Aperçu
Toute personne qui développe un système d'IA et le met sur le marché sous son propre nom est considérée comme fournisseur (provider) au sens de la Loi sur l'IA de l'UE. Pour les systèmes à haut risque, les fournisseurs sont soumis à des obligations étendues couvrant des exigences organisationnelles, techniques et documentaires.
De nombreuses entreprises sous-estiment le fait qu'elles sont juridiquement considérées comme fournisseurs -- même lorsqu'elles s'appuient sur des modèles ou des API existants.
Cet article explique :
- Qui est juridiquement considéré comme fournisseur
- Quelles obligations fondamentales les art. 16--25 prévoient
- Quelles exigences documentaires existent
- Comment fonctionne le marquage CE
- Comment les obligations des fournisseurs diffèrent de celles des déployeurs
Qui est « fournisseur » au sens de la Loi sur l'IA ?
Un fournisseur est toute personne physique ou morale qui :
- Développe un système d'IA ou
- Fait développer un système d'IA
- Le met sur le marché sous son propre nom ou sa propre marque
- Ou le met en service pour la première fois dans l'UE
Également pertinent :
- Changement de marque d'un système d'IA tiers
- Modification substantielle de la fonctionnalité
- Intégration propre avec modification significative du système
Changement de rôle à surveiller
Une entreprise peut passer du statut de déployeur à celui de fournisseur si elle modifie substantiellement la fonctionnalité d'un système d'IA ou le distribue sous sa propre marque.
Aperçu des obligations des fournisseurs (systèmes à haut risque)
| Obligation | Base juridique | Contenu principal |
|---|---|---|
| Gestion des risques | Art. 9 | Identification et atténuation continues des risques |
| Gouvernance des données | Art. 10 | Qualité et représentativité des données d'entraînement |
| Documentation technique | Art. 11 | Description complète du système |
| Journalisation | Art. 12 | Journalisation automatisée |
| Transparence | Art. 13 | Information des utilisateurs |
| Supervision humaine | Art. 14 | Capacités d'intervention |
| Exactitude et robustesse | Art. 15 | Exigences de performance technique |
| Système de gestion de la qualité | Art. 17 | Système de gouvernance formel |
| Évaluation de la conformité | Art. 43 | Marquage CE |
| Surveillance post-commercialisation | Art. 61 | Surveillance continue |
Système de gestion des risques (Art. 9)
Les fournisseurs doivent établir une gestion systématique des risques.
Celle-ci comprend :
- Identification des risques potentiels
- Évaluation de la probabilité de survenance
- Évaluation de la gravité des dommages potentiels
- Mise en œuvre de contre-mesures
- Mise à jour continue
Les risques peuvent concerner :
- Les droits fondamentaux
- La discrimination
- Les décisions erronées
- La manipulation
- Les failles de sécurité
Gouvernance des données (Art. 10)
Les données d'entraînement, de validation et de test doivent être :
- Pertinentes
- Représentatives
- Pauvres en erreurs
- Exemptes de biais systématiques (dans la mesure du possible)
Les éléments suivants doivent être documentés :
- Sources de données
- Critères de sélection
- Étapes de nettoyage
- Tests de biais
Pertinence pratique
La gouvernance des données est l'un des points faibles les plus courants en matière de conformité pour l'IA à haut risque.
Documentation technique (Art. 11)
La documentation technique doit permettre aux autorités d'évaluer la conformité.
Elle doit contenir, entre autres :
- Architecture du système
- Finalité prévue
- Description du modèle
- Description des données d'entraînement
- Indicateurs de performance
- Méthodes de test
- Concept de supervision humaine
- Mesures de sécurité
Cette documentation doit être établie avant la mise sur le marché.
Journalisation (Art. 12)
Les systèmes d'IA à haut risque doivent automatiquement :
- Journaliser les événements système pertinents
- Rendre les processus de décision traçables
- Documenter les interventions
Objectif : Traçabilité et vérification ultérieure.
Obligations de transparence (Art. 13)
Les fournisseurs doivent s'assurer que les déployeurs :
- Reçoivent des instructions claires
- Comprennent la finalité et les limites du système
- Connaissent les risques identifiés
- Peuvent mettre en œuvre les mesures de surveillance nécessaires
Supervision humaine (Art. 14)
Le système doit être conçu de sorte que :
- L'intervention humaine soit possible
- L'arrêt soit possible
- Les dysfonctionnements puissent être détectés
- L'automatisation ne se poursuive pas sans contrôle
Exactitude, robustesse et cybersécurité (Art. 15)
Exigences :
- Minimisation des erreurs systématiques
- Protection contre la manipulation
- Résilience face aux attaques
- Surveillance des écarts de performance
Système de gestion de la qualité (Art. 17)
Les fournisseurs doivent introduire un système de gestion formel comprenant :
- Processus de conformité
- Standards de documentation
- Responsabilités
- Gestion des changements
- Contrôle des fournisseurs
Cela s'apparente aux normes existantes telles que ISO/IEC 42001.
Évaluation de la conformité et marquage CE
Une évaluation de la conformité doit être réalisée avant la mise sur le marché :
Deux voies :
- Auto-évaluation interne (sous certaines conditions)
- Évaluation par un organisme notifié
Après une évaluation réussie :
- Déclaration de conformité UE
- Marquage CE
- Enregistrement dans la base de données de l'UE
Interdiction de mise sur le marché possible
Sans marquage CE, un système d'IA à haut risque ne peut pas être mis à disposition sur le marché de l'UE.
Surveillance post-commercialisation (Art. 61)
Les fournisseurs doivent :
- Surveiller les performances du système
- Signaler les incidents
- Documenter les mises à jour
- Mettre en œuvre des mesures correctives
La conformité ne s'arrête pas au lancement sur le marché.
Distinction fournisseur vs. déployeur
| Rôle | Responsabilité |
|---|---|
| Fournisseur | Développement et conformité |
| Déployeur | Déploiement et surveillance |
Une entreprise peut assumer les deux rôles.
Lien avec les GPAI
Les fournisseurs d'IA à usage général sont soumis à des obligations supplémentaires (art. 51 et suivants), notamment en cas de risque systémique.
Mise en œuvre pratique
Étape 1 -- Clarification des rôles
- Sommes-nous fournisseur ?
- Ou déployeur ?
- Ou les deux ?
Étape 2 -- Identifier les lacunes documentaires
- La documentation technique est-elle disponible ?
- La gestion des risques est-elle établie ?
- La gouvernance des données est-elle documentée ?
Étape 3 -- Implémenter le SMQ
- Nommer des responsables conformité
- Définir les processus
- Établir la gestion des changements
Étape 4 -- Planifier la stratégie de conformité
- L'auto-évaluation est-elle possible ?
- Un organisme notifié est-il nécessaire ?
Besoin d'aide pour la mise en œuvre ?
Collaborez avec Creativate AI Studio pour concevoir, valider et implémenter des systèmes d'IA — techniquement solides, conformes et prêts pour la production.
Besoin de clarté juridique ?
Pour des questions juridiques spécifiques sur la Loi sur l'IA et le RGPD, un conseil juridique spécialisé en réglementation de l'IA, protection des données et structures de conformité est disponible.
Conseil juridique indépendant. Aucune information juridique automatisée. La plateforme ai-playbook.eu ne fournit pas de conseil juridique.
Prochaines étapes
- Clarifiez votre rôle au sens de la Loi sur l'IA.
- Vérifiez si votre système est à haut risque.
- Commencez par la documentation technique.
- Établissez un système formel de gestion de la qualité.
- Planifiez l'évaluation de la conformité suffisamment tôt.
Besoin d'aide pour la mise en œuvre ?
Collaborez avec Creativate AI Studio pour concevoir, valider et implémenter des systèmes d'IA — techniquement solides, conformes et prêts pour la production.
Besoin de clarté juridique ?
Pour des questions juridiques spécifiques sur la Loi sur l'IA et le RGPD, un conseil juridique spécialisé en réglementation de l'IA, protection des données et structures de conformité est disponible.
Conseil juridique indépendant. Aucune information juridique automatisée. La plateforme ai-playbook.eu ne fournit pas de conseil juridique.