Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Jeudi 2 juillet 2026
AI Act

Fournisseur ou déployeur AI Act : la distinction 2026

Fournisseur ou déployeur AI Act : test de qualification (art. 3), obligations respectives (art. 16 et 26) et cas où le déployeur devient fournisseur.

L’essentiel. Le règlement (UE) 2024/1689 (AI Act) fait reposer ses obligations sur deux rôles distincts : le fournisseur (celui qui développe ou fait développer un système d’IA et le met sur le marché sous son nom) et le déployeur (celui qui l’utilise sous sa propre autorité, dans un cadre professionnel). Le fournisseur d’un système à haut risque supporte l’essentiel de la charge de conformité (article 16) ; le déployeur assume des obligations plus légères mais réelles (article 26). Point critique pour les PME : l’article 25 prévoit qu’un déployeur peut basculer dans le statut de fournisseur — et hériter de toutes ses obligations — s’il appose son nom sur un système à haut risque, le modifie substantiellement ou détourne sa finalité. Savoir se qualifier correctement conditionne l’intégralité de votre plan de mise en conformité.

Beaucoup d’entreprises françaises abordent l’AI Act en se demandant « quelles sont mes obligations ? » avant de s’être posé la seule question qui commande la réponse : quel est mon rôle ? Le règlement européen sur l’intelligence artificielle n’impose pas les mêmes devoirs à celui qui conçoit un système et à celui qui se contente de l’utiliser. Cette architecture, calquée sur le droit des produits, distingue une chaîne d’acteurs — fournisseur, mandataire, importateur, distributeur, déployeur — dont chacun porte une part de responsabilité proportionnée à son contrôle réel sur le système.

Pour une PME qui déploie un outil de recrutement algorithmique, un logiciel de scoring ou un assistant conversationnel acheté à un éditeur, la qualification n’est pas un exercice académique : elle détermine si vous devez produire une documentation technique de plusieurs centaines de pages ou simplement organiser une surveillance humaine. Et une erreur d’appréciation peut vous exposer, sans que vous l’ayez anticipé, aux sanctions de l’article 99 — jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires mondial pour les manquements les plus graves.

Le cadre légal : deux rôles définis à l’article 3

L’article 3 du règlement (UE) 2024/1689 fixe les définitions qui structurent tout l’édifice.

Le fournisseur (article 3, point 3) est « une personne physique ou morale, une autorité publique, une agence ou tout autre organisme qui développe ou fait développer un système d’IA ou un modèle d’IA à usage général et le met sur le marché ou met le système d’IA en service sous son propre nom ou sa propre marque, à titre onéreux ou gratuit ». Trois éléments cumulatifs : un développement (direct ou sous-traité), une mise sur le marché ou en service, et l’apposition d’un nom ou d’une marque.

Le déployeur (article 3, point 4) est « une personne physique ou morale, une autorité publique, une agence ou un autre organisme utilisant sous sa propre autorité un système d’IA sauf lorsque ce système est utilisé dans le cadre d’une activité personnelle à caractère non professionnel ». Le critère central est l’usage sous sa propre autorité dans un contexte professionnel. Un cabinet qui utilise un logiciel de tri de CV, un hôpital qui exploite un outil d’aide au diagnostic, une banque qui fait tourner un moteur de scoring : tous sont des déployeurs.

Le calendrier d’application détermine quand ces obligations mordent réellement. Les règles sur les modèles à usage général (GPAI, chapitre V) s’appliquent depuis le 2 août 2025. Les obligations relatives aux systèmes à haut risque de l’annexe III entrent en application, pour l’essentiel, le 2 août 2026, avec des échéances repoussées à 2027 pour les systèmes intégrés à des produits déjà soumis à une législation d’harmonisation. Pour la vue d’ensemble, consultez notre calendrier de l’AI Act.

Test de qualification : êtes-vous fournisseur ou déployeur ?

La qualification se joue sur quelques questions simples, à traiter dans l’ordre.

Question Réponse Rôle probable
Avez-vous développé le système (ou l’avez-vous fait développer) et le mettez-vous sur le marché sous votre nom ? Oui Fournisseur
Utilisez-vous, sous votre autorité et dans un cadre professionnel, un système développé par un tiers ? Oui Déployeur
Apposez-vous votre marque sur un système à haut risque déjà commercialisé (white-labeling) ? Oui Fournisseur (art. 25)
Modifiez-vous substantiellement un système à haut risque, ou détournez-vous sa finalité ? Oui Fournisseur (art. 25)
Vous contentez-vous de paramétrer et d’utiliser l’outil tel que fourni ? Oui Déployeur

La difficulté tient à ce qu’un même acteur peut cumuler les deux casquettes selon les systèmes qu’il exploite. Une entreprise peut être déployeur d’un CRM à IA acheté sur étagère, et simultanément fournisseur d’un outil interne qu’elle a développé et propose à ses filiales. La qualification s’apprécie système par système, jamais globalement — d’où l’intérêt d’un registre des systèmes d’IA qui trace ce rôle pour chaque outil.

Les obligations du fournisseur (article 16)

Le fournisseur d’un système à haut risque porte le cœur de la conformité. L’article 16 énumère ses obligations, détaillées dans les articles 8 à 15 :

  • Système de gestion des risques documenté et tenu à jour tout au long du cycle de vie (art. 9) ;
  • Gouvernance des données d’entraînement, de validation et de test, avec exigences de qualité et de représentativité (art. 10) ;
  • Documentation technique complète, conforme à l’annexe IV, établie avant la mise sur le marché (art. 11) — voir notre analyse de la documentation technique AI Act ;
  • Journalisation automatique des événements (art. 12) ;
  • Transparence et fourniture d’une notice d’utilisation au déployeur (art. 13) ;
  • Surveillance humaine conçue dès la conception (art. 14) ;
  • Exactitude, robustesse et cybersécurité (art. 15) ;
  • Système de management de la qualité (art. 17), évaluation de la conformité et marquage CE, enregistrement dans la base de données de l’UE, surveillance après commercialisation et notification des incidents graves.

C’est une charge lourde, qui suppose des ressources d’ingénierie et de conformité que peu de PME possèdent en interne. C’est précisément pourquoi la qualification importe : basculer involontairement dans le statut de fournisseur transforme radicalement votre exposition.

Les obligations du déployeur (article 26)

Le déployeur d’un système à haut risque assume des obligations plus circonscrites, centrées sur l’usage correct et la vigilance (article 26) :

  • Utiliser le système conformément à la notice fournie par le fournisseur ;
  • Confier la surveillance humaine à des personnes compétentes, formées et dotées de l’autorité nécessaire ;
  • Veiller à la pertinence des données d’entrée que le déployeur contrôle, au regard de la finalité du système ;
  • Surveiller le fonctionnement et suspendre l’usage puis informer le fournisseur en cas de risque ou d’incident grave ;
  • Conserver les journaux générés automatiquement, lorsqu’ils sont sous son contrôle ;
  • Informer les travailleurs et leurs représentants avant la mise en service d’un système à haut risque sur le lieu de travail ;
  • Le cas échéant, réaliser une analyse d’impact sur les droits fondamentaux (art. 27) pour certains déployeurs, et coopérer à l’analyse d’impact relative à la protection des données (AIPD) lorsque le RGPD l’exige.

Le déployeur reste par ailleurs pleinement soumis au RGPD lorsqu’il traite des données personnelles : il est le plus souvent responsable de traitement, avec les obligations correspondantes en matière de base légale, d’information et, le cas échéant, de décision individuelle automatisée (article 22).

Quand le déployeur devient fournisseur : l’article 25

C’est le point le plus mal compris — et le plus dangereux — du règlement. L’article 25 énumère trois situations dans lesquelles un déployeur (ou un distributeur, un importateur, un tiers) est réputé fournisseur d’un système à haut risque et hérite des obligations de l’article 16 :

  1. Le white-labeling (marque). Le déployeur appose son nom ou sa marque sur un système à haut risque déjà mis sur le marché. Exemple : un éditeur français achète un moteur de scoring RH à un tiers, le rebaptise à sa marque et le revend. Il devient fournisseur.

  2. La modification substantielle. Le déployeur apporte une modification substantielle à un système à haut risque déjà commercialisé, de sorte qu’il reste à haut risque. La notion de modification substantielle (définie à l’article 3, point 23) vise un changement non prévu dans l’évaluation de conformité initiale, affectant la conformité ou la finalité. Un simple paramétrage ne suffit pas ; une réarchitecture, oui.

  3. Le détournement de finalité. Le déployeur modifie la finalité prévue d’un système d’IA (y compris à usage général) de telle sorte qu’il devient un système à haut risque au sens de l’article 6 et de l’annexe III. Détourner un chatbot généraliste pour en faire un outil de tri de candidatures, par exemple, peut faire basculer le déployeur en fournisseur.

Le fine-tuning mérite une mention particulière. Adapter finement un modèle à usage général sur ses propres données peut, selon l’ampleur et l’effet de l’adaptation, constituer une modification substantielle. Le règlement ne fixe pas de seuil chiffré, et les actes d’exécution et lignes directrices de la Commission attendus sur ce point restent, à ce jour, partiellement en cours d’élaboration. Il faut donc traiter chaque cas de fine-tuning avec prudence et documenter la nature et l’ampleur de l’intervention. Cette incertitude appelle une veille active — voir notre suivi actualité IA 2026.

Lorsque le basculement se produit, l’article 25, paragraphe 2, prévoit que le fournisseur initial doit coopérer et fournir les informations nécessaires — mais la responsabilité principale se déplace vers le nouveau fournisseur.

Scénarios pratiques pour PME françaises

Scénario 1 — Le cabinet de recrutement. Une PME utilise un logiciel de présélection de CV acheté à un éditeur, tel quel. Le recrutement figurant à l’annexe III, le système est à haut risque. La PME est déployeur (art. 26) : surveillance humaine, information des candidats, vigilance sur les biais. Voir notre analyse IA, recrutement et discrimination.

Scénario 2 — L’intégrateur qui rebaptise. Un prestataire IT intègre le même moteur de scoring, le renomme sous sa marque et le vend à ses clients. Il est fournisseur par l’effet de l’article 25 : documentation technique, évaluation de conformité, marquage CE.

Scénario 3 — Le fine-tuning maison. Une ETI adapte finement un modèle à usage général sur ses données internes pour automatiser un scoring d’accès au crédit — un usage relevant de l’annexe III, point 5(b). Selon l’ampleur de l’adaptation, elle risque de devenir fournisseur d’un système à haut risque. À traiter avec l’appui d’un conseil et à documenter rigoureusement.

Scénario 4 — L’outil bureautique. Une PME déploie Microsoft Copilot ou un assistant type ChatGPT pour la productivité, sans usage à haut risque. Elle est déployeur d’un système à finalité générale : obligations de transparence (art. 50) et surtout obligation transversale de formation à l’IA (article 4), applicable depuis le 2 février 2025.

Cartographier ce rôle pour chaque système, et le maintenir à jour à chaque évolution contractuelle ou technique, est un travail de fond. Des plateformes de gouvernance comme Legiscope permettent de centraliser cette qualification et de rattacher à chaque système les obligations correspondantes, en articulation avec le registre RGPD.

Recommandations opérationnelles

  1. Cartographiez système par système. Pour chaque outil d’IA, tranchez le rôle (fournisseur / déployeur) et consignez-le dans votre registre des systèmes d’IA.
  2. Sécurisez le contrat. Faites préciser dans vos contrats fournisseurs qui porte quelle obligation, et exigez la notice d’utilisation et la documentation nécessaires (voir clauses contractuelles SaaS IA).
  3. Encadrez le fine-tuning et le rebranding. Toute adaptation d’un modèle ou apposition de marque doit passer par une revue juridique préalable pour éviter un basculement involontaire.
  4. Classez le risque en amont. Utilisez notre grille de classification des risques IA avant d’affecter les obligations.
  5. Documentez. En cas de contrôle, c’est votre documentation qui fera foi, y compris vis-à-vis de la CNIL sur le volet données personnelles.

FAQ

Peut-on être fournisseur et déployeur en même temps ?

Oui, mais pour des systèmes différents. On peut être déployeur d’un outil acheté et fournisseur d’un outil développé en interne. La qualification s’apprécie système par système, jamais au niveau de l’entreprise dans son ensemble.

Le fine-tuning d’un modèle fait-il automatiquement de moi un fournisseur ?

Non, pas automatiquement. Tout dépend de l’ampleur de la modification et de son effet sur la finalité et la conformité. Un paramétrage léger ne suffit pas ; une adaptation substantielle qui maintient ou crée un système à haut risque peut, en revanche, entraîner le basculement au titre de l’article 25. Les lignes directrices de la Commission sur ce point sont encore en cours de précision : documentez chaque cas.

Un déployeur qui n’utilise que des IA « à risque limité » a-t-il des obligations ?

Oui, deux principalement : les obligations de transparence de l’article 50 (informer que l’utilisateur interagit avec une IA, marquer les contenus générés) et l’obligation de formation à l’IA de l’article 4, applicable depuis le 2 février 2025 à tous les acteurs, quel que soit le niveau de risque.

Qui est responsable en cas de dommage causé par un système à haut risque ?

L’AI Act répartit des obligations administratives ; la responsabilité civile relève d’autres régimes. Schématiquement, le fournisseur répond des défauts de conception et de documentation, le déployeur d’un usage non conforme à la notice ou d’un défaut de surveillance humaine. Le contrat entre les parties précise utilement cette répartition.

Le statut change-t-il si j’héberge le système sur mon infrastructure ?

L’hébergement seul ne fait pas de vous un fournisseur. Ce qui compte, c’est le développement et la mise sur le marché sous votre nom, ou l’un des cas de basculement de l’article 25. Un déployeur qui héberge en interne un outil acheté reste, en principe, déployeur.

Les PME bénéficient-elles d’allègements ?

Le règlement prévoit des mesures de soutien (bacs à sable réglementaires, documentation technique simplifiée pour certaines PME, accès prioritaire). Elles n’exonèrent pas des obligations de fond. Notre article AI Act et PME détaille ces dispositifs.


Cet article présente le cadre général applicable au 2 juillet 2026. Plusieurs actes d’exécution et lignes directrices de la Commission européenne restent attendus, notamment sur la notion de modification substantielle. Vérifiez l’état du droit avant toute décision et faites-vous accompagner pour les qualifications sensibles.