Comment vérifier la conformité de mon fournisseur de plateforme de livraison ?

Demandez une documentation technique et un rapport d'audit conforme à l'AI Act. Vérifiez que le fournisseur dispose d'un mécanisme de contestation et qu'il respecte les obligations de transparence. Utilisez le service d'aide européen (ai-act-service-desk.ec.europa.eu) pour des conseils.

Quelles ressources sont disponibles pour les PME en difficulté ?

La CNIL propose un guide dédié aux PME (cnil.fr/guide-ia-pme). Le service d'aide européen (ai-act-service-desk.ec.europa.eu) offre des conseils gratuits. Le site artificialintelligenceact.eu fournit des ressources techniques et les textes officiels sont accessibles via eur-lex.europa.eu/ai-act.

AI Act pour restaurateurs et plateformes de livraison : recommandations et obligations

Q: Quels systèmes d'IA sont concernés par l'AI Act pour les restaurateurs ?

Les systèmes d'IA utilisés pour des décisions significatives (ex: algorithmes de prédiction de ventes, recommandations de menus, gestion des commandes) sont concernés. Les plateformes de livraison doivent également vérifier la conformité de leurs fournisseurs d'IA.

Q: Quelles sont les sanctions en cas de non-conformité pour une PME ?

Les sanctions peuvent atteindre 7% du chiffre d'affaires annuel (article 64 AI Act). Pour les systèmes à haut risque, des amendes supplémentaires peuvent être appliquées pour non-respect des obligations de documentation et d'audit.

Q: Quelles sont les obligations spécifiques pour les plateformes de livraison ?

Les plateformes doivent documenter leurs systèmes d'IA, mettre en place des mécanismes de contestation, effectuer des audits annuels et garantir la conformité de leurs fournisseurs d'IA (article 40 AI Act). Elles doivent également informer les utilisateurs sur les décisions d'IA.

L'essentiel en 30 secondes - Le Règlement (UE) 2024/1689 (AI Act) s'applique aux systèmes d'IA utilisés en restauration et en livraison, qu'ils soient internes ou fournis par des prestataires tiers. - Les algorithmes de gestion des livreurs (affectation des courses, notation, sanctions) relèvent généralement de la catégorie « haut risque » au titre de l'Annexe III, point 4 (gestion des travailleurs). - Les sanctions atteignent jusqu'à 35 M€ ou 7 % du chiffre d'affaires mondial annuel pour les pratiques interdites (Article 99 du Règlement (UE) 2024/1689). - La CNIL a publié 13 fiches pratiques IA en 2024-2025 pour accompagner les responsables de traitement, dont les PME. - Les plateformes de livraison restent responsables de la conformité des systèmes d'IA déployés, même fournis par un tiers (Art. 26). - L'AI Office EU met à disposition un service d'aide gratuit : ai-act-service-desk.ec.europa.eu.

Restaurateurs indépendants, chaînes de restauration rapide et plateformes de livraison utilisent désormais des systèmes d'IA pour la prédiction des ventes, la recommandation de menus, la tarification dynamique ou l'affectation des courses. Ces usages tombent sous l'empire du Règlement (UE) 2024/1689, dont l'application s'échelonne jusqu'au 2 août 2027. Voici ce qu'une PME du secteur doit savoir, ce qu'elle doit faire, et dans quel ordre.

1. Contexte réglementaire : l'AI Act appliqué à la restauration et à la livraison

Le Règlement (UE) 2024/1689 — publié au JOUE le 12 juillet 2024 — encadre la mise sur le marché et l'utilisation des systèmes d'IA dans l'Union. Il s'applique à tout fournisseur, déployeur, importateur ou distributeur, indépendamment de la taille de l'entreprise.

Pour le secteur de la restauration et de la livraison, trois catégories de systèmes coexistent :

Catégorie de risque	Exemples typiques en restauration / livraison	Régime applicable
Risque minimal	Prévision de ventes, gestion des stocks par ML	Pas d'obligation spécifique, code de conduite encouragé (Art. 95)
Risque limité	Chatbot de prise de commande, recommandation de menu	Obligation de transparence : informer l'utilisateur qu'il interagit avec une IA (Art. 50)
Haut risque	Algorithmes affectant les conditions de travail des livreurs : affectation, notation, désactivation de compte	Régime complet du chapitre III, section 2 (Art. 8 à 22)

La classification haut risque des outils de gestion des travailleurs découle de l'Annexe III, point 4, qui vise « les systèmes d'IA destinés à être utilisés pour prendre des décisions affectant les conditions des relations de travail, la promotion ou la cessation de ces relations ». Une plateforme qui décide algorithmiquement de l'attribution d'une course rémunérée à un livreur entre dans ce périmètre.

Les obligations s'échelonnent : les pratiques interdites (Art. 5) sont applicables depuis le 2 février 2025, les règles sur l'IA à usage général depuis le 2 août 2025, et l'essentiel des obligations « haut risque » au 2 août 2026, voire 2027 pour les systèmes intégrés à des produits réglementés.

Pour situer ces obligations dans le paysage global de la conformité IA des PME françaises, consultez notre guide pillar AI Act PME France.

2. Risques spécifiques pour les restaurateurs

Un restaurateur n'est pas, dans la majorité des cas, fournisseur d'un système d'IA. Il en est déployeur au sens de l'Art. 3, point 4 — celui qui utilise un système d'IA sous sa propre autorité. Ce statut entraîne des obligations propres dès lors que le système est qualifié de haut risque (Art. 26).

Trois risques opérationnels méritent l'attention :

Biais des moteurs de recommandation. Un algorithme qui propose systématiquement les plats à plus forte marge sans transparence pour le client peut soulever des problèmes au regard du droit de la consommation (DGCCRF) et, si des décisions automatisées affectent significativement le client, de l'Article 22 du RGPD.
Opacité des décisions sur les commandes prioritaires. Si la priorisation des commandes dans la cuisine est pilotée par une IA fournie par la plateforme partenaire, le restaurateur en subit les effets sans en maîtriser la logique. Une convention écrite avec la plateforme est essentielle pour préserver la traçabilité.
Données personnelles transmises sans base licite. Les habitudes de consommation des clients constituent des données personnelles. Leur exploitation par une IA tierce sans information du client viole le RGPD (Art. 13) et expose le restaurateur, responsable de traitement conjoint le cas échéant.

Le glossaire regulia détaille la qualification de fournisseur, déployeur et utilisateur final : voir /glossaire.html.

3. Obligations légales pour les plateformes de livraison

Les plateformes — Uber Eats, Deliveroo, Just Eat et acteurs régionaux — cumulent plusieurs casquettes : fournisseurs de systèmes d'IA (algorithmes propriétaires d'affectation), déployeurs (IA générative pour la relation client), et intermédiaires soumis au DSA. L'AI Act ajoute une couche d'obligations.

Pour les systèmes haut risque (gestion des livreurs typiquement), le fournisseur doit :

Établir un système de gestion des risques conforme à l'Art. 9.
Documenter la qualité des données d'entraînement, de validation et de test (Art. 10).
Constituer la documentation technique listée à l'Annexe IV (Art. 11).
Garantir la traçabilité par des journaux automatiques (Art. 12).
Assurer la transparence et fournir une notice d'utilisation au déployeur (Art. 13).
Permettre un contrôle humain effectif (Art. 14).
Atteindre un niveau approprié d'exactitude, robustesse et cybersécurité (Art. 15).
Mettre en place un système de gestion de la qualité (Art. 17).
Réaliser l'évaluation de conformité (Art. 43) et apposer le marquage CE (Art. 48).
Enregistrer le système dans la base de données UE (Art. 49 / 71).

Le déployeur — c'est-à-dire le restaurateur ou le franchisé qui intègre ces outils dans son activité — doit, selon l'Art. 26 : utiliser le système conformément à la notice, assurer la surveillance humaine, conserver les journaux générés pendant au moins six mois, informer les travailleurs concernés avant la mise en service (Art. 26 §7), et notifier sans délai tout incident grave (Art. 73).

À noter : l'Art. 40 vise les normes harmonisées et standardisation, et non les obligations de sous-traitance. Pour la responsabilité en chaîne, les références applicables sont les Art. 25 (responsabilités le long de la chaîne de valeur) et 26 (déployeur).

4. Recommandations de conformité pour les PME

Une PME du secteur peut structurer sa démarche en quatre chantiers, dans cet ordre :

Étape	Action	Délai indicatif
1. Inventaire	Recenser tous les systèmes d'IA utilisés, internes ou fournis par tiers	1 mois
2. Qualification	Classer chaque système (minimal, limité, haut risque, interdit)	2 semaines
3. Mise à niveau contractuelle	Demander aux fournisseurs : notice d'utilisation (Art. 13), documentation technique (Art. 11), preuve de marquage CE pour les systèmes haut risque	2 mois
4. Politique interne	Adopter une politique IA, désigner un référent, former le personnel (Art. 4 — exigence de littératie IA applicable depuis février 2025)	3 mois

L'Article 4 mérite une attention particulière : il impose à tous les fournisseurs et déployeurs, sans seuil ni exception PME, de garantir un niveau suffisant de connaissances en matière d'IA chez leurs personnels concernés. Cette obligation est entrée en vigueur le 2 février 2025.

La CNIL recommande une approche proportionnée. Ses 13 fiches pratiques IA (publiées entre 2024 et 2025) détaillent l'analyse d'impact (AIPD), la base légale et les droits des personnes. Elles constituent une référence opérationnelle gratuite.

Pack documentaire AI Act prêt à l'emploi pour la restauration

regulia fournit un pack de modèles adaptés aux PME du secteur : politique IA, registre des systèmes, fiches de classification, clauses contractuelles fournisseurs et trame d'AIPD. Gain de temps estimé : 40 à 60 heures de travail interne.

Demander le pack documentaire

5. Exemples concrets d'usages d'IA dans le secteur

Usage	Qualification AI Act probable	Obligations principales
Prévision de ventes par modèle ML	Risque minimal	Aucune obligation spécifique. Bonnes pratiques recommandées.
Recommandation de menu sur l'app	Risque limité (interaction IA)	Information de l'utilisateur (Art. 50). RGPD si profilage.
Chatbot de prise de commande vocal	Risque limité	Indication explicite « vous parlez à une IA » (Art. 50 §1).
Tarification dynamique côté plateforme	Variable selon impact sur le client	RGPD Art. 22 si décision automatisée significative.
Algorithme d'affectation des courses livreurs	Haut risque (Annexe III §4)	Régime complet Art. 8-22 + Art. 26 pour le déployeur.
Notation algorithmique des livreurs	Haut risque (Annexe III §4)	Idem. Information préalable des travailleurs (Art. 26 §7).
Détection de fraude sur paiements	Haut risque potentiel (Annexe III §5b)	Évaluation préalable requise.
IA générative pour réponses aux avis clients	Risque limité	Information de l'utilisateur sur le contenu généré (Art. 50 §4).

Ces qualifications sont indicatives. Une analyse au cas par cas, prenant en compte la finalité réelle du système et son contexte de déploiement, est nécessaire. Notre page sources référence les guides sectoriels Cigref et Numeum mobilisables pour cette analyse.

6. Sanctions et responsabilités

Le régime de sanctions est défini à l'Article 99 du Règlement (UE) 2024/1689 :

Type d'infraction	Plafond	Base légale
Mise en œuvre d'une pratique interdite (Art. 5)	35 M€ ou 7 % du CA mondial annuel (le plus élevé)	Art. 99 §3
Manquement aux obligations applicables aux opérateurs (autres que Art. 5)	15 M€ ou 3 % du CA mondial annuel	Art. 99 §4
Informations inexactes aux autorités	7,5 M€ ou 1 % du CA mondial annuel	Art. 99 §5

Pour les PME et start-up, l'Art. 99 §6 prévoit que le plafond applicable est le plus bas des deux montants — un mécanisme protecteur, à condition que l'entreprise relève effectivement de la définition européenne de PME (Recommandation 2003/361/CE).

La responsabilité du déployeur n'est pas écartée par l'externalisation. Un restaurateur qui utilise un système haut risque non conforme reste exposé, même si le défaut provient du fournisseur. La diligence contractuelle (audit, garanties, clauses de mise en conformité) est donc essentielle.

Pour le détail des sanctions, des seuils PME et un calculateur, consultez notre article AI Act sanctions PME — amendes Article 99.

L'Article 73 impose, par ailleurs, le signalement des incidents graves au surveillant national de marché dans les 15 jours suivant la connaissance des faits (voire 2 jours en cas d'incident massif ou de décès).

7. Ressources et accompagnement

Ressource	Émetteur	Usage
AI Act Service Desk	Commission européenne — AI Office	Réponses gratuites aux questions de conformité
13 fiches pratiques IA	CNIL	Mise en œuvre RGPD-IA opérationnelle
Texte consolidé	artificialintelligenceact.eu	Lecture intégrale annotée
Version officielle	EUR-Lex (ELI: reg/2024/1689)	Référence juridique opposable
Guide AI Act janvier 2025	Cigref	Approche DSI grands comptes, utile pour benchmark
Guide AI Act mars 2025	Numeum	Approche éditeurs / intégrateurs

Aucune de ces ressources ne dispense d'une qualification au cas par cas par un conseil juridique. Elles fournissent un socle de référence partagé entre direction, DPO et IA Lead.

8. Étapes d'action pour les restaurateurs

Une feuille de route à 90 jours, applicable à une PME de 10 à 250 salariés :

Semaine 1-2 — Inventaire. Cartographier tous les systèmes d'IA utilisés : logiciels de caisse, plateformes partenaires, outils marketing, outils RH. Inclure les versions SaaS.
Semaine 3-4 — Qualification. Pour chaque système, déterminer le rôle (fournisseur / déployeur), la catégorie de risque et la base légale RGPD applicable.
Semaine 5-8 — Documentation. Demander aux fournisseurs : notice (Art. 13), documentation technique (Art. 11) pour les systèmes haut risque, preuve de marquage CE et numéro d'enregistrement à la base UE.
Semaine 9-10 — Formation. Mettre en place la formation IA pour les personnels concernés (Art. 4). Documenter le contenu et les présents.
Semaine 11-12 — Gouvernance. Adopter une politique IA interne, désigner un référent IA, mettre en place un journal des incidents, prévoir la procédure de signalement Art. 73.
Semaine 13 — Audit interne. Vérifier la cohérence d'ensemble, identifier les écarts résiduels, planifier les actions correctives.

Cette feuille de route est compatible avec une démarche ISO/IEC 42001:2023 (système de management de l'IA), utile si l'entreprise souhaite valoriser sa conformité auprès de clients ou partenaires.

FAQ

Quels systèmes d'IA sont concernés par l'AI Act pour les restaurateurs ?

Tout système d'IA au sens de l'Art. 3, point 1 du Règlement (UE) 2024/1689 entre dans le champ d'application, indépendamment du secteur. Pour un restaurateur, cela inclut les outils de prévision de ventes, les chatbots, les moteurs de recommandation de menus, la tarification dynamique et les algorithmes de gestion fournis par les plateformes de livraison. Le niveau d'obligation dépend de la classification du système (risque minimal, limité, haut risque ou pratique interdite).

Quelles sont les sanctions en cas de non-conformité pour une PME ?

Les sanctions sont fixées à l'Article 99. Elles atteignent 35 M€ ou 7 % du chiffre d'affaires mondial annuel pour les pratiques interdites de l'Art. 5, 15 M€ ou 3 % pour les autres manquements, et 7,5 M€ ou 1 % en cas d'informations inexactes. L'Art. 99 §6 prévoit, pour les PME et start-up, que le plafond applicable est le plus bas des deux montants. Le statut PME doit être documenté au sens de la Recommandation 2003/361/CE.

Comment vérifier la conformité d'un fournisseur de plateforme de livraison ?

Demander par écrit : la notice d'utilisation prévue à l'Art. 13, la documentation technique (Annexe IV) pour les systèmes haut risque, la preuve du marquage CE (Art. 48), et le numéro d'enregistrement à la base de données UE (Art. 71). Pour les obligations spécifiques aux travailleurs des plateformes, exiger la confirmation de l'information préalable prévue à l'Art. 26 §7. Conserver ces éléments dans le dossier de conformité de l'entreprise.

Quelles sont les obligations spécifiques pour les plateformes de livraison ?

En tant que fournisseurs de systèmes haut risque (typiquement les algorithmes de gestion des livreurs au titre de l'Annexe III §4), les plateformes doivent respecter les Art. 8 à 22 : gestion des risques, qualité des données, documentation technique, traçabilité, transparence, contrôle humain, robustesse, système qualité, évaluation de conformité, marquage CE et enregistrement. Elles doivent par ailleurs signaler les incidents graves (Art. 73) et coopérer avec les autorités de surveillance de marché.

Quelles ressources sont disponibles pour les PME du secteur ?

L'AI Office EU propose un service d'aide gratuit à ai-act-service-desk.ec.europa.eu. La CNIL met à disposition 13 fiches pratiques IA orientées RGPD. Les organisations professionnelles (Cigref, Numeum) ont publié des guides opérationnels en 2025. Le texte officiel est accessible via EUR-Lex (ELI: reg/2024/1689) et une version annotée gratuite sur artificialintelligenceact.eu. Pour un accompagnement structuré, regulia propose des packs documentaires adaptés aux PME.

Sources officielles

Texte officiel — Règlement (UE) 2024/1689 : eur-lex.europa.eu/eli/reg/2024/1689
AI Act Service Desk — Commission européenne : ai-act-service-desk.ec.europa.eu
Texte consolidé annoté : artificialintelligenceact.eu
CNIL — fiches pratiques IA : cnil.fr/fr/les-fiches-pratiques-ia
ISO/IEC 42001:2023 — Système de management de l'IA : norme officielle ISO
ISO/IEC 23894:2023 — Gestion des risques IA : norme officielle ISO

Diagnostic AI Act gratuit pour votre établissement

En 20 minutes, identifiez vos systèmes d'IA, leur niveau de risque et les obligations prioritaires. Un expert regulia vous remet une fiche synthétique exploitable par votre DPO ou votre conseil.

Réserver le diagnostic

Avertissement. Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises du secteur de la restauration et de la livraison. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.

AI Act, restaurateurs et plateformes de livraison : obligations, risques et plan d'action