA pour usage interne et l'utilise ensuite dans sa propre production.

Les obligations du fournisseur : la charge la plus lourde

Le règlement fait peser sur les fournisseurs les obligations les plus substantielles, notamment pour les systèmes d'IA dits à haut risque. Voici les principales responsabilités :

  • Concevoir le système en conformité avec les exigences de l'AI Act : gestion des risques, qualité des données, documentation technique, transparence, robustesse et cybersécurité.
  • Réaliser une évaluation de conformité avant la mise sur le marché, et tenir à jour la documentation technique tout au long du cycle de vie du produit.
  • Établir un système de management de la qualité (QMS) adapté à la taille et au contexte de l'organisation.
  • Enregistrer le système d'IA dans la base de données européenne prévue à cet effet, lorsque cela est requis.
  • Apposer le marquage CE pour les systèmes à haut risque mis sur le marché de l'UE.
  • Fournir aux déployeurs toute l'information nécessaire : notice d'utilisation, instructions claires sur les conditions d'usage, les limites et les risques résiduels du système.

Pour une PME qui développe un outil SaaS intégrant de l'IA — un logiciel de scoring de crédit, un outil de recrutement automatisé, un système de triage médical — ces obligations sont non négligeables et doivent être anticipées bien avant la commercialisation.

Les obligations du déployeur : moins lourdes, mais réelles

Être déployeur ne signifie pas être exempt de responsabilités. L'AI Act impose aux déployeurs un ensemble d'obligations concrètes, particulièrement pour les systèmes à haut risque :

  • Utiliser le système conformément aux instructions fournies par le fournisseur. Tout usage en dehors du cadre prévu peut faire basculer la responsabilité vers le déployeur.
  • Mettre en place une surveillance humaine appropriée lors de l'utilisation du système.
  • Assurer la protection des données traitées par le système, en conformité avec le RGPD et les exigences de l'AI Act.
  • Informer les personnes concernées lorsqu'elles interagissent avec un système d'IA, notamment dans les cas où cela est requis par le règlement (par exemple, les systèmes d'interaction automatisée).
  • Signaler les incidents graves aux autorités compétentes et au fournisseur.
  • Conserver des journaux d'activité générés automatiquement par le système, dans la mesure où cela est techniquement possible.

Pour une PME qui utilise un logiciel RH basé sur l'IA pour présélectionner des candidatures, ou un outil d'analyse de solvabilité pour ses clients, ces obligations s'appliquent pleinement. L'ignorance du règlement ne constitue pas une défense recevable.

Quand les responsabilités se chevauchent ou se transfèrent

L'AI Act prévoit des situations dans lesquelles les responsabilités peuvent se déplacer d'un acteur à l'autre. C'est un point crucial pour les PME qui personnalisent des outils d'IA existants.

Si un déployeur modifie substantiellement un système d'IA — en réentraînant le modèle, en changeant sa finalité initiale ou en altérant ses paramètres fondamentaux — il peut être requalifié en fournisseur et se voir appliquer l'ensemble des obligations correspondantes. Cette requalification est un risque concret pour les entreprises qui adaptent des modèles open source ou qui configurent profondément des solutions tierces.

De même, lorsqu'un fournisseur ne fournit pas une documentation suffisante ou des instructions d'utilisation adéquates, la responsabilité partagée entre les deux parties devient un terrain de contentieux potentiel. Il est donc fortement recommandé de formaliser les relations contractuelles entre fournisseurs et déployeurs, en précisant explicitement les rôles, les responsabilités et les engagements de conformité de chaque partie.

Ce que cela signifie concrètement pour votre PME

La première étape pour toute PME est de cartographier ses systèmes d'IA et d'identifier clairement son rôle pour chacun d'eux. Voici quelques questions simples pour vous orienter :

  • Avez-vous développé ou fait développer un système d'IA que vous commercialisez ? → Vous êtes probablement fournisseur.
  • Utilisez-vous un outil d'IA acheté auprès d'un tiers dans vos opérations quotidiennes ? → Vous êtes probablement déployeur.
  • Avez-vous modifié ou personnalisé en profondeur un système d'IA existant ? → Vous pourriez être requalifié en fournisseur.

Une fois votre rôle identifié, il convient d'évaluer le niveau de risque des systèmes concernés — inacceptable, haut risque, risque limité ou risque minimal — car c'est ce niveau qui détermine l'intensité des obligations applicables. L'AI Act adopte une approche proportionnée : plus le risque est élevé, plus les exigences sont strictes.

N'oubliez pas que les premières échéances de l'AI Act sont déjà actives pour certaines catégories de systèmes, et que l'ensemble du cadre sera pleinement applicable à partir du 2 août 2026. Attendre la dernière minute pour se mettre en conformité est une stratégie risquée, tant sur le plan juridique que sur le plan opérationnel.

Conclusion : ne laissez pas l'ambiguïté des rôles devenir un risque juridique

La distinction entre fournisseur et déployeur d'IA n'est pas une simple question de terminologie : elle détermine l'ensemble de vos obligations légales au titre de l'AI Act. Mal identifier votre rôle, c'est risquer de passer à côté d'exigences essentielles — ou au contraire de vous imposer des contraintes qui ne vous concernent pas. Dans les deux cas, votre entreprise est exposée.

La bonne nouvelle, c'est que cette clarification est accessible à toutes les PME, à condition de s'y atteler avec méthode. Chez Audityo, nous avons conçu un outil spécifiquement pour aider les PME européennes à identifier leur rôle, cartographier leurs systèmes d'IA et prioriser leurs actions de mise en conformité — le tout avant le 2 août 2026.

Faites votre diagnostic de conformité gratuit sur audityo.eu et découvrez en quelques minutes où vous en êtes et ce que vous devez faire en priorité.