L'essentiel en 30 secondes - L'Article 25 du Règlement (UE) 2024/1689 répartit les responsabilités entre fournisseurs, déployeurs, importateurs et distributeurs de systèmes d'IA à haut risque. - Une PME qui modifie substantiellement un système d'IA, le rebadge ou change sa finalité bascule du statut de déployeur à celui de fournisseur — avec toutes les obligations associées. - Les sanctions pour non-conformité aux obligations applicables peuvent atteindre 15 millions d'euros ou 3 % du chiffre d'affaires mondial annuel (Art. 99 du Règlement (UE) 2024/1689). - La chaîne de valeur impose une coopération contractuelle documentée entre acteurs : informations, accès technique, registres et documentation. - Une base de données européenne des systèmes d'IA à haut risque sera opérationnelle pour l'enregistrement des systèmes concernés (Art. 71 AI Act). - Identifier précisément son rôle est l'étape de conformité numéro un pour toute PME française qui développe, intègre ou utilise un système d'IA.
1. Contexte juridique : l'Article 25 dans l'architecture de l'AI Act
L'Article 25 du Règlement (UE) 2024/1689 (« AI Act ») traite des responsabilités tout au long de la chaîne de valeur de l'IA. Il s'inscrit dans le chapitre III consacré aux systèmes d'IA à haut risque.
Son objectif est clair. Éviter qu'une PME se cache derrière son fournisseur ou qu'un fournisseur se décharge sur son client final. Chaque acteur porte une part de responsabilité proportionnelle à son intervention.
Le texte distingue plusieurs situations où un opérateur initialement considéré comme distributeur, importateur ou déployeur devient lui-même fournisseur au sens de l'Article 3 du Règlement. Cette requalification entraîne automatiquement le transfert des obligations lourdes pesant sur les fournisseurs : système de gestion des risques, documentation technique, évaluation de conformité, marquage CE.
Pour une PME française, comprendre cet article conditionne le périmètre exact de ses obligations. Une erreur de qualification expose à des sanctions et à la perte de couverture assurantielle. Pour le cadre général, consultez notre pillar AI Act PME France.
1.1 Les notions clés posées par l'Article 25
| Notion | Définition opérationnelle | Source AI Act |
|---|---|---|
| Fournisseur | Acteur qui développe ou fait développer un système d'IA et le met sur le marché sous son nom | Art. 3(3) |
| Déployeur | Acteur qui utilise un système d'IA sous sa propre autorité, sauf usage personnel non professionnel | Art. 3(4) |
| Importateur | Personne établie dans l'UE qui met sur le marché un système d'IA portant le nom d'un opérateur hors UE | Art. 3(6) |
| Distributeur | Personne dans la chaîne d'approvisionnement, autre que fournisseur ou importateur, qui met à disposition un système d'IA | Art. 3(7) |
| Modification substantielle | Changement non prévu par le fournisseur initial qui affecte la conformité ou la finalité prévue | Art. 3(23) |
2. Les principaux acteurs concernés par l'Article 25
Quatre catégories d'opérateurs sont visées par les mécanismes de requalification de l'Article 25. Une PME peut cumuler plusieurs rôles selon les systèmes d'IA qu'elle manipule.
2.1 Le fournisseur
Le fournisseur conçoit ou fait concevoir un système d'IA et le commercialise. Il porte le noyau dur des obligations du chapitre III, section 2 : gestion des risques, gouvernance des données, documentation technique, transparence, supervision humaine, robustesse, cybersécurité.
Une PME éditrice de logiciels qui intègre un modèle d'IA dans son produit SaaS est, dans la plupart des cas, fournisseur.
2.2 Le déployeur
Le déployeur est l'organisation qui utilise concrètement le système dans son activité professionnelle. Une PME qui achète un outil de présélection de CV pour son service RH est déployeur d'un système classé à haut risque selon l'Annexe III du Règlement.
Ses obligations sont définies à l'Article 26 : utilisation conforme à la notice, supervision humaine effective, conservation des journaux, information des personnes concernées, analyse d'impact relative aux droits fondamentaux pour certains cas.
2.3 L'importateur et le distributeur
L'importateur vérifie que le fournisseur hors UE a respecté ses obligations avant la mise sur le marché européen. Le distributeur effectue un contrôle plus léger mais réel : présence du marquage CE, de la documentation, des instructions.
Une PME française qui revend ou intègre un module d'IA développé aux États-Unis devra arbitrer entre statut d'importateur et statut de distributeur. Cet arbitrage a des conséquences financières et opérationnelles majeures.
3. Quand un déployeur devient fournisseur : les trois cas de l'Article 25
C'est le cœur de l'Article 25. Le paragraphe 1 prévoit trois situations dans lesquelles un distributeur, un importateur, un déployeur ou tout autre tiers est considéré comme fournisseur d'un système d'IA à haut risque.
3.1 Le rebadging
Première situation. L'opérateur appose son nom ou sa marque sur un système d'IA à haut risque déjà mis sur le marché ou mis en service.
Exemple concret. Une PME française achète une solution IA de scoring de candidats développée par un éditeur tiers. Elle la commercialise sous sa propre marque auprès de ses clients. Elle devient fournisseur du système, avec toutes les obligations correspondantes.
3.2 La modification substantielle
Deuxième situation. L'opérateur apporte une modification substantielle à un système d'IA à haut risque déjà mis sur le marché, sans que cette modification soit prévue par le fournisseur initial.
Une modification est substantielle quand elle affecte la conformité du système ou modifie sa finalité prévue (Art. 3(23)). Un simple paramétrage prévu dans la documentation initiale ne déclenche pas la requalification.
3.3 Le changement de finalité
Troisième situation. L'opérateur modifie la finalité prévue d'un système d'IA non classé à haut risque, et cette nouvelle finalité fait basculer le système dans la catégorie à haut risque de l'Annexe III.
Cas typique. Une PME utilise un outil de tri textuel généraliste pour automatiser sa présélection RH. Ce nouvel usage entre dans l'Annexe III point 4. La PME devient fournisseur d'un système à haut risque.
| Situation déclencheuse | Statut initial | Statut après requalification | Obligations nouvelles |
|---|---|---|---|
| Apposition de marque | Déployeur ou distributeur | Fournisseur | Section 2 du chapitre III complète |
| Modification substantielle | Déployeur | Fournisseur | Évaluation de conformité, marquage CE |
| Changement de finalité vers Annexe III | Déployeur | Fournisseur | Gestion des risques, documentation technique |
Identifiez votre rôle exact dans la chaîne de valeur
Notre pack documentaire regulia inclut un questionnaire de qualification AI Act et les modèles de registre interne adaptés aux PME françaises.
Demander un devis pack PME4. Obligations contractuelles entre fournisseurs et tiers (Article 25.4)
L'Article 25, paragraphe 4, impose au fournisseur initial d'un système d'IA à haut risque une obligation peu commentée mais lourde de conséquences pratiques.
Le fournisseur doit, par accord écrit, fournir aux tiers qui mettent à disposition des composants, modèles, outils, services, ensembles de données utilisés dans son système les informations, capacités, accès techniques et autres formes d'assistance nécessaires pour respecter le Règlement.
Concrètement, une PME française qui fournit une brique IA à un intégrateur européen devra prévoir des clauses contractuelles précises : périmètre de la documentation technique partagée, modalités d'accès aux journaux, conditions de coopération en cas d'incident grave (Art. 73).
Ces clauses ne peuvent pas être génériques. La Commission européenne publiera des clauses contractuelles types non contraignantes (Art. 25.4 in fine).
4.1 Exception pour les composants gratuits et open source
L'obligation ne s'applique pas aux tiers qui rendent accessibles au public des outils, services, processus ou composants d'IA autres que des modèles d'IA à usage général, sous licence libre et open source.
Cette exception ne couvre pas tout. Si le composant open source est intégré dans un produit commercial à haut risque, le fournisseur final reste responsable de la conformité globale.
5. Les risques concrets pour les PME françaises
La méconnaissance de l'Article 25 expose une PME à un cumul de risques. Les sanctions ne sont qu'une partie du tableau.
5.1 Sanctions financières
L'Article 99 du Règlement (UE) 2024/1689 prévoit trois plafonds de sanction selon la gravité. Pour le non-respect des obligations applicables aux opérateurs autres que celles relevant de l'Article 5 (pratiques interdites), le plafond est de 15 000 000 euros ou 3 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu.
Pour les PME et start-up, l'Article 99, paragraphe 6, prévoit que le montant retenu est le plus faible des deux. C'est une atténuation prévue par le texte lui-même. Notre analyse détaillée est disponible sur sanctions AI Act PME.
| Type d'infraction | Plafond grande entreprise | Plafond PME (Art. 99.6) | Base juridique |
|---|---|---|---|
| Pratiques interdites (Art. 5) | 35 M€ ou 7 % du CA | Le plus faible des deux | Art. 99.3 |
| Non-respect obligations opérateurs | 15 M€ ou 3 % du CA | Le plus faible des deux | Art. 99.4 |
| Informations incorrectes aux autorités | 7,5 M€ ou 1 % du CA | Le plus faible des deux | Art. 99.5 |
5.2 Risques réputationnels et commerciaux
La perte de confiance d'un client B2B se mesure rarement en euros immédiats. Elle se traduit par des cycles de vente plus longs, des audits sécurité plus exigeants, des clauses de garantie renforcées.
Une PME qui apparaît comme non conforme dans la base de données européenne des systèmes à haut risque (Art. 71) voit sa crédibilité commerciale affectée.
5.3 Risques contractuels
Les grandes entreprises répercutent leurs obligations sur leurs fournisseurs PME via des clauses contractuelles strictes. Une PME qui ne peut pas démontrer sa conformité perd des appels d'offres.
6. Guide pratique : 5 étapes de conformité Article 25 pour une PME
Voici une feuille de route opérationnelle. Elle ne remplace pas une analyse personnalisée mais structure le travail.
- Cartographier chaque système d'IA utilisé ou commercialisé. Lister les modèles, leurs fournisseurs, les finalités prévues, les utilisateurs internes ou externes.
- Qualifier le rôle pour chaque système. Fournisseur, déployeur, importateur, distributeur. Vérifier si l'un des trois cas de requalification de l'Article 25.1 s'applique.
- Établir un registre interne des systèmes d'IA. Ce registre n'est pas explicitement exigé pour tous les acteurs, mais il constitue la preuve documentaire de la démarche de conformité.
- Réviser les contrats avec les partenaires IA. Intégrer les clauses prévues par l'Article 25.4 : accès à la documentation, coopération en cas d'incident, périmètre des informations partagées.
- Former les équipes opérationnelles. L'Article 4 du Règlement impose un niveau suffisant de maîtrise de l'IA (« AI literacy ») au personnel impliqué.
Les définitions techniques utilisées ici sont reprises dans notre glossaire AI Act.
7. Trois exemples concrets pour des PME françaises
7.1 Cas 1 — PME éditrice de SaaS RH
Une PME développe un module de présélection de candidats intégrant un modèle d'IA acheté à un éditeur américain. Elle commercialise ce module sous sa marque.
Qualification. La PME est fournisseur d'un système d'IA à haut risque (Annexe III, point 4.a). Elle déclenche les trois mécanismes de l'Article 25.1 : rebadging, intégration substantielle, finalité ressources humaines.
Obligations clés. Documentation technique (Art. 11), système de gestion des risques (Art. 9), évaluation de conformité (Art. 43), enregistrement dans la base de données européenne (Art. 49).
7.2 Cas 2 — PME industrielle utilisant un outil de maintenance prédictive
Une PME manufacturière utilise un logiciel de maintenance prédictive développé par un grand éditeur européen. Elle ne modifie pas l'outil et l'utilise dans sa finalité prévue.
Qualification. La PME est déployeur d'un système qui, selon les cas, peut être à haut risque (composant de sécurité d'un produit régi par l'Annexe I) ou non.
Obligations clés (si haut risque, Art. 26). Suivi de la notice, supervision humaine, conservation des journaux automatiques, information des travailleurs concernés.
7.3 Cas 3 — PME conseil utilisant un agent conversationnel généraliste
Une PME de conseil utilise un agent conversationnel grand public pour rédiger des comptes rendus internes. L'usage ne relève d'aucun cas de l'Annexe III.
Qualification. La PME est déployeur d'un système d'IA non classé à haut risque. Les obligations principales relèvent de l'Article 50 (transparence vis-à-vis des utilisateurs finaux) et de la culture IA de l'Article 4.
Attention. Si la PME utilise ensuite cet agent pour évaluer la performance de ses propres salariés, la finalité change et bascule potentiellement dans l'Annexe III (point 4.b). La PME devient alors fournisseur au sens de l'Article 25.1.c.
8. Collaboration et transparence : la clé de la conformité chaîne de valeur
L'Article 25 ne fonctionne pas isolément. Il s'articule avec les obligations de coopération avec les autorités de surveillance du marché (Art. 70, désignation par les États membres) et avec les notifications d'incidents graves (Art. 73).
8.1 Contrats avec les partenaires IA
Les clauses contractuelles types que publiera la Commission seront un point de départ utile mais non suffisant. Chaque chaîne de valeur a ses spécificités techniques et organisationnelles.
Points à couvrir au minimum dans un contrat : - Description précise du système et de sa finalité prévue - Périmètre de la documentation technique partagée - Engagement de mise à jour en cas de modification substantielle - Modalités d'accès aux journaux automatiques - Coopération en cas d'incident grave ou de demande d'autorité - Allocation contractuelle des responsabilités, sans contredire l'allocation légale
8.2 Registre interne des systèmes d'IA
Le registre interne n'est pas une obligation textuelle universelle. C'est un outil de preuve.
Il doit lister, pour chaque système : la finalité, le fournisseur, le déployeur, le niveau de risque, les contrôles techniques et organisationnels mis en place, les incidents survenus, les évolutions et modifications.
Pour les systèmes à haut risque, l'enregistrement dans la base de données européenne (Art. 49 et 71) deviendra obligatoire selon le calendrier d'application du Règlement.
8.3 Communication avec les parties prenantes
Les déployeurs doivent informer les personnes concernées par des décisions prises sur la base de systèmes d'IA à haut risque (Art. 26.11). Les fournisseurs de certains systèmes interagissant avec des personnes physiques doivent informer ces personnes (Art. 50).
Une PME a intérêt à formaliser ces communications dans des modèles standardisés réutilisables.
Sécurisez vos contrats fournisseurs et déployeurs IA
Le pack regulia comprend un modèle de contrat de sous-traitance IA conforme à l'Article 25.4, un modèle de registre interne et un kit de notification des personnes concernées.
Recevoir une démonstration9. Ressources et outils officiels disponibles
Plusieurs ressources institutionnelles complètent les obligations de l'Article 25.
| Ressource | Émetteur | Usage pour la PME |
|---|---|---|
| Service desk AI Act | Commission européenne | Questions opérationnelles d'interprétation |
| 13 fiches pratiques IA | CNIL | Articulation AI Act / RGPD |
| Texte consolidé du Règlement | EUR-Lex | Référence juridique officielle |
| Guide AI Act Cigref janvier 2025 | Cigref | Vision DSI grands comptes utile aux fournisseurs PME |
| Guide AI Act Numeum mars 2025 | Numeum | Vision éditeurs logiciels |
| ISO/IEC 42001:2023 | ISO | Système de management de l'IA |
| ISO/IEC 23894:2023 | ISO | Gestion des risques IA |
L'ensemble des références consolidées est disponible dans notre page sources officielles.
10. FAQ — Article 25 AI Act pour les PME
Quelle est la sanction maximale pour non-conformité aux obligations de l'Article 25 ?
Le plafond applicable aux infractions aux obligations des opérateurs autres que celles de l'Article 5 est de 15 000 000 euros ou 3 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu (Art. 99.4 du Règlement (UE) 2024/1689). Pour les PME et start-up, l'Article 99.6 prévoit que le montant retenu est le plus faible des deux. Aucune sanction ne peut être prononcée sans procédure contradictoire menée par l'autorité nationale compétente.
Comment identifier précisément mon rôle dans la chaîne de valeur ?
Trois questions structurantes. Premièrement, qui a développé ou fait développer le système ? Si c'est vous, vous êtes fournisseur. Deuxièmement, utilisez-vous le système dans votre activité professionnelle sous votre propre autorité ? Si oui, vous êtes déployeur. Troisièmement, avez-vous apposé votre marque, modifié substantiellement le système ou changé sa finalité vers un cas Annexe III ? Si oui, vous basculez en fournisseur au titre de l'Article 25.1. Les fiches pratiques de la CNIL et le service desk européen proposent des outils d'auto-évaluation.
Dois-je créer un registre interne des systèmes d'IA ?
Le registre interne n'est pas explicitement imposé à tous les opérateurs par le texte. Il est cependant fortement recommandé. Il permet de démontrer en cas de contrôle que vous avez identifié vos systèmes, qualifié leur niveau de risque et défini des mesures proportionnées. Pour les systèmes à haut risque, l'enregistrement dans la base de données européenne prévue à l'Article 71 deviendra obligatoire selon le calendrier d'application du Règlement.
Suis-je responsable si mon fournisseur d'IA est défaillant ?
Cela dépend de votre statut. En tant que déployeur, vous restez responsable de l'usage conforme à la notice et de la supervision humaine. En cas de défaillance imputable au fournisseur, vous pouvez engager sa responsabilité contractuelle si vos contrats sont correctement rédigés conformément à l'Article 25.4. Vous devez également coopérer avec les autorités de surveillance et notifier les incidents graves dont vous avez connaissance.
Quelles étapes prioritaires pour démarrer ma conformité Article 25 ?
Cinq actions à enclencher dans l'ordre. Cartographier vos systèmes d'IA. Qualifier votre rôle pour chacun. Identifier les cas de requalification possibles vers le statut de fournisseur. Réviser les contrats avec vos partenaires IA. Former vos équipes au niveau de maîtrise de l'IA exigé par l'Article 4 du Règlement.
11. Sources officielles
- Règlement (UE) 2024/1689 (AI Act) — texte consolidé : eur-lex.europa.eu
- Version annotée et navigable du Règlement : artificialintelligenceact.eu
- Service desk officiel de la Commission européenne : ai-act-service-desk.ec.europa.eu
- Position de la CNIL sur l'AI Act et articulation RGPD : cnil.fr/fr/ai-act
- ISO/IEC 42001:2023 — Système de management de l'intelligence artificielle
- ISO/IEC 23894:2023 — Lignes directrices sur la gestion des risques IA
- Guide AI Act Cigref janvier 2025
- Guide AI Act Numeum mars 2025
Avertissement. Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.