L'essentiel en 30 secondes
- Le Règlement (UE) 2024/1689 (EU AI Act) impose des obligations strictes aux fournisseurs et déployeurs de systèmes d'IA, avec des sanctions atteignant 35 millions d'euros ou 7 % du chiffre d'affaires mondial.
- Le RGPD encadre tout traitement de données personnelles transitant par un système d'IA, avec des amendes plafonnées à 20 millions d'euros ou 4 % du chiffre d'affaires.
- La norme ISO/IEC 42001:2023 fournit le premier référentiel international pour structurer un système de management de l'IA (AIMS).
- 30 questions structurées en 8 axes — conformité, sécurité, performance, éthique, support, intégration, coûts, gouvernance — permettent d'objectiver le choix d'un fournisseur.
- Une grille d'évaluation documentée vaut preuve de diligence raisonnable au sens de l'Art. 26 AI Act pour les déployeurs.
1. Introduction : pourquoi évaluer un fournisseur IA ?
Une PME française qui intègre une solution d'IA tierce — assistant de rédaction, scoring crédit, outil de recrutement, chatbot client — devient juridiquement un déployeur au sens de l'Article 3(4) du Règlement (UE) 2024/1689. Cette qualification entraîne des obligations spécifiques, indépendamment du fournisseur.
L'évaluation préalable du fournisseur n'est pas une option commerciale. Elle conditionne la capacité de la PME à démontrer sa conformité en cas de contrôle de la CNIL, de la DGCCRF ou des autorités de surveillance du marché désignées par chaque État membre.
Trois familles de risques justifient une grille structurée :
- Risques juridiques : sanctions cumulables AI Act (jusqu'à 7 % du CA mondial) et RGPD (jusqu'à 4 %), responsabilité civile en cas de dommage causé par le système.
- Risques opérationnels : interruption de service, dégradation de la qualité, dépendance à un fournisseur défaillant, biais discriminatoires détectés en production.
- Risques réputationnels : perte de confiance des clients, des salariés et des partenaires en cas d'incident médiatisé.
Pour bien situer ces obligations dans le calendrier d'entrée en vigueur, consultez notre guide AI Act pour PME et le détail des sanctions encourues.
2. Conformité réglementaire — questions 1 à 6
Cette première section vérifie que le fournisseur connaît, documente et applique le cadre réglementaire européen. Sans ces fondations, aucune autre garantie n'a de valeur.
| # | Question à poser | Référence légale | Niveau de preuve attendu |
|---|---|---|---|
| 1 | Votre système est-il classé à risque limité, élevé ou inacceptable selon l'AI Act ? | Art. 6 et Annexe III, Règlement (UE) 2024/1689 | Note de classification écrite |
| 2 | Disposez-vous d'une documentation technique conforme à l'Annexe IV ? | Art. 11 AI Act | Index du dossier technique |
| 3 | Avez-vous procédé à une évaluation de conformité (CE) ? | Art. 43 AI Act | Déclaration UE de conformité |
| 4 | Votre système est-il enregistré dans la base UE prévue à l'Art. 71 ? | Art. 49 AI Act | Numéro d'enregistrement |
| 5 | Êtes-vous certifié ISO/IEC 42001:2023 ou en cours de certification ? | ISO/IEC 42001:2023 | Certificat ou plan d'audit |
| 6 | Comment documentez-vous les modifications substantielles du modèle ? | Art. 43(4) AI Act | Procédure de change management |
La classification de l'Article 6 conditionne l'ensemble des obligations. Un système de scoring crédit, de tri de CV ou d'évaluation scolaire relève automatiquement du haut risque (Annexe III, points 4, 5 et 3). Un assistant conversationnel grand public relève du risque limité avec obligation de transparence (Art. 50).
Demandez systématiquement la déclaration UE de conformité écrite. C'est le document que vous devrez présenter à un contrôleur, pas une fiche commerciale.
3. Sécurité et confidentialité — questions 7 à 12
Le RGPD s'applique cumulativement à l'AI Act dès qu'une donnée personnelle transite par le système. La CNIL a publié 13 fiches pratiques détaillant ses attentes sur les bases légales, la minimisation et l'AIPD.
| # | Question à poser | Référence | Preuve attendue |
|---|---|---|---|
| 7 | Quelle base légale RGPD fonde le traitement (Art. 6) ? | RGPD Art. 6 | Registre des traitements |
| 8 | Une analyse d'impact (AIPD) a-t-elle été réalisée ? | RGPD Art. 35 | AIPD signée par le DPO |
| 9 | Les données sont-elles hébergées dans l'UE ou via mécanisme adéquat ? | RGPD Chap. V | Cartographie des flux |
| 10 | Le fournisseur est-il certifié ISO/IEC 27001:2022 ? | ISO/IEC 27001:2022 | Certificat en cours |
| 11 | Mes données alimentent-elles l'entraînement des modèles ? | RGPD Art. 5(1)(b) | Clause contractuelle |
| 12 | Quel est le délai et le périmètre de notification d'incident ? | RGPD Art. 33 | Procédure documentée |
La question 11 est devenue centrale depuis l'usage massif d'API d'IA générative. Exigez par écrit une clause de non-utilisation des entrées clients pour l'entraînement, sauf consentement explicite et révocable. La CNIL a précisé sa position dans ses fiches pratiques de 2024 sur l'IA générative.
Besoin d'une grille de scoring fournisseur prête à l'emploi ?
Le pack regulia inclut un fichier Excel de 30 questions avec pondération, niveaux de preuve attendus et matrice de décision. Conçu pour les DPO et IA Lead de PME.
Recevoir la grille d'évaluation fournisseur4. Performance et fiabilité — questions 13 à 16
Un fournisseur d'IA performant doit pouvoir mesurer ce qu'il vend. Les engagements de service (SLA) doivent être contractualisés, pas promis oralement.
| # | Question | Indicateur attendu |
|---|---|---|
| 13 | Quels benchmarks publics ou propriétaires démontrent la performance ? | Précision, rappel, F1, taux d'erreur métier |
| 14 | Quel est le SLA contractuel (disponibilité, latence) ? | ≥ 99,5 % pour usages critiques |
| 15 | Comment sont gérés les incidents et les rollbacks de modèle ? | Procédure écrite, RPO/RTO définis |
| 16 | Quelle est la fréquence des mises à jour majeures du modèle ? | Calendrier transparent + préavis client |
L'Article 15 AI Act impose pour les systèmes à haut risque un niveau approprié d'exactitude, de robustesse et de cybersécurité. Le fournisseur doit pouvoir produire les métriques de test et les seuils d'acceptation utilisés. Un fournisseur incapable de chiffrer son taux d'erreur n'est pas un fournisseur sérieux.
5. Éthique et biais — questions 17 à 20
L'Article 10 AI Act impose pour les systèmes à haut risque des jeux de données pertinents, représentatifs, exempts d'erreurs et complets. La détection des biais n'est plus une bonne pratique : c'est une obligation.
| # | Question | Preuve attendue |
|---|---|---|
| 17 | Comment identifiez-vous les biais dans les jeux d'entraînement ? | Méthodologie écrite, fairness metrics |
| 18 | Quelle gouvernance interne valide les modèles avant production ? | Comité éthique, charte IA |
| 19 | Le système est-il explicable pour les décisions individuelles ? | Module d'explicabilité, fiche utilisateur |
| 20 | Comment traitez-vous le droit de contestation d'une décision automatisée ? | Procédure conforme RGPD Art. 22 |
Pour les usages RH (tri de CV, évaluation), un biais non corrigé peut générer simultanément une sanction AI Act, une sanction RGPD et un contentieux prud'homal pour discrimination. Trois régimes, trois juges, trois calendriers. Le coût agrégé peut dépasser largement les amendes administratives.
Référez-vous au glossaire regulia pour la définition précise des termes « biais », « équité algorithmique » et « explicabilité » au sens du règlement.
6. Support et maintenance — questions 21 à 23
Un fournisseur d'IA livre un produit qui apprend, dérive et se met à jour. Le support n'est pas accessoire : il conditionne la pérennité de l'usage.
| # | Question | Niveau attendu |
|---|---|---|
| 21 | Quelle est la disponibilité du support (heures, langues, canaux) ? | 5j/7 minimum en français, écrit |
| 22 | Un plan de formation est-il fourni aux utilisateurs internes ? | Module e-learning + sessions live |
| 23 | Quel processus de résolution des incidents critiques ? | Escalade documentée, point de contact nommé |
L'Article 26 AI Act impose au déployeur de confier la supervision humaine à des personnes formées et compétentes. Si le fournisseur ne propose aucun support à la formation, c'est à la PME de l'assurer entièrement. Ce coût caché doit entrer dans la décision d'achat.
7. Intégration et compatibilité — questions 24 à 26
| # | Question | Preuve attendue |
|---|---|---|
| 24 | Le système est-il compatible avec mon SI actuel (ERP, CRM, AD) ? | Liste des connecteurs natifs |
| 25 | Les API sont-elles documentées et versionnées ? | Documentation publique OpenAPI |
| 26 | Quel plan de migration et de réversibilité est prévu ? | Clause de portabilité contractuelle |
La question 26 protège contre le verrouillage fournisseur (vendor lock-in). Exigez par écrit la portabilité des données et, si possible, des prompts, des fine-tunings et des historiques de conversation. C'est rarement proposé spontanément.
8. Coûts, gouvernance et ROI — questions 27 à 30
| # | Question | Preuve attendue |
|---|---|---|
| 27 | Quel est le coût total de possession (TCO) sur 3 ans ? | Devis détaillé : licence, usage, support, intégration |
| 28 | Quels indicateurs de ROI sont proposés et mesurables ? | KPIs métier chiffrés ex-ante |
| 29 | Quelle est la structure juridique et l'actionnariat du fournisseur ? | Extrait Kbis ou équivalent |
| 30 | Quelle assurance responsabilité civile professionnelle couvre les dommages IA ? | Attestation d'assurance en vigueur |
La question 30 est encore mal couverte par le marché de l'assurance. Demandez la copie de l'attestation, vérifiez les exclusions liées à l'IA (souvent volumineuses) et confrontez le plafond aux dommages potentiels. Une amende AI Act à 7 % du CA n'est jamais couverte par l'assurance — c'est une sanction administrative.
9. Synthèse : pondération et grille de décision
Toutes les questions ne pèsent pas le même poids. Une grille de scoring efficace pondère selon le niveau de risque du système concerné.
| Axe | Pondération système à haut risque | Pondération risque limité |
|---|---|---|
| Conformité réglementaire (Q1-6) | 30 % | 15 % |
| Sécurité et confidentialité (Q7-12) | 25 % | 30 % |
| Performance et fiabilité (Q13-16) | 15 % | 20 % |
| Éthique et biais (Q17-20) | 15 % | 10 % |
| Support et maintenance (Q21-23) | 5 % | 10 % |
| Intégration (Q24-26) | 5 % | 10 % |
| Coûts et gouvernance (Q27-30) | 5 % | 5 % |
Un fournisseur obtenant moins de 70 % sur l'axe conformité pour un système à haut risque doit être écarté, quelle que soit la qualité technique. La conformité est non négociable.
10. Pièges fréquents à éviter
Trois erreurs récurrentes observées dans les processus d'évaluation menés par les PME :
- Se contenter du discours commercial. Une plaquette n'a pas valeur probante. Exigez les documents : déclaration UE de conformité, certificats, attestations, AIPD.
- Oublier la chaîne de sous-traitance. Le fournisseur direct s'appuie souvent sur un fournisseur de modèle (OpenAI, Anthropic, Mistral, Google). Les questions Q7 à Q12 doivent remonter jusqu'au fournisseur du modèle de fondation.
- Confondre conformité du fournisseur et conformité du déployeur. Même si le fournisseur est parfaitement conforme, la PME conserve ses propres obligations au titre de l'Art. 26 AI Act : supervision humaine, journalisation, information des personnes, conservation des logs pendant six mois minimum.
Pour aller plus loin sur la chaîne des responsabilités, consultez la liste consolidée des sources officielles.
Construisez votre dossier de conformité fournisseur en 48 h
Le pack regulia AI Act PME inclut : grille de 30 questions pondérée, modèles de clauses contractuelles, AIPD type, registre des systèmes d'IA et procédure d'évaluation des fournisseurs.
Demander le pack documentaire complet11. FAQ
Q : Quelles sont les principales obligations de l'EU AI Act pour les fournisseurs d'IA ?
L'EU AI Act impose aux fournisseurs d'IA de respecter des règles strictes sur la sécurité, la transparence et l'éthique. Les fournisseurs doivent documenter leurs processus (Art. 11), garantir la protection des données (Art. 10), mettre en place des mécanismes de correction des biais et procéder à une évaluation de conformité (Art. 43). Les non-conformités peuvent entraîner des amendes jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial annuel selon l'Article 99 du Règlement (UE) 2024/1689.
Q : Comment l'ISO 42001:2023 aide-t-elle à évaluer un fournisseur d'IA ?
L'ISO/IEC 42001:2023 fournit un cadre standardisé pour la gestion d'un système de management de l'IA (AIMS). Elle couvre les exigences en matière de gouvernance, de gestion des risques, de cycle de vie des modèles et d'amélioration continue. Évaluer un fournisseur certifié ISO 42001 permet aux PME de s'assurer que leur solution repose sur des processus auditables et conformes aux meilleures pratiques internationales. La certification n'est pas obligatoire au sens de l'AI Act, mais elle facilite la démonstration de la conformité.
Q : Quels sont les risques juridiques liés à un fournisseur d'IA non évalué ?
Un fournisseur d'IA non évalué peut entraîner des risques juridiques cumulatifs : violations du RGPD (sanctions jusqu'à 20 millions d'euros ou 4 % du CA mondial), non-conformités avec l'EU AI Act (jusqu'à 35 millions d'euros ou 7 % du CA), responsabilité civile en cas de dommage et contentieux discriminatoires pour les usages RH. Ces risques peuvent également nuire à la réputation de l'entreprise et entraîner des pertes financières importantes.
Q : Comment évaluer la performance d'un fournisseur d'IA ?
Pour évaluer la performance d'un fournisseur d'IA, vérifiez les benchmarks publics ou propriétaires (précision, rappel, F1), exigez un SLA contractuel chiffré (disponibilité ≥ 99,5 % pour les usages critiques), assurez-vous d'une procédure documentée de gestion des incidents et obtenez le calendrier des mises à jour majeures avec préavis. L'Article 15 AI Act impose pour les systèmes à haut risque un niveau approprié d'exactitude, de robustesse et de cybersécurité.
Q : Quelle est l'importance de l'éthique dans l'évaluation d'un fournisseur d'IA ?
L'éthique est centrale car elle garantit que les algorithmes minimisent les biais discriminatoires et respectent les droits des utilisateurs, notamment l'Article 22 du RGPD sur les décisions individuelles automatisées. Un processus documenté de détection et de correction des biais, une explicabilité des décisions individuelles et une gouvernance interne (comité éthique, charte IA) sont essentiels pour minimiser simultanément les risques juridiques AI Act, RGPD et prud'homaux.
12. Sources officielles
- Règlement (UE) 2024/1689 (EU AI Act), texte officiel : eur-lex.europa.eu
- Texte consolidé et annoté de l'AI Act : artificialintelligenceact.eu
- Service Desk AI Act, Commission européenne : ai-act-service-desk.ec.europa.eu
- Fiches pratiques IA et RGPD de la CNIL : cnil.fr
- Norme ISO/IEC 42001:2023, Systèmes de management de l'IA
- Norme ISO/IEC 23894:2023, Gestion des risques liés à l'IA
- Norme ISO/IEC 27001:2022, Sécurité de l'information
Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.