Direction des achats et AI Act : évaluer un fournisseur IA en 30 questions

Q: Quelles sont les conséquences d'un fournisseur non conforme ?

Les sanctions peuvent atteindre 7% du chiffre d'affaires annuel (art. 83 EU AI Act) et inclure des amendes jusqu'à 35 millions d'euros. Pour les PME, cela peut entraîner des pertes financières importantes et des dommages réputationnels.

Q: Comment obtenir des réponses aux questions ?

Demandez des documents officiels comme les rapports d'audit, les certifications ISO 42001 ou les attestations de conformité RGPD. Utilisez le service desk de l'AI Act (ai-act-service-desk.ec.europa.eu) pour des clarifications techniques.

Q: Quelle est la fréquence de l'évaluation ?

Évaluez les fournisseurs avant tout achat et renouvelez les vérifications annuellement ou après toute mise à jour majeure du modèle. Cela permet de s'adapter aux évolutions légales et techniques.

Q: Dois-je impliquer mon DPO dans l'évaluation ?

Oui, le DPO doit valider la conformité RGPD et l'AI Act. Il peut aider à interpréter les réponses techniques et à identifier les risques spécifiques à votre secteur d'activité.

Q: Où trouver des modèles de questionnaire ?

Consultez notre guide /ai-act-pme-france/ pour des modèles adaptés aux PME. Vous trouverez également des exemples de questions sur /glossaire.html et des sources officielles sur /sources.html.

TL;DR — L'essentiel en 30 secondes

Le Règlement (UE) 2024/1689 impose des obligations de transparence, de gouvernance des données et de supervision humaine aux fournisseurs d'IA (Art. 13, 14, 15).
Les sanctions atteignent 35 M€ ou 7 % du chiffre d'affaires mondial annuel pour pratiques interdites (Art. 99 du Règlement).
Un questionnaire structuré en 30 questions couvre transparence, sécurité, éthique, conformité et documentation.
La direction des achats devient un maillon de conformité : un mauvais fournisseur expose la PME déployeuse en cascade.
L'évaluation doit être documentée, datée et signée pour servir de preuve lors d'un contrôle de l'autorité nationale compétente.

La direction des achats d'une PME française signe rarement un contrat IA en isolant le risque juridique. Pourtant, depuis le 2 août 2026, chaque acquisition d'un système d'IA à haut risque engage la responsabilité du déployeur au titre de l'Article 26 du Règlement (UE) 2024/1689. Un fournisseur non conforme contamine la chaîne contractuelle : la PME hérite des défaillances et des sanctions associées.

Ce guide propose une méthode d'évaluation opérationnelle en 30 questions, calibrée pour les acheteurs, DPO et IA Lead de PME entre 10 et 250 salariés. Il sert aussi bien au sourcing initial qu'au renouvellement annuel des contrats existants.

1. Pourquoi évaluer un fournisseur IA ?

L'évaluation n'est pas une formalité administrative. Elle conditionne la capacité de la PME à démontrer sa conformité en cas de contrôle.

L'Article 26 du Règlement (UE) 2024/1689 impose au déployeur de vérifier que le système d'IA est utilisé conformément à la notice fournie par le fournisseur. Cette vérification présuppose une documentation contractuelle solide, obtenue lors du sourcing.

Les quatre enjeux opérationnels :

Protéger les données des clients et des salariés contre les usages secondaires non consentis, conformément aux articles 5 et 6 du RGPD.
Éviter les sanctions financières : jusqu'à 15 M€ ou 3 % du CA mondial pour manquement aux obligations des fournisseurs (Art. 99 §4 du Règlement).
Assurer la conformité croisée entre AI Act, RGPD et normes ISO/IEC 42001:2023.
Réduire les risques opérationnels : interruption de service, atteinte à l'image, perte de marché public.

Un mauvais fournisseur ne fait pas qu'exposer la PME : il l'aligne sur ses propres carences techniques. La logique de cascade contractuelle exige un filtre amont rigoureux. Pour le cadre général applicable aux PME, consulter notre pillar AI Act pour les PME françaises.

Tableau — Répartition des responsabilités fournisseur / déployeur

Obligation	Fournisseur (Art. 16)	Déployeur (Art. 26)
Système de gestion des risques	Oui	Surveillance opérationnelle
Documentation technique	Création (Annexe IV)	Conservation et utilisation
Marquage CE	Oui	Vérification
Supervision humaine	Conception	Mise en œuvre effective
Surveillance post-commercialisation	Plan obligatoire	Remontée d'incidents
Journalisation (logs)	Capacité technique	Conservation 6 mois minimum

2. Les 30 questions clés pour l'évaluation

Le questionnaire se structure en cinq blocs thématiques, alignés sur les chapitres III et IV du Règlement (UE) 2024/1689. Chaque bloc combine des questions fermées (oui/non avec preuve) et ouvertes (description documentée).

Répartition recommandée :

Transparence : 6 questions — explicabilité, données d'entraînement, limitations.
Sécurité : 6 questions — RGPD, robustesse cyber, incidents.
Éthique : 6 questions — biais, droits des personnes, équité.
Conformité : 6 questions — certifications, marquage CE, sous-traitance.
Documentation : 6 questions — notice, rapports, audits.

Chaque réponse doit être étayée par un document opposable : politique, attestation, rapport d'audit, certificat. Une réponse orale n'a aucune valeur probante lors d'un contrôle.

Tableau — Pondération suggérée par criticité

Domaine	Pondération	Système haut risque (Annexe III)	Système à risque limité
Transparence	20 %	Bloquant si absent	Recommandé
Sécurité	30 %	Bloquant	Bloquant
Éthique	15 %	Bloquant si biais avéré	Recommandé
Conformité	25 %	Marquage CE obligatoire	Déclaration suffisante
Documentation	10 %	Annexe IV complète	Notice utilisateur

3. Exemples de questions sur la transparence

La transparence relève de l'Article 13 du Règlement (UE) 2024/1689, qui impose aux fournisseurs de systèmes à haut risque une notice d'utilisation « claire, complète, exacte et univoque ».

Les six questions transparence :

Le fournisseur produit-il une notice conforme à l'Article 13 §3 du Règlement, incluant identité, caractéristiques, limitations et niveau de précision attendu ?
Comment sont sélectionnées, étiquetées et nettoyées les données d'entraînement (référence Art. 10 du Règlement) ?
Quelles sont les limitations connues du modèle, ses cas d'échec documentés et les groupes de personnes pour lesquels la performance dégrade ?
Le fournisseur publie-t-il une carte modèle (model card) ou une fiche technique détaillée ?
Pour un modèle GPAI, le résumé suffisamment détaillé des données d'entraînement est-il accessible (Art. 53 §1 d) ?
Quelle est la fréquence de mise à jour du modèle et comment les changements sont-ils communiqués ?

Un fournisseur qui refuse de répondre à la question 2 ou 3 doit être écarté pour tout usage à haut risque. La traçabilité des données d'entraînement est un point de contrôle prioritaire de la CNIL et de l'AI Office.

4. Exemples de questions sur la sécurité

La sécurité couvre deux dimensions : la protection des données personnelles (RGPD) et la robustesse cybernétique (Art. 15 du Règlement AI Act).

Les six questions sécurité :

Le fournisseur respecte-t-il les principes de minimisation et de limitation des finalités (Art. 5 §1 c) et b) du RGPD) ?
Quelles mesures techniques et organisationnelles protègent les données sensibles : chiffrement au repos, en transit, gestion des clés ?
Le fournisseur a-t-il subi un audit de sécurité indépendant (ISO/IEC 27001:2022, SOC 2 Type II, HDS pour la santé) ?
Quelle est la procédure de notification des violations de données (délai 72 h, Art. 33 RGPD) ?
Le système est-il robuste aux attaques adverses : empoisonnement, évasion, extraction de modèle ?
Où sont hébergées les données : UE, transferts vers pays tiers, mécanismes de transfert (CCT, BCR) ?

Tableau — Certifications de sécurité par criticité

Certification	Périmètre	Pertinence AI Act
ISO/IEC 27001:2022	SMSI général	Présomption partielle Art. 15
ISO/IEC 42001:2023	Système de management IA	Présomption forte Art. 17
ISO/IEC 27701	Vie privée	Complément RGPD
HDS (santé)	Données de santé	Obligatoire secteur santé
SecNumCloud (ANSSI)	Cloud souverain	Recommandé secteurs sensibles

Téléchargez notre questionnaire d'évaluation fournisseur

Pack documentaire complet : 30 questions formatées, grille de notation, lettre de demande type. Conçu pour les PME françaises soumises à l'AI Act.

Demander le pack

5. Exemples de questions sur l'éthique

L'éthique se traduit en obligations juridiques via les articles 10 (gouvernance des données) et 14 (supervision humaine) du Règlement (UE) 2024/1689.

Les six questions éthique :

Le fournisseur dispose-t-il d'un processus documenté pour identifier, mesurer et atténuer les biais discriminatoires (âge, genre, origine, handicap) ?
Comment sont gérées les demandes d'exercice des droits RGPD : accès, rectification, suppression, opposition, portabilité ?
Le système permet-il une supervision humaine effective conforme à l'Article 14 §4 : compréhension, alerte, interruption ?
Quelle est la position du fournisseur sur les usages à haut risque interdits par l'Article 5 (notation sociale, manipulation, exploitation de vulnérabilités) ?
Existe-t-il un comité d'éthique interne ou un référent indépendant chez le fournisseur ?
Comment le fournisseur traite-t-il les signalements d'utilisation détournée ou de dérive du modèle ?

La question 1 est le point névralgique. Un fournisseur incapable de démontrer une méthodologie de test de biais documentée ne peut être retenu pour des usages RH, crédit, accès aux services essentiels ou éducation — tous classés haut risque par l'Annexe III du Règlement.

Pour comprendre les termes employés par les fournisseurs (biais algorithmique, model card, GPAI, fine-tuning), consulter notre glossaire AI Act.

6. Exemples de questions sur la conformité

La conformité formelle est le bloc le plus simple à vérifier — soit le document existe, soit il n'existe pas. Pas d'interprétation.

Les six questions conformité :

Le fournisseur est-il certifié ISO/IEC 42001:2023 ou engagé dans une démarche de certification datée ?
Quelles procédures de conformité croisée AI Act / RGPD sont en place ? Existe-t-il une cartographie des obligations ?
Pour un système à haut risque, le marquage CE est-il apposé et la déclaration UE de conformité (Art. 47) disponible ?
Le système est-il enregistré dans la base de données UE prévue à l'Article 71 ?
Le fournisseur fournit-il des rapports d'audit réguliers, datés, signés par un tiers indépendant ?
Quelle est la chaîne de sous-traitance : sous-traitants techniques, modèles tiers utilisés, fournisseurs de données ?

Tableau — Documents à exiger contractuellement

Document	Base légale	Format attendu
Déclaration UE de conformité	Art. 47 Règlement (UE) 2024/1689	PDF signé, < 12 mois
Notice d'utilisation	Art. 13 Règlement	Document structuré FR
Documentation technique	Annexe IV Règlement	Accessible sur demande motivée
Politique RGPD	Art. 13-14 RGPD	URL publique
Certificat ISO 42001	ISO/IEC 42001:2023	Délivré par organisme accrédité
Plan de surveillance post-commercialisation	Art. 72 Règlement	Document interne

7. Comment utiliser ce questionnaire

Le questionnaire n'a de valeur que s'il est intégré au processus achat de manière formelle et traçable.

Méthode d'intégration recommandée en 5 étapes :

Cartographier le risque : classer chaque besoin d'achat IA selon les catégories du Règlement (risque inacceptable, haut risque, risque limité, risque minimal).
Adapter le questionnaire : alléger pour le risque limité, complet et bloquant pour le haut risque, ajouter des questions sectorielles (santé via HAS, finance via ACPR).
Prioriser les questions critiques : marquer chaque question comme « bloquante » ou « informative ». Une seule réponse bloquante manquante doit interrompre la procédure.
Intégrer au cycle achat : annexer le questionnaire au cahier des charges, au DCE pour marchés publics, au RFI/RFP en B2B privé.
Mettre à jour annuellement : les obligations évoluent au rythme des actes d'exécution publiés par la Commission européenne via le service desk AI Act.

La réévaluation annuelle est obligatoire en pratique : les modèles changent, les certifications expirent, les actes délégués modifient les exigences. Un audit annuel daté constitue une preuve essentielle en cas de contrôle.

Tableau — Calendrier d'application du Règlement (UE) 2024/1689

Date	Obligations activées
2 février 2025	Interdictions Art. 5, exigences de littératie IA Art. 4
2 août 2025	Modèles GPAI, gouvernance, sanctions Art. 99
2 août 2026	Systèmes à haut risque Annexe III, obligations déployeurs
2 août 2027	Systèmes à haut risque Annexe I (produits réglementés)

Pour le détail des amendes applicables et le calculateur de risque, consulter notre article dédié sanctions AI Act pour PME.

8. Les bénéfices pour votre PME

L'évaluation rigoureuse des fournisseurs produit quatre effets mesurables sur 12 à 24 mois.

Bénéfice juridique — la PME démontre une démarche de diligence raisonnable. En cas de contrôle, le questionnaire archivé et le dossier d'évaluation servent de preuve d'audit. L'autorité nationale compétente — désignée d'ici 2026 en France — apprécie ces démarches dans la modulation des sanctions (Art. 99 §7).

Bénéfice commercial — la conformité devient un argument de vente. Les donneurs d'ordre publics et grands comptes intègrent désormais des clauses AI Act dans leurs appels d'offres. Une PME équipée d'un processus d'évaluation fournisseur structuré gagne des marchés.

Bénéfice opérationnel — l'analyse systématique évite les écueils techniques : modèles non maintenus, dépendances cachées, sous-traitance opaque vers des juridictions tierces. Le coût d'un mauvais achat IA dépasse souvent celui du contrat lui-même.

Bénéfice budgétaire — anticiper la mise en conformité avant 2026 coûte 3 à 5 fois moins cher qu'un rattrapage en urgence sous contrainte de contrôle. Les frais d'avocat et d'audit en mode pompier représentent typiquement 80 000 à 200 000 € pour une PME [à vérifier selon secteur].

Tableau — Coût comparé conformité anticipée vs rattrapage

Poste	Anticipation (2025-2026)	Rattrapage post-contrôle
Audit fournisseurs	5 000 - 15 000 €	30 000 - 60 000 €
Documentation contractuelle	3 000 - 8 000 €	15 000 - 40 000 €
Formation équipes	2 000 - 6 000 €	10 000 - 25 000 €
Risque amende	Évité	Jusqu'à 7 % du CA mondial
Interruption d'activité	Nulle	1 à 6 mois fréquents

FAQ — Questions fréquentes des acheteurs PME

Quelles sont les conséquences d'un fournisseur non conforme ?

Les sanctions de l'Article 99 du Règlement (UE) 2024/1689 atteignent 35 M€ ou 7 % du chiffre d'affaires mondial annuel pour les pratiques interdites de l'Article 5. Pour les manquements aux obligations des fournisseurs (Art. 16), le plafond est de 15 M€ ou 3 %. Pour les PME, l'Article 99 §6 prévoit que les plafonds applicables sont les montants les plus bas — protection partielle, mais l'impact reste considérable. À cela s'ajoutent les dommages réputationnels et la perte de marchés publics.

Comment obtenir des réponses aux questions ?

Exigez des documents officiels et opposables : rapports d'audit datés et signés, certifications ISO/IEC 42001:2023 ou ISO/IEC 27001:2022 délivrées par un organisme accrédité COFRAC, attestations de conformité RGPD, déclaration UE de conformité avec marquage CE. Pour les clarifications réglementaires, le service desk de l'AI Act répond aux questions techniques des opérateurs. Refusez toute réponse purement déclarative non documentée.

Quelle est la fréquence de l'évaluation ?

Évaluez chaque fournisseur avant signature initiale, puis renouvelez annuellement. Une réévaluation immédiate s'impose après : mise à jour majeure du modèle, changement de sous-traitant critique, incident de sécurité, modification réglementaire (acte délégué, ligne directrice de l'AI Office). Documentez chaque cycle d'évaluation : date, périmètre, conclusions, plan d'action.

Dois-je impliquer mon DPO dans l'évaluation ?

Oui. Le DPO valide la conformité RGPD (Art. 39 du RGPD) et apporte l'expertise nécessaire à l'interprétation des réponses fournisseur. Pour les systèmes à haut risque, associez également le RSSI (sécurité), l'IA Lead (technique) et le service juridique (clauses contractuelles). En PME sans DPO interne, sollicitez le DPO mutualisé ou externalisé. L'Article 35 du RGPD impose par ailleurs une AIPD pour la plupart des traitements IA à haut risque.

Où trouver des modèles de questionnaire ?

Notre pack documentaire intègre un questionnaire de 30 questions formaté, une grille de notation pondérée et une lettre de demande type. Consultez aussi notre pillar AI Act PME pour la cartographie globale des obligations, le glossaire pour les définitions techniques, et notre page sources officielles pour les références primaires EUR-Lex, CNIL et AI Office.

Sécurisez vos achats IA dès aujourd'hui

Recevez le questionnaire 30 questions, la grille de notation pondérée, les modèles de clauses contractuelles AI Act et la check-list de vérification annuelle. Pack documentaire conçu pour les PME françaises.

Obtenir le pack documentaire

Sources officielles

Règlement (UE) 2024/1689 — texte intégral consolidé
EUR-Lex — version officielle de la proposition consolidée
AI Act Service Desk — Commission européenne
CNIL — fiches pratiques IA
ISO/IEC 42001:2023 — Système de management de l'intelligence artificielle
ISO/IEC 23894:2023 — Gestion du risque IA
ISO/IEC 27001:2022 — Système de management de la sécurité de l'information

Disclaimer — Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.