L'Article 25 du Règlement (UE) 2024/1689 redessine les contours de la responsabilité juridique dans la chaîne de valeur de l'intelligence artificielle. Pour une PME française qui développe, intègre ou utilise un système d'IA, ce texte impose des obligations précises selon le rôle joué. Cet article décrypte les paragraphes opérationnels de l'Article 25, les sanctions associées, et la marche à suivre pour documenter votre chaîne de valeur.
TL;DR
L'essentiel en 30 secondes - L'Article 25 du Règlement (UE) 2024/1689 impose une responsabilité partagée dans la chaîne de valeur IA. - Les fournisseurs doivent transmettre les informations de sécurité et de conformité nécessaires aux acteurs en aval. - Les déployeurs doivent garantir un usage conforme aux conditions fixées par le fournisseur. - Les sanctions peuvent atteindre 7 % du chiffre d'affaires mondial annuel pour les manquements les plus graves (Art. 99). - Une PME doit cartographier sa chaîne de valeur, documenter les contrôles, et formaliser ses relations contractuelles. - Le statut bascule : un déployeur qui modifie substantiellement un système haut risque devient fournisseur (Art. 25, § 1).
1. Introduction à l'article 25 et son impact sur les PME
L'Article 25 du Règlement (UE) 2024/1689 s'intitule « Responsabilités tout au long de la chaîne de valeur de l'IA ». Il définit qui porte quelle obligation lorsqu'un système d'IA passe entre plusieurs mains avant d'arriver chez l'utilisateur final.
Le texte poursuit un objectif simple : éviter qu'un fournisseur se décharge de ses responsabilités sur un intégrateur, ou qu'un déployeur invoque l'ignorance pour échapper à la conformité. La responsabilité circule, mais ne disparaît jamais.
Pour une PME française de 10 à 250 salariés, l'impact est concret. Si vous achetez un CRM doté d'un module IA prédictif, vous êtes déployeur. Si vous revendez cette solution sous votre marque, vous devenez fournisseur. Si vous l'entraînez sur vos propres données et modifiez son usage prévu, vous changez de statut juridique.
Cette bascule de statut, prévue à l'Art. 25, § 1, est l'enjeu central. Beaucoup de PME ignorent qu'elles peuvent devenir fournisseurs sans le savoir, et donc soumises à l'intégralité des obligations applicables aux systèmes d'IA à haut risque.
Avant d'aller plus loin, consultez le pilier AI Act pour les PME françaises qui pose le cadre général du règlement.
2. La chaîne de valeur IA : acteurs et responsabilités
La chaîne de valeur IA désigne l'ensemble des entités qui interviennent dans le cycle de vie d'un système d'IA, de la conception à la mise en service, jusqu'à l'usage opérationnel. Le Règlement (UE) 2024/1689 distingue plusieurs rôles, chacun avec un régime d'obligations propre.
2.1 Les rôles définis par le règlement
| Rôle | Définition (Art. 3 du Règlement) | Exemple PME |
|---|---|---|
| Fournisseur (provider) | Personne qui développe un système d'IA ou le fait développer en vue de sa mise sur le marché sous son nom ou sa marque | Éditeur SaaS d'un outil de scoring crédit |
| Déployeur (deployer) | Personne utilisant un système d'IA sous sa propre autorité, sauf usage personnel non professionnel | PME utilisant un module IA dans son ERP |
| Importateur | Personne dans l'UE qui met sur le marché un système d'IA d'un fournisseur établi hors UE | Distributeur français d'une solution US |
| Distributeur | Personne dans la chaîne d'approvisionnement, autre que fournisseur ou importateur, qui met à disposition un système sur le marché UE | Revendeur ou intégrateur |
| Tiers fournisseur d'outils | Fournisseur d'outils, services, composants ou processus utilisés ou intégrés dans un système d'IA à haut risque | Fournisseur d'un modèle de fondation ou d'un jeu de données |
2.2 La responsabilité circule
Aucun acteur n'est isolé. L'Art. 25 impose que les informations utiles à la conformité circulent du fournisseur initial jusqu'au déployeur final. La documentation technique, les instructions d'utilisation, les conditions d'usage prévu : tout doit être transmis et conservé.
Une PME qui intègre un composant tiers dans son propre système d'IA reste responsable de l'ensemble, sauf si elle peut prouver que le manquement provient strictement du composant amont, dans les conditions contractuelles fixées.
3. Obligations spécifiques des fournisseurs d'IA
Le fournisseur porte la charge la plus lourde du Règlement (UE) 2024/1689. Pour les systèmes d'IA à haut risque définis à l'Annexe III, les obligations sont énumérées aux articles 16 à 22, et complétées par l'Art. 25.
3.1 Les obligations clés
- Système de gestion des risques documenté et continu (Art. 9).
- Gouvernance des données d'entraînement, de validation et de test (Art. 10).
- Documentation technique complète tenue à jour (Art. 11 et Annexe IV).
- Tenue de logs automatique pendant la durée d'utilisation prévue (Art. 12).
- Transparence et information des déployeurs via une notice d'utilisation (Art. 13).
- Supervision humaine intégrée dès la conception (Art. 14).
- Exactitude, robustesse et cybersécurité appropriées (Art. 15).
- Système de gestion de la qualité documenté (Art. 17).
- Évaluation de la conformité avant mise sur le marché (Art. 43).
- Surveillance post-commercialisation (Art. 72).
3.2 Le devoir d'information vers l'aval
L'Art. 25, § 2 oblige le fournisseur à fournir aux déployeurs et aux acteurs en aval « les informations et la documentation techniques » nécessaires pour comprendre et utiliser le système conformément à sa destination prévue. Cette obligation n'est pas optionnelle.
Concrètement : notice d'utilisation, fiche de transparence, limites connues, conditions d'usage, performance attendue, mesures de supervision humaine recommandées. Tout doit être écrit, en français pour le marché français.
Cartographiez votre chaîne de valeur IA en 30 minutes
Notre pack documentaire Article 25 inclut un modèle de cartographie, un registre des fournisseurs IA, et un template de clauses contractuelles conformes au Règlement (UE) 2024/1689.
Recevoir le pack documentaire4. Obligations spécifiques des déployeurs (utilisateurs finaux)
Le déployeur n'est pas un acteur passif. L'Art. 26 du Règlement (UE) 2024/1689 lui assigne des obligations propres, que l'Art. 25 vient compléter en matière de coopération avec le fournisseur.
4.1 Les obligations clés du déployeur
| Obligation | Référence | Action concrète PME |
|---|---|---|
| Utiliser le système conformément à la notice | Art. 26, § 1 | Lire et archiver la notice ; former les utilisateurs |
| Confier la supervision humaine à des personnes compétentes | Art. 26, § 2 | Désigner un référent IA formé |
| Assurer la pertinence des données d'entrée sous son contrôle | Art. 26, § 4 | Documenter les sources de données |
| Surveiller le fonctionnement et alerter en cas d'incident | Art. 26, § 5 | Mettre en place un journal d'incidents |
| Conserver les logs générés automatiquement | Art. 26, § 6 | Stockage minimum 6 mois |
| Informer les travailleurs concernés avant déploiement | Art. 26, § 7 | Note interne, consultation CSE |
| Réaliser une analyse d'impact sur les droits fondamentaux pour certains usages | Art. 27 | FRIA documentée |
4.2 Coopération obligatoire avec le fournisseur
L'Art. 25, § 3 impose aux déployeurs de coopérer avec les fournisseurs. Cela signifie remonter les incidents, partager les retours opérationnels, et signaler tout dysfonctionnement susceptible d'affecter la conformité.
Cette coopération doit être contractualisée. Un simple échange e-mail ne suffit pas en cas de contrôle par l'autorité de surveillance du marché.
5. Exemples concrets : cas d'une PME utilisant une solution IA
5.1 Cas n° 1 : PME utilisant un CRM avec module IA marketing
Une PME de 80 salariés dans la distribution déploie un CRM SaaS doté d'un module de scoring prédictif pour cibler ses campagnes marketing. Le module IA n'est pas classé haut risque au sens de l'Annexe III, mais des obligations subsistent.
Côté fournisseur du CRM : - Transmettre une fiche d'information sur le fonctionnement du module IA. - Documenter les données utilisées pour entraîner le scoring. - Informer la PME des limites de performance.
Côté PME déployeur : - Vérifier que les données clients utilisées sont licites au regard du RGPD. - Informer les équipes commerciales de l'usage de l'IA. - Conserver les logs de décisions automatisées pour audit.
5.2 Cas n° 2 : PME développant un outil RH de tri de CV
Une PME édite un logiciel de présélection de candidatures qu'elle vend à d'autres entreprises. Ce système relève de l'Annexe III, point 4 du Règlement (UE) 2024/1689 : il s'agit d'un système d'IA à haut risque en emploi et ressources humaines.
La PME est fournisseur. Elle doit appliquer l'intégralité des obligations des articles 16 à 22, réaliser une évaluation de la conformité (Art. 43), enregistrer le système dans la base de données européenne (Art. 49), et apposer le marquage CE.
5.3 Cas n° 3 : la bascule de statut
Une PME achète une solution IA générique pour analyser des candidatures internes. Elle réentraîne le modèle sur ses propres données, modifie l'usage prévu en l'étendant à l'évaluation salariale, et le déploie sous sa marque interne.
Au sens de l'Art. 25, § 1, cette PME devient fournisseur. Elle reprend à son compte l'intégralité des obligations applicables aux systèmes haut risque. C'est le piège le plus fréquent identifié par le guide AI Act du Cigref de janvier 2025.
6. Les sanctions et risques pour les PME
Le régime de sanctions est défini à l'Article 99 du Règlement (UE) 2024/1689. Il s'applique selon la gravité du manquement.
6.1 Échelle des sanctions
| Type de manquement | Montant maximum | Référence |
|---|---|---|
| Violation des pratiques interdites (Art. 5) | 35 M€ ou 7 % du CA mondial annuel | Art. 99, § 3 |
| Non-conformité d'un système haut risque | 15 M€ ou 3 % du CA mondial annuel | Art. 99, § 4 |
| Fourniture d'informations inexactes aux autorités | 7,5 M€ ou 1 % du CA mondial annuel | Art. 99, § 5 |
Le montant retenu est le plus élevé des deux. Pour les PME et startups, l'Art. 99, § 6 prévoit que le montant retenu peut être le plus faible des deux, ce qui constitue un aménagement notable.
6.2 Risques au-delà de l'amende
- Retrait du marché du système d'IA non conforme par l'autorité de surveillance.
- Responsabilité civile vis-à-vis des utilisateurs lésés.
- Réputation : publication des sanctions par les autorités nationales.
- Perte commerciale : clients exigeant de plus en plus une preuve de conformité contractuelle.
Pour une analyse détaillée du régime, consultez notre article sur les sanctions AI Act pour les PME.
7. Comment les PME peuvent se conformer
La conformité à l'Article 25 ne s'improvise pas. Elle suit une démarche structurée.
7.1 Les sept étapes opérationnelles
- Cartographier tous les systèmes d'IA utilisés ou développés, avec leur usage prévu.
- Qualifier chaque système : haut risque, risque limité, risque minimal, ou pratique interdite.
- Déterminer le rôle de l'entreprise pour chaque système : fournisseur, déployeur, importateur, distributeur.
- Identifier les acteurs amont et aval : fournisseurs de modèles, fournisseurs de données, intégrateurs, clients déployeurs.
- Contractualiser les obligations entre acteurs : clauses d'information, clauses de coopération, clauses de responsabilité.
- Documenter les contrôles, les processus de supervision humaine, les journaux d'incidents.
- Former les équipes : Art. 4 du Règlement (UE) 2024/1689 impose un niveau suffisant de littératie IA pour le personnel.
7.2 Calendrier d'application
| Échéance | Obligation activée |
|---|---|
| 2 février 2025 | Interdictions de l'Art. 5 et obligations de littératie IA (Art. 4) |
| 2 août 2025 | Modèles d'IA à usage général, gouvernance et sanctions |
| 2 août 2026 | Application générale du règlement |
| 2 août 2027 | Systèmes haut risque listés à l'Annexe I |
Sources : Art. 113 du Règlement (UE) 2024/1689.
Sécurisez vos contrats fournisseurs IA dès aujourd'hui
Notre pack inclut 12 modèles de clauses contractuelles pour répartir la responsabilité Article 25 entre fournisseur, intégrateur et déployeur, conformes au droit français.
Obtenir le pack contractuel8. Glossaire : termes clés de l'AI Act
| Terme | Définition |
|---|---|
| Système d'IA | Système basé sur une machine conçu pour fonctionner avec différents niveaux d'autonomie, qui peut faire preuve d'adaptabilité après déploiement, et qui infère, à partir d'entrées, comment générer des sorties (Art. 3, § 1) |
| Fournisseur | Personne physique ou morale qui développe un système d'IA ou le fait développer en vue de sa mise sur le marché sous son nom ou sa marque (Art. 3, § 3) |
| Déployeur | Personne physique ou morale utilisant un système d'IA sous sa propre autorité, sauf dans le cadre d'une activité personnelle non professionnelle (Art. 3, § 4) |
| Distributeur | Personne dans la chaîne d'approvisionnement, autre que le fournisseur ou l'importateur, qui met un système d'IA à disposition sur le marché de l'Union (Art. 3, § 7) |
| Mise sur le marché | Première mise à disposition d'un système d'IA sur le marché de l'Union (Art. 3, § 9) |
| Usage prévu | Utilisation pour laquelle un système d'IA est conçu par le fournisseur, comme spécifié dans la notice (Art. 3, § 12) |
| Modification substantielle | Changement non prévu dans l'évaluation initiale de conformité, qui affecte la conformité ou modifie la finalité prévue (Art. 3, § 23) |
| Chaîne de valeur IA | Ensemble des acteurs intervenant dans le cycle de vie d'un système d'IA, de la conception à la mise en service |
Pour un glossaire complet, consultez le glossaire regulia.
9. FAQ — Article 25 et chaîne de valeur IA
Quelles sont les principales obligations des fournisseurs d'IA selon l'article 25 ?
Les fournisseurs d'IA doivent transmettre aux acteurs en aval, dont les déployeurs, les informations et la documentation techniques permettant de comprendre et d'utiliser le système conformément à sa destination prévue (Art. 25, § 2). Cela inclut la notice d'utilisation, la documentation technique exigée à l'Annexe IV pour les systèmes haut risque, les conditions d'usage, et les limites connues. Ils doivent également collaborer avec les déployeurs pour maintenir la conformité tout au long du cycle de vie.
Quelles sont les responsabilités des déployeurs d'IA selon l'article 25 ?
Les déployeurs doivent utiliser le système d'IA conformément à la notice et aux conditions fixées par le fournisseur, et coopérer avec lui (Art. 25, § 3 et Art. 26). Cette coopération inclut la remontée d'incidents, la conservation des logs, la mise en place d'une supervision humaine compétente, et l'information des travailleurs concernés. La documentation des décisions et la traçabilité des contrôles sont indispensables en cas d'audit.
Quelles sont les sanctions pour non-conformité avec l'article 25 ?
Les sanctions sont définies à l'Art. 99 du Règlement (UE) 2024/1689. Pour la violation des obligations applicables aux systèmes haut risque, l'amende peut atteindre 15 millions d'euros ou 3 % du chiffre d'affaires mondial annuel. Pour les pratiques interdites de l'Art. 5, le plafond monte à 35 millions d'euros ou 7 % du chiffre d'affaires mondial annuel. Pour les PME, l'Art. 99, § 6 prévoit que le montant retenu peut être le plus faible des deux pour limiter l'effet disproportionné.
Comment une PME peut-elle identifier les acteurs clés dans sa chaîne de valeur IA ?
Une PME doit cartographier l'ensemble des entités intervenant dans le cycle de vie de chaque système d'IA qu'elle développe ou utilise. Cela inclut les fournisseurs de modèles de fondation, les fournisseurs de jeux de données, les intégrateurs techniques, les éditeurs de la solution finale, et les clients déployeurs si la PME est elle-même fournisseur. Chaque rôle doit être documenté dans un registre, avec les obligations associées et les preuves contractuelles correspondantes.
Quelles ressources sont disponibles pour les PME pour se conformer à l'article 25 ?
Les PME peuvent consulter le service desk de l'AI Act de la Commission européenne pour des conseils opérationnels. La CNIL publie des fiches pratiques IA en français, particulièrement utiles pour l'articulation avec le RGPD. Le portail officiel artificialintelligenceact.eu donne accès au texte consolidé. Pour des modèles documentaires prêts à l'emploi, consultez les sources officielles regulia et les packs documentaires regulia adaptés aux PME françaises.
10. Sources officielles
- Règlement (UE) 2024/1689 — texte officiel sur EUR-Lex
- AI Act Service Desk — Commission européenne
- Fiches pratiques IA de la CNIL
- Texte consolidé sur artificialintelligenceact.eu
- ISO/IEC 42001:2023 — Systèmes de management de l'IA
- ISO/IEC 23894:2023 — Gestion des risques liés à l'IA
- Cigref, Guide AI Act, janvier 2025
- Numeum, Guide AI Act, mars 2025
Disclaimer Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.