L'essentiel en 30 secondes
- Les importateurs et distributeurs d'IA portent une responsabilité directe au titre des Articles 23 et 24 du Règlement (UE) 2024/1689.
- L'importateur doit vérifier la conformité du système d'IA à haut risque avant sa mise sur le marché européen (Article 23).
- Le distributeur doit contrôler le marquage CE, la documentation et la traçabilité avant toute remise à disposition (Article 24).
- Toute non-conformité grave engage des sanctions financières pouvant atteindre 15 millions d'euros ou 3 % du chiffre d'affaires mondial (Article 99).
- L'échéance principale pour les systèmes à haut risque court jusqu'au 2 août 2026 (Article 113).
- Les PME françaises qui revendent, intègrent ou importent une IA tierce doivent structurer un processus documenté de contrôle fournisseur dès maintenant.
1. Contexte juridique : la place des importateurs et distributeurs dans l'AI Act
Le Règlement (UE) 2024/1689, dit AI Act, distingue plusieurs rôles dans la chaîne de valeur de l'intelligence artificielle. L'Article 3 du Règlement (UE) 2024/1689 définit chacun d'eux avec précision.
Le fournisseur conçoit ou fait concevoir un système d'IA et le met sur le marché sous son nom. L'importateur est une personne physique ou morale établie dans l'Union qui place sur le marché européen un système d'IA portant le nom d'un opérateur établi hors UE. Le distributeur, lui, met à disposition un système d'IA sur le marché de l'Union sans en être ni le fournisseur ni l'importateur.
Cette typologie compte pour les PME françaises. Une entreprise qui achète un modèle américain et le revend en marque blanche bascule du côté importateur. Une entreprise qui revend la solution d'un éditeur européen sans la modifier reste distributeur. Ces deux statuts entraînent des obligations distinctes, mais cumulables.
| Rôle | Définition (Art. 3) | Article applicable | Marquage propre |
|---|---|---|---|
| Fournisseur | Développe et met sur le marché sous son nom | Art. 16 | Oui (CE) |
| Importateur | Place sur le marché UE une IA d'un acteur hors UE | Art. 23 | Non, contrôle du CE |
| Distributeur | Met à disposition une IA déjà sur le marché UE | Art. 24 | Non, contrôle du CE |
| Déployeur | Utilise une IA sous sa propre autorité | Art. 26 | Non |
Attention au basculement de rôle prévu par l'Article 25. Un distributeur qui appose son nom, modifie la finalité ou opère une transformation substantielle devient juridiquement fournisseur, avec toutes les obligations associées.
2. Obligations de conformité de l'importateur (Article 23)
L'Article 23 du Règlement (UE) 2024/1689 fixe le périmètre exact des contrôles à effectuer avant la mise sur le marché européen. Ces obligations concernent principalement les systèmes d'IA à haut risque listés à l'Annexe III.
L'importateur doit vérifier que la procédure d'évaluation de la conformité prévue à l'Article 43 a été menée par le fournisseur. Il doit s'assurer que le fournisseur a établi la documentation technique requise à l'Annexe IV. Il vérifie la présence du marquage CE, de la déclaration UE de conformité (Article 47) et des instructions d'utilisation en français.
Si l'importateur considère ou a des raisons de considérer qu'un système d'IA à haut risque n'est pas conforme, il ne peut pas le placer sur le marché. Cette obligation de blocage est explicite et engage sa responsabilité. Il doit informer le fournisseur, les autorités nationales compétentes (en France, la DGCCRF et la CNIL selon le cas) et, le cas échéant, l'organisme notifié.
L'importateur indique son nom, sa raison sociale et son adresse postale soit sur le système d'IA, soit sur son emballage, soit dans la documentation jointe. Il conserve pendant dix ans une copie du certificat délivré par l'organisme notifié et de la déclaration de conformité. Il coopère avec les autorités sur demande motivée.
Les obligations de coopération vont loin. Une autorité de surveillance peut exiger toutes les informations nécessaires pour démontrer la conformité, y compris dans une langue officielle de l'État membre où elle opère.
3. Obligations de vigilance du distributeur (Article 24)
L'Article 24 du Règlement (UE) 2024/1689 organise les contrôles à effectuer avant la mise à disposition. Le distributeur agit en aval de l'importateur ou du fournisseur, mais sa responsabilité n'est pas pour autant atténuée.
Avant de mettre un système d'IA à haut risque à disposition sur le marché, le distributeur vérifie quatre éléments : la présence du marquage CE requis, la déclaration UE de conformité, les instructions d'utilisation conformes, et le respect par le fournisseur et l'importateur de leurs propres obligations (Articles 16 et 23).
Si le distributeur considère ou a des raisons de considérer qu'un système n'est pas conforme aux exigences du Chapitre III Section 2, il ne le met pas à disposition tant que la conformité n'est pas rétablie. Cette obligation de retrait du marché s'applique également aux systèmes déjà mis à disposition lorsqu'une non-conformité est identifiée a posteriori.
Lorsque le distributeur estime qu'un système d'IA à haut risque présente un risque au sens de l'Article 79, il en informe immédiatement le fournisseur ou l'importateur, et les autorités nationales compétentes. Il garantit que les conditions de stockage ou de transport n'altèrent pas la conformité du système.
| Obligation | Importateur (Art. 23) | Distributeur (Art. 24) |
|---|---|---|
| Vérification du marquage CE | Oui, avant mise sur le marché | Oui, avant mise à disposition |
| Vérification documentation technique | Oui (Annexe IV) | Non, mais déclaration UE |
| Conservation des documents | 10 ans | Coopération sur demande |
| Coordonnées sur le produit | Obligatoire | Non, mais traçabilité |
| Blocage en cas de doute | Oui | Oui |
| Signalement aux autorités | Oui (risque + non-conformité) | Oui (risque + non-conformité) |
| Coopération avec autorités | Oui, langue de l'État | Oui, langue de l'État |
Auditez vos contrats fournisseurs IA
Notre pack documentaire regulia inclut une grille d'audit fournisseur IA conforme aux Articles 23 et 24, prête à intégrer dans vos appels d'offres et contrats de revente.
Demander le pack conformité importateur/distributeur4. Sanctions et responsabilités (Article 99)
L'Article 99 du Règlement (UE) 2024/1689 organise un système gradué de sanctions administratives. Le montant varie selon la nature de la violation et la taille de l'opérateur.
Pour les PME, l'Article 99 paragraphe 6 prévoit que les amendes correspondent au plus bas des deux montants applicables (pourcentage du chiffre d'affaires ou montant fixe). Cette protection limite l'effet de levier des sanctions sur les petites structures, sans en supprimer l'effet dissuasif.
| Manquement | Plafond standard | Plafond PME (le plus bas) |
|---|---|---|
| Non-respect des pratiques interdites (Art. 5) | 35 M€ ou 7 % CA mondial | Le plus bas des deux |
| Non-respect Art. 16, 23, 24, 26… | 15 M€ ou 3 % CA mondial | Le plus bas des deux |
| Informations inexactes aux autorités | 7,5 M€ ou 1,5 % CA mondial | Le plus bas des deux |
Au-delà des amendes, les autorités peuvent ordonner le retrait du marché, le rappel des systèmes ou l'interdiction de mise à disposition (Article 83). Ces mesures correctives ont un impact commercial direct, souvent supérieur à l'amende elle-même pour un distributeur.
Pour approfondir le calcul des sanctions selon votre profil, consultez notre guide complet sur les sanctions AI Act pour PME et le glossaire regulia.
5. Guide pratique : se conformer en six étapes
La mise en conformité d'un importateur ou distributeur français suit une logique opérationnelle. Voici la séquence à dérouler.
- Cartographier tous les systèmes d'IA importés ou distribués, par fournisseur et par finalité.
- Identifier ceux qui relèvent du haut risque (Annexe III) ou des modèles d'IA à usage général (GPAI, Article 51).
- Demander à chaque fournisseur la déclaration UE de conformité (Article 47), la documentation technique (Annexe IV) et la preuve d'évaluation (Article 43).
- Mettre en place un registre interne des vérifications effectuées, daté et signé par un responsable identifié.
- Insérer dans tout contrat de revente une clause de garantie de conformité AI Act et une clause d'information mutuelle en cas d'incident.
- Former les équipes commerciales et techniques aux signaux d'alerte (absence de marquage CE, documentation lacunaire, modifications non documentées).
Cette démarche s'articule naturellement avec un système de management de l'IA selon la norme ISO/IEC 42001:2023, qui structure la gouvernance, l'évaluation des risques et l'amélioration continue.
6. Ressources et outils pour la mise en conformité
Plusieurs ressources institutionnelles aident les PME à structurer leur démarche. Aucune ne remplace un audit propre, mais elles fournissent un cadre méthodologique fiable.
Le Service Desk AI Act de la Commission européenne répond aux questions techniques d'interprétation. La CNIL publie 13 fiches pratiques sur l'IA, dont plusieurs concernent la chaîne de responsabilité fournisseur-importateur-distributeur. La norme ISO/IEC 42001:2023 propose un système de management certifiable, dont les exigences recoupent largement les Articles 16 à 27 de l'AI Act.
| Ressource | Usage | Niveau d'autorité |
|---|---|---|
| Service Desk AI Act (Commission UE) | Questions d'interprétation | Officiel UE |
| Fiches pratiques CNIL | RGPD-IA, données personnelles | Régulateur français |
| ISO/IEC 42001:2023 | Management de l'IA | Norme internationale |
| ISO/IEC 23894:2023 | Gestion du risque IA | Norme internationale |
| Cigref / Numeum | Guides sectoriels | Profession |
Pour aller plus loin sur la cartographie réglementaire complète, consultez notre page pilier sur l'AI Act et les PME françaises ainsi que notre page sources.
7. Exemples concrets : cas d'importation et de distribution
Trois cas illustrent la mise en œuvre opérationnelle des Articles 23 et 24.
Cas 1 — Importation d'un logiciel d'IA américain de tri de CV. Une ESN parisienne importe une solution développée en Californie pour la revendre à ses clients RH. Le tri de CV figure à l'Annexe III, point 4 : système à haut risque. L'ESN devient importateur au sens de l'Article 23. Elle doit obtenir la documentation technique complète, la déclaration UE de conformité, et désigner un mandataire UE pour le fournisseur américain (Article 22). Sans ces éléments, la mise sur le marché est juridiquement bloquée.
Cas 2 — Distribution d'un modèle de scoring crédit français. Une fintech revend un outil de scoring crédit développé par un éditeur lyonnais. Le scoring de solvabilité figure à l'Annexe III, point 5. La fintech est distributeur (Article 24). Elle doit vérifier le marquage CE, la déclaration UE, les instructions en français, et tenir un registre de ces vérifications. Si elle modifie la finalité (par exemple, en l'utilisant pour du scoring d'assurance), elle bascule fournisseur au titre de l'Article 25.
Cas 3 — Non-conformité détectée a posteriori. Un distributeur découvre, six mois après la mise à disposition, que le système d'IA distribué ne respecte plus les exigences (mise à jour du modèle par le fournisseur, sans nouvelle évaluation). Il doit immédiatement informer les autorités compétentes, suspendre la mise à disposition et coopérer au rappel. Le non-respect de cette obligation engage la sanction de l'Article 99.
8. Échéances et suivi réglementaire
Le calendrier d'application de l'AI Act est étagé par l'Article 113 du Règlement (UE) 2024/1689. Trois jalons concernent directement les importateurs et distributeurs.
| Date | Périmètre |
|---|---|
| 2 février 2025 | Pratiques interdites (Article 5), AI literacy (Article 4) |
| 2 août 2025 | Modèles d'IA à usage général (GPAI), gouvernance, sanctions |
| 2 août 2026 | Majorité des obligations sur les systèmes à haut risque (dont Art. 23-24) |
| 2 août 2027 | Systèmes à haut risque relevant de l'Annexe I |
Le suivi réglementaire implique de surveiller les actes d'exécution et lignes directrices publiés par la Commission. Le Bureau de l'IA (AI Office) publie régulièrement des clarifications. Les autorités nationales — en France, la coordination repose sur la DGCCRF, la CNIL, l'ARCEP et l'ARCOM selon le secteur — émettront leurs propres recommandations sectorielles.
Sécurisez votre conformité avant le 2 août 2026
Le pack regulia importateur/distributeur livre vos templates de contrat, registre de vérification, grille d'audit fournisseur et procédure d'alerte conformes aux Articles 23, 24 et 99 de l'AI Act.
Obtenir le pack documentaire reguliaFAQ
Quelles sont les principales obligations des importateurs et distributeurs d'IA selon l'AI Act ?
Les importateurs doivent vérifier la conformité des systèmes à haut risque avant leur mise sur le marché (Art. 23) : marquage CE, déclaration UE de conformité, documentation technique de l'Annexe IV, instructions en français. Les distributeurs vérifient ces mêmes éléments avant toute mise à disposition (Art. 24). Tous deux signalent les non-conformités et coopèrent avec les autorités nationales.
Quelles sont les sanctions pour non-conformité avec les Articles 23 et 24 ?
L'Article 99 prévoit des amendes administratives jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires mondial pour le non-respect des Articles 23 et 24. Pour les PME, le plafond retenu est le plus bas des deux. Les autorités peuvent également ordonner le retrait du marché, le rappel ou l'interdiction de mise à disposition (Art. 83).
Comment une PME peut-elle vérifier la conformité d'un système d'IA importé ?
La PME demande au fournisseur la déclaration UE de conformité (Art. 47), la documentation technique (Annexe IV) et la preuve de l'évaluation de la conformité (Art. 43). Elle vérifie la présence du marquage CE et la traçabilité des coordonnées du fournisseur. Elle documente ces contrôles dans un registre interne signé. En cas de doute, elle consulte le Service Desk AI Act ou un conseil juridique spécialisé.
Quelle est l'échéance de mise en œuvre de l'AI Act pour les importateurs et distributeurs ?
Les obligations des Articles 23 et 24 applicables aux systèmes à haut risque entrent pleinement en vigueur le 2 août 2026 (Article 113). Les systèmes relevant de l'Annexe I bénéficient d'un délai supplémentaire jusqu'au 2 août 2027. Les pratiques interdites et l'obligation de littératie IA s'appliquent depuis le 2 février 2025.
Un distributeur qui modifie un système d'IA peut-il rester distributeur ?
Non. L'Article 25 prévoit qu'un distributeur, importateur, déployeur ou tiers devient fournisseur d'un système d'IA à haut risque dès lors qu'il appose son nom, modifie substantiellement le système ou change sa finalité. Il assume alors toutes les obligations du fournisseur prévues à l'Article 16, y compris l'évaluation de la conformité.
Sources officielles
- Règlement (UE) 2024/1689 sur l'intelligence artificielle (EUR-Lex) : eur-lex.europa.eu
- Service Desk AI Act, Commission européenne : ai-act-service-desk.ec.europa.eu
- CNIL, Loi sur l'intelligence artificielle : cnil.fr/fr/loi-sur-l-intelligence-artificielle
- CNIL, Guide pratique sur l'AI Act : cnil.fr/fr/loi-sur-l-intelligence-artificielle-guide-pratique
- ISO/IEC 42001:2023, Systèmes de management de l'IA : iso.org/standard/78698.html
Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.