Acteurs de l'IA Act : fournisseur, déployeur et autres rôles dans la chaîne de valeur
L'IA Act (règlement UE 2024/1689) répartit les obligations entre 5 catégories d'acteurs définies à l'article 3 : le fournisseur (provider), le déployeur (deployer), le mandataire, l'importateur et le distributeur — tous regroupés sous le terme générique d'« opérateur ». Le fournisseur porte les obligations les plus lourdes. Mais attention : l'article 25 peut transformer un simple distributeur ou utilisateur en fournisseur, et lui faire endosser toutes les obligations correspondantes. Identifier précisément son rôle dans la chaîne de valeur est l'étape de conformité la plus souvent sous-estimée — et la plus risquée à négliger.
L'essentiel en 30 secondes
- Article clé : article 3 du règlement (UE) 2024/1689 (définitions) + article 25 (responsabilités)
- 5 rôles principaux : fournisseur, déployeur, mandataire, importateur, distributeur
- Terme générique : « opérateur » (article 3.8) regroupe tous ces rôles
- Acteur central : le fournisseur (obligations les plus lourdes)
- Piège n°1 : modifier ou rebadger un système peut faire de vous un fournisseur
- Cumul possible : une même entité peut être fournisseur ET déployeur
Une régulation par les rôles, pas par la technologie
Le législateur européen a fait un choix structurant : l'IA Act ne régule pas la technologie en elle-même, mais les acteurs qui la mettent sur le marché ou l'utilisent. Chaque rôle dans la chaîne de valeur appelle un régime d'obligations différent et calibré.
Cette approche par rôles est cohérente avec les autres législations européennes du « nouveau cadre législatif » (new legislative framework), qui distingue déjà fabricants, importateurs et distributeurs pour les produits physiques. L'IA Act y ajoute deux figures spécifiques au numérique : le déployeur (l'utilisateur professionnel) et le mandataire (le point de contact UE des fournisseurs hors UE).
L'article 3 du règlement définit chacun de ces rôles avec précision. L'article 25 organise les bascules de responsabilité d'un rôle à l'autre. Comprendre ces deux articles, c'est comprendre 80 % de la stratégie de conformité à mettre en place.
1. Le fournisseur (provider) : pivot de la conformité
Définition légale (article 3.3)
Le fournisseur est « une personne physique ou morale, une autorité publique, une agence ou tout autre organisme qui développe ou fait développer un système d'IA ou un modèle d'IA à usage général et le met sur le marché ou met le système d'IA en service sous son propre nom ou sa propre marque, à titre onéreux ou gratuit. »
Deux éléments structurants dans cette définition :
- « Développe ou fait développer » : la sous-traitance technique du développement ne fait pas disparaître la responsabilité. Si vous commandez un système d'IA à un prestataire et le mettez sur le marché sous votre marque, vous êtes le fournisseur.
- « À titre onéreux ou gratuit » : la gratuité ne sort pas du champ d'application. Un système d'IA distribué en freemium ou en open source à des fins commerciales engage la responsabilité de son éditeur.
Une portée extraterritoriale comparable au RGPD
L'IA Act s'applique aux fournisseurs qu'ils soient établis dans l'UE ou dans un pays tiers, dès lors que :
- ils mettent le système sur le marché de l'Union ; ou
- les sorties (outputs) du système sont utilisées dans l'Union.
Concrètement, un fournisseur américain, chinois ou britannique qui propose son système à des utilisateurs européens est pleinement soumis à l'IA Act — même si son siège est ailleurs.
Les obligations majeures (systèmes à haut risque)
Pour les systèmes classés à haut risque, le fournisseur doit notamment :
- mettre en place un système de gestion des risques continu (article 9) ;
- garantir une gouvernance des données rigoureuse, sans biais (article 10) ;
- établir une documentation technique complète (article 11 + annexe IV) ;
- assurer la traçabilité par des journaux automatiques (article 12) ;
- garantir la transparence vis-à-vis des déployeurs (article 13) ;
- prévoir un contrôle humain effectif (article 14) ;
- atteindre des niveaux appropriés d'exactitude, robustesse et cybersécurité (article 15) ;
- conduire une évaluation de conformité et apposer le marquage CE avant la mise sur le marché ;
- enregistrer le système dans la base de données européenne ;
- mettre en place un système de surveillance après commercialisation (article 72).
2. Le déployeur (deployer) : l'utilisateur professionnel
Définition légale (article 3.4)
Le déployeur est « une personne physique ou morale, une autorité publique, une agence ou un autre organisme utilisant sous sa propre autorité un système d'IA, sauf lorsque ce système est utilisé dans le cadre d'une activité personnelle à caractère non professionnel. »
Distinction cruciale : le salarié n'est pas un déployeur
Point souvent mal compris : un employé qui utilise un outil d'IA dans son travail n'est pas un déployeur. C'est la personne morale (l'entreprise, l'administration, l'association) sous l'autorité de laquelle l'outil est utilisé qui assume cette responsabilité.
Exemple : si Anaïs, RH dans une PME, utilise un logiciel d'aide au tri de CV (IA à haut risque selon l'annexe III), c'est la PME elle-même qui est déployeur, pas Anaïs. C'est la PME qui doit s'assurer du respect de la notice d'utilisation, du contrôle humain, de la surveillance, etc.
Usage personnel exclu
L'utilisation strictement personnelle et non professionnelle d'un système d'IA est hors champ. Le particulier qui utilise un assistant conversationnel pour ses loisirs n'est ni déployeur ni soumis à des obligations. Attention toutefois : le fournisseur du système, lui, reste soumis à ses propres obligations même si l'utilisateur final est un particulier.
Les principales responsabilités du déployeur
- Utiliser le système conformément à la notice d'utilisation fournie par le fournisseur.
- Mettre en place les mesures techniques et organisationnelles appropriées.
- Garantir un contrôle humain exercé par du personnel qualifié et formé.
- Surveiller le fonctionnement et signaler tout incident grave ou dysfonctionnement.
- Pour les déployeurs du secteur public ou fournisseurs de services essentiels : conduire une analyse d'impact sur les droits fondamentaux (article 27).
- Informer les personnes concernées lorsque le système prend des décisions à leur égard, et leur garantir le droit d'obtenir une explication.
3. Les acteurs intermédiaires : mandataire, importateur, distributeur
Pour les systèmes provenant de pays tiers ou circulant via plusieurs intermédiaires, le règlement organise trois rôles complémentaires.
Le mandataire (article 3.5)
Le mandataire est « une personne physique ou morale située ou établie dans l'Union ayant reçu et accepté un mandat écrit d'un fournisseur de système d'IA ou de modèle d'IA à usage général pour s'acquitter en son nom des obligations et des procédures établies par le présent règlement. »
Il sert de point de contact officiel entre le fournisseur non-UE et les autorités européennes. Il vérifie notamment que la documentation technique a été établie, conserve les copies à disposition des autorités, et peut mettre fin au mandat s'il constate une non-conformité — auquel cas il en informe le Bureau de l'IA.
L'importateur (article 3.6)
L'importateur est « une personne physique ou morale située ou établie dans l'Union qui met sur le marché un système d'IA qui porte le nom ou la marque d'une personne physique ou morale établie dans un pays tiers. »
Avant de mettre un système sur le marché, l'importateur doit s'assurer que :
- le fournisseur a réalisé l'évaluation de conformité ;
- la documentation technique a été établie ;
- le marquage CE est apposé ;
- le mandataire UE est désigné (si applicable).
Le distributeur (article 3.7)
Le distributeur est « une personne physique ou morale faisant partie de la chaîne d'approvisionnement, autre que le fournisseur ou l'importateur, qui met un système d'IA à disposition sur le marché de l'Union. »
Avant la mise à disposition, il doit vérifier la présence du marquage CE et des documents requis, et notifier immédiatement le fournisseur ou l'importateur en cas de non-conformité détectée.
Une notion-parapluie : l'« opérateur »
L'article 3, point 8) introduit un terme générique qui couvre tous ces rôles : l'« opérateur » désigne « un fournisseur, fabricant de produits, déployeur, mandataire, importateur ou distributeur ». Quand le règlement utilise ce terme, l'obligation s'applique à tous ces acteurs.
4. Le piège de l'article 25 : la responsabilité par substitution
C'est probablement la disposition la plus stratégique — et la plus piégeuse — du règlement. L'article 25 prévoit que tout distributeur, importateur, déployeur ou tiers est requalifié en fournisseur d'un système d'IA à haut risque (et endosse toutes ses obligations) dans trois circonstances :
Situation 1 — Apposer son nom ou sa marque
Si vous commercialisez sous votre propre nom ou marque un système d'IA à haut risque déjà mis sur le marché par un tiers, vous devenez son fournisseur — sauf disposition contractuelle prévoyant une autre répartition des obligations.
Cas typique : une entreprise revend une solution d'IA développée par un éditeur tiers, mais l'intègre dans son catalogue sous sa propre marque. Elle devient juridiquement le fournisseur, avec toutes les obligations correspondantes.
Situation 2 — Apporter une modification substantielle
Si vous apportez une modification substantielle à un système d'IA à haut risque déjà sur le marché, et que le système reste à haut risque, vous devenez son nouveau fournisseur.
La notion de « modification substantielle » est définie à l'article 3.23 : « une modification apportée à un système d'IA après sa mise sur le marché ou sa mise en service, qui n'est pas prévue ou planifiée dans l'évaluation initiale de la conformité réalisée par le fournisseur et qui a pour effet de nuire à la conformité de ce système (…) ou qui entraîne une modification de la destination pour laquelle le système d'IA a été évalué. »
💡 Point clé : un changement de système d'exploitation, d'architecture logicielle ou de destination constitue généralement une modification substantielle. En revanche, les apprentissages prédéterminés et évalués lors de l'évaluation initiale (modèle qui continue à apprendre selon des règles prévues) ne déclenchent pas cette requalification.
Situation 3 — Modifier la destination
Si vous modifiez la destination d'un système d'IA (au sens de l'article 3.12) de sorte qu'il devient à haut risque alors qu'il ne l'était pas, vous devenez son fournisseur. Cette disposition s'applique également aux systèmes d'IA à usage général intégrés dans des contextes à haut risque.
Cas typique : une entreprise intègre un modèle de langage généraliste dans un outil de tri de CV (domaine à haut risque selon l'annexe III). L'entreprise devient juridiquement le fournisseur du système à haut risque, et doit en assumer toutes les obligations — y compris l'évaluation de conformité et le marquage CE.
Conséquence : le fournisseur initial est déchargé
L'article 25, paragraphe 2 précise un point essentiel : lorsque l'une des trois circonstances ci-dessus se produit, le fournisseur initial n'est plus considéré comme fournisseur du système concerné. Il doit néanmoins coopérer avec le nouveau fournisseur en lui fournissant la documentation et l'accès technique nécessaires.
5. Le cas spécifique des fournisseurs de GPAI
Les fournisseurs de modèles d'IA à usage général (GPAI) bénéficient d'un régime spécifique défini au chapitre V du règlement.
Ils doivent notamment :
- élaborer une documentation technique du modèle (article 53.1.a) ;
- mettre à disposition des fournisseurs en aval les informations leur permettant d'intégrer le modèle dans leurs systèmes ;
- établir une politique de respect du droit d'auteur européen ;
- publier un résumé du contenu utilisé pour l'entraînement.
Pour les GPAI présentant un risque systémique (au-delà de 10²⁵ FLOPs ou par désignation de la Commission), s'ajoutent des obligations renforcées : red teaming, signalement d'incidents graves, cybersécurité du modèle, évaluation systémique.
ℹ️ Les fournisseurs en aval qui intègrent un GPAI dans leur propre système d'IA doivent eux aussi respecter leurs obligations propres. La chaîne de responsabilités fonctionne en cascade.
6. Cumul des rôles : un opérateur peut porter plusieurs casquettes
Rien n'empêche une même entité de cumuler plusieurs rôles. Trois cas fréquents :
Cas 1 — Fournisseur ET déployeur en interne. Une entreprise développe un système d'IA pour son propre usage interne (par exemple, un outil de tri de CV utilisé en RH). Elle est à la fois :
- fournisseur, car elle développe et met en service le système ;
- déployeur, car elle l'utilise sous sa propre autorité.
Elle doit respecter les obligations des deux rôles, sans cumul des sanctions mais avec cumul des contrôles.
Cas 2 — Importateur ET distributeur. Une société qui importe un système d'IA américain et le revend à d'autres entreprises européennes cumule les deux statuts. Elle doit respecter les obligations des deux côtés.
Cas 3 — Bascule en cours de cycle. Un distributeur peut devenir fournisseur par requalification (article 25), tout en restant distributeur pour d'autres systèmes de son catalogue.
Tableau récapitulatif : qui fait quoi dans la chaîne de valeur ?
| Acteur | Article 3 | Fonction principale | Obligations clés |
| Fournisseur | 3.3 | Développe et met sur le marché | Conformité technique, marquage CE, surveillance |
| Déployeur | 3.4 | Utilise sous son autorité | Notice d'utilisation, contrôle humain, signalement |
| Mandataire | 3.5 | Représente un fournisseur non-UE | Point de contact, vérification documentation |
| Importateur | 3.6 | Met sur le marché un produit non-UE | Vérification de conformité avant import |
| Distributeur | 3.7 | Met à disposition sur le marché | Vérification marquage CE, notification non-conformité |
| Opérateur | 3.8 | Terme générique (regroupe tous les rôles) | — |
Conclusion : cartographier ses rôles, première étape de la conformité
Pour toute organisation utilisant ou commercialisant des solutions d'IA en Europe, l'audit à mener est désormais clair :
- Cartographier tous les systèmes d'IA en jeu, en interne et en externe.
- Qualifier le rôle de l'organisation pour chaque système (fournisseur, déployeur, distributeur…).
- Anticiper les requalifications de l'article 25 : tout projet de rebranding, d'intégration ou de personnalisation doit être analysé sous cet angle.
- Sécuriser contractuellement la répartition des responsabilités avec les partenaires (clause de répartition explicite, garanties, recours).
- Documenter la qualification (et conserver les preuves) pour démontrer la diligence en cas de contrôle.
Un simple changement d'usage ou de marque peut faire basculer une entreprise du statut d'utilisateur à celui de fabricant, avec à la clé des sanctions pouvant atteindre 35 millions d'euros ou 7 % du chiffre d'affaires mondial. La prudence contractuelle vaut largement l'investissement.
Dans le prochain article, nous entrerons dans le détail des 8 domaines de l'annexe III qui définissent les systèmes d'IA à haut risque — la couche juridique qui mobilise concrètement les obligations détaillées dans cet article.
Pour aller plus loin
Cet article fait partie de notre guide complet sur l'IA Act qui couvre l'ensemble du règlement (UE) 2024/1689.
Découvrez les autres articles de la série :
- IA Act : objectifs et principes du règlement européen sur l'IA
- Système d'IA : la définition légale qui déclenche l'IA Act (article 3)
- Niveaux de risque IA Act : les 4 catégories et leur régime juridique
- Article 5 de l'IA Act : les 8 pratiques d'IA interdites en Europe
- Acteurs de l'IA Act : fournisseur, déployeur et autres rôles dans la chaîne de valeur
- Sanctions IA Act : amendes et régime de gouvernance européen
- IA Act et innovation : bacs à sable, AI Factories et soutien à l'innovation
Sources officielles :
Le logiciel RGPD du DPO
Les DPO internes, vous disposez de documentations et d’outils intuitifs, permettant la collaboration avec vos équipes.
Les DPO mutualisés et externes (consultants freelance, cabinets d'avocats ou de conseil, institutions publiques), en plus de disposer des mémes fonctionnalités que les DPO internes pour tous vos clients, vous gérez ensemble sur une seule plateforme.
Quelle est la différence entre un fournisseur et un déployeur ?
Le fournisseur développe (ou fait développer) le système d'IA et le met sur le marché ou en service sous son nom. Le déployeur utilise un système d'IA sous sa propre autorité dans un cadre professionnel. Une même entité peut cumuler les deux rôles pour ses outils internes.
Un salarié peut-il être déployeur au sens de l'IA Act ?
Non. Le déployeur est toujours une personne morale (entreprise, administration, association) ou une personne physique agissant pour son propre compte professionnel. Les salariés qui utilisent un outil dans le cadre de leur travail n'ont pas d'obligations directes au titre de l'IA Act — c'est leur employeur qui les porte.
Quand un déployeur devient-il fournisseur ?
Dans trois cas définis à l'article 25 : (1) s'il commercialise sous sa propre marque un système d'IA à haut risque déjà sur le marché, (2) s'il apporte une modification substantielle à un système à haut risque, ou (3) s'il modifie la destination d'un système de sorte qu'il devient à haut risque. Il endosse alors toutes les obligations du fournisseur.
L'IA Act s'applique-t-il aux fournisseurs hors UE ?
Oui, pleinement. Le règlement a une portée extraterritoriale comparable au RGPD : il s'applique dès lors que le système est mis sur le marché européen ou que ses sorties (outputs) sont utilisées dans l'Union, quelle que soit la localisation du fournisseur. Un fournisseur hors UE doit en outre désigner un mandataire établi dans l'Union.
