Déployeur vs fournisseur AI Act : comment se positionner

Q: Quelle est la principale différence entre un déployeur et un fournisseur d'IA selon l'AI Act ?

La principale différence réside dans leur rôle : le déployeur utilise l'IA pour ses propres besoins, tandis que le fournisseur la développe, commercialise ou met en œuvre. Le déployeur est responsable de l'utilisation conforme, le fournisseur de la conformité de l'IA fournie.

Q: Quelles sont les sanctions pour non-conformité en tant que déployeur ?

Les sanctions pour non-conformité en tant que déployeur peuvent atteindre 7% du chiffre d'affaires annuel mondial (Article 67 de l'AI Act). Cela inclut des amendes et des sanctions pénales pour les cas les plus graves.

Q: Dois-je m'inscrire comme fournisseur si je développe une IA pour mon entreprise ?

Si vous développez une IA pour votre propre utilisation (ex : un chatbot interne), vous êtes considéré comme déployeur. Vous n'avez pas besoin de vous inscrire comme fournisseur. Cependant, si vous commercialisez cette IA à d'autres entreprises, vous devenez fournisseur et devez vous inscrire.

Q: Comment puis-je vérifier si un fournisseur d'IA est conforme ?

Vous pouvez vérifier la conformité d'un fournisseur d'IA en demandant des preuves de certification (ex : certification CE pour les systèmes à haut risque) et en examinant leur documentation technique. Le service desk de l'AI Act (ai-act-service-desk.ec.europa.eu) peut également vous aider à évaluer la conformité.

Q: Quelles sont les obligations spécifiques pour les fournisseurs d'IA ?

Les fournisseurs d'IA doivent fournir des informations sur la conformité de leur système, incluant des documents techniques et des déclarations de conformité (Article 10). Pour les systèmes à haut risque, ils doivent obtenir une certification (Article 63). Ils doivent également mettre en place des processus de documentation et de contrôle qualité.

TL;DR

L'essentiel en 30 secondes - Déployeur : entité qui utilise un système d'IA pour ses propres besoins professionnels (Article 3 du Règlement (UE) 2024/1689). - Fournisseur : entité qui développe, commercialise ou met sur le marché un système d'IA (Art. 3). - Déployeurs : responsables de l'utilisation conforme, notamment sur les pratiques interdites (Art. 5). - Fournisseurs : responsables de la conformité du système fourni, dont la gouvernance des données (Art. 10). - Sanctions jusqu'à 7 % du chiffre d'affaires mondial pour non-conformité (Art. 99 du Règlement (UE) 2024/1689). - Service desk gratuit de la Commission : ai-act-service-desk.ec.europa.eu

Le Règlement (UE) 2024/1689, dit EU AI Act, distingue plusieurs catégories d'opérateurs. Pour une PME française, deux qualifications dominent les arbitrages de conformité : déployeur et fournisseur. Le choix n'est pas déclaratif. Il découle des faits : qui développe, qui met sur le marché, qui utilise sous son autorité.

Cet article clarifie la frontière entre ces deux rôles, détaille leurs obligations respectives, et donne une méthode opérationnelle pour se positionner. Il s'adresse aux dirigeants, DPO, RSSI et IA Lead qui doivent décider d'un plan de mise en conformité avant l'entrée en vigueur progressive des obligations entre 2025 et 2027.

Pour le cadre général, voir notre guide AI Act pour les PME françaises. Pour le détail des sanctions, voir Sanctions AI Act et amendes.

1. Définitions clés : déployeur vs fournisseur

L'Article 3 du Règlement (UE) 2024/1689 définit précisément les deux notions. Une lecture rigoureuse de ces définitions évite la majorité des erreurs de qualification.

Déployeur : « toute personne physique ou morale, autorité publique, agence ou autre organisme utilisant sous sa propre autorité un système d'IA, sauf lorsque ce système est utilisé dans le cadre d'une activité personnelle non professionnelle » (Art. 3, point 4).

Fournisseur : « une personne physique ou morale, une autorité publique, une agence ou tout autre organisme qui développe ou fait développer un système d'IA ou un modèle d'IA à usage général et le met sur le marché ou le met en service sous son propre nom ou sa propre marque, à titre onéreux ou gratuit » (Art. 3, point 3).

Trois critères discriminants émergent :

Critère	Déployeur	Fournisseur
Activité principale	Utilisation pour ses besoins	Développement et mise sur le marché
Autorité juridique	Utilise sous sa propre autorité	Met en service sous son nom ou sa marque
Cible commerciale	Usage interne ou pour ses clients finaux	Tiers déployeurs ou utilisateurs
Cas type PME	Cabinet utilisant un outil de recrutement IA acheté	Éditeur SaaS qui vend un outil de scoring CV
Référence	Art. 3, point 4	Art. 3, point 3

Une PME qui achète un chatbot du marché est déployeur. Une PME qui développe ce chatbot pour le vendre est fournisseur. La même PME peut cumuler les deux rôles sur des systèmes différents. Pour les termes techniques, consulter le glossaire regulia.

2. Rôles et responsabilités

Le partage des responsabilités suit une logique simple : le fournisseur garantit la conformité intrinsèque du système, le déployeur garantit la conformité de son usage. Aucun des deux ne peut se décharger sur l'autre.

Le fournisseur porte la charge la plus lourde pour les systèmes à haut risque listés à l'annexe III du Règlement. Il établit le système de gestion des risques (Art. 9), la gouvernance des données (Art. 10), la documentation technique (Art. 11), la transparence (Art. 13), le contrôle humain (Art. 14), la robustesse et la cybersécurité (Art. 15).

Le déployeur est encadré principalement par l'Article 26. Il doit utiliser le système conformément à la notice fournie, assurer un contrôle humain effectif par des personnes formées, surveiller le fonctionnement, et conserver les journaux générés automatiquement pendant au moins six mois.

Domaine	Obligation déployeur	Obligation fournisseur
Pratiques interdites	Respecter Art. 5 dans l'usage	Ne pas concevoir un système Art. 5
Documentation	Tenir un registre d'usage	Établir la documentation technique (Art. 11)
Évaluation d'impact	AIPD RGPD + FRIA (Art. 27) si secteur sensible	Évaluation de conformité (Art. 43)
Transparence	Informer les personnes concernées (Art. 26 §11)	Marquer les sorties IA générative (Art. 50)
Marquage CE	Non concerné	Apposer le marquage CE (Art. 48)
Enregistrement EU	Enregistrement déployeur public (Art. 49 §1bis)	Enregistrement fournisseur (Art. 49)

Le déployeur d'un système à haut risque visé à l'annexe III doit conduire, avant la première utilisation, une analyse d'impact sur les droits fondamentaux (FRIA) lorsqu'il est un organisme public ou agit pour le compte d'un service public (Art. 27). Pour les PME privées, l'obligation FRIA reste plus restreinte mais l'AIPD RGPD demeure exigible dès que des données personnelles sont traitées.

3. Obligations légales spécifiques

Les obligations divergent en fonction du niveau de risque du système. Le Règlement distingue quatre niveaux : interdit (Art. 5), haut risque (Art. 6 et annexe III), risque limité avec obligation de transparence (Art. 50), risque minimal.

Obligations du déployeur (Art. 26)

Utiliser le système conformément aux instructions du fournisseur.
Confier le contrôle humain à des personnes compétentes, formées et disposant de l'autorité nécessaire.
Garantir la pertinence et la représentativité des données d'entrée lorsque le déployeur les contrôle.
Surveiller le fonctionnement et suspendre l'usage en cas d'incident grave (Art. 73).
Conserver les journaux générés automatiquement pendant au moins six mois.
Informer travailleurs et représentants avant la mise en service sur le lieu de travail.
Informer les personnes physiques soumises à une décision prise par un système à haut risque.
Coopérer avec les autorités compétentes nationales.

Obligations du fournisseur (Art. 8 à 21)

Mettre en place un système de management de la qualité (Art. 17).
Établir et maintenir la documentation technique annexe IV (Art. 11).
Conduire l'évaluation de conformité applicable (Art. 43).
Établir une déclaration UE de conformité (Art. 47) et apposer le marquage CE (Art. 48).
Enregistrer le système dans la base de données européenne (Art. 49 et 71).
Conserver les logs et la documentation pendant dix ans après mise sur le marché.
Mettre en place un système de surveillance post-commercialisation (Art. 72).
Notifier les incidents graves dans les délais prévus à l'Art. 73.

La sévérité du dispositif justifie de qualifier précisément son rôle dès la phase de scoping.

4. Impact sur les PME

Les PME françaises sont concernées par les deux statuts. L'enjeu pratique : aligner sa gouvernance interne sur le bon référentiel d'obligations.

Pour les déployeurs PME, l'impact se concentre sur trois axes : qualification du système utilisé, documentation de l'usage, formation des équipes. Le coût n'est pas marginal mais reste limité par rapport à celui d'un fournisseur. La CNIL, dans ses fiches pratiques IA, propose une démarche en sept étapes qui s'articule avec les obligations AI Act.

Pour les fournisseurs PME, le coût et la complexité sont supérieurs. Évaluation de conformité, marquage CE, surveillance post-commercialisation : autant de processus à industrialiser. La norme ISO/IEC 42001:2023 sur les systèmes de management de l'IA fournit un cadre opérationnel qui mappe une large partie des exigences AI Act.

Dimension	PME déployeur	PME fournisseur
Charge documentaire	Modérée (registre d'usage, AIPD)	Élevée (annexe IV complète)
Compétences à acquérir	Pilotage, contrôle humain, formation	Sécurité IA, MLOps, conformité produit
Investissement initial estimé	5 000 à 20 000 € [à vérifier selon secteur]	30 000 à 150 000 € [à vérifier selon secteur]
Délai de mise en conformité	3 à 6 mois	6 à 18 mois
Risque sanction maximal	3 % CA mondial (Art. 99 §4)	7 % CA mondial (Art. 99 §3)

Le Règlement prévoit à l'Article 62 des mesures spécifiques en faveur des PME et start-ups, dont un accès prioritaire aux bacs à sable réglementaires nationaux et des frais d'évaluation de conformité réduits.

Cartographiez votre statut en 15 minutes

regulia met à disposition un pack d'auto-diagnostic conçu pour les PME françaises. Identifiez votre rôle exact, vos obligations applicables et votre feuille de route prioritaire.

Demander le pack diagnostic regulia

5. Comment se positionner en tant que déployeur

La méthode de positionnement déployeur suit quatre étapes structurantes. Elle s'inspire de la fiche n°1 de la CNIL et de la clause 6 de l'ISO/IEC 42001:2023.

Étape 1 — Recenser les systèmes d'IA utilisés

Construire un inventaire exhaustif : nom du système, fournisseur, finalité métier, données traitées, base légale RGPD, niveau de risque AI Act estimé, contrats associés. L'inventaire couvre les outils SaaS, les fonctionnalités IA intégrées dans des suites bureautiques (assistants génératifs), et les développements internes.

Étape 2 — Qualifier le niveau de risque

Pour chaque système, déterminer s'il relève de l'Art. 5 (interdit), de l'annexe III (haut risque), de l'Art. 50 (transparence) ou du risque minimal. Les usages annexe III incluent le recrutement, l'évaluation des employés, le scoring de crédit, la gestion des infrastructures critiques.

Étape 3 — Vérifier la conformité fournisseur

Exiger contractuellement les éléments suivants :

Déclaration UE de conformité (Art. 47)
Notice d'utilisation conforme à l'Art. 13
Description des limites connues et des biais résiduels
Modalités d'exercice du contrôle humain
Engagement de surveillance post-commercialisation

L'absence de ces éléments doit alerter sur le sérieux du fournisseur. Voir notre page sources officielles pour les références à exiger.

Étape 4 — Documenter ses processus

Trois documents minimaux : registre d'usage AI Act, politique de contrôle humain, plan de formation. Une AIPD RGPD reste exigible chaque fois que le traitement présente un risque élevé pour les droits des personnes.

6. Comment se positionner en tant que fournisseur

Le positionnement fournisseur exige un système de management complet. Quatre chantiers s'imposent.

Système de management de la qualité

L'Article 17 impose un SMQ couvrant la stratégie de conformité, la conception, le développement, l'examen de la qualité, les procédures de test et de validation, les ressources, les responsabilités. ISO/IEC 42001:2023 fournit la structure normative la mieux alignée.

Évaluation de conformité

Pour la plupart des systèmes haut risque annexe III, l'évaluation suit la procédure de contrôle interne (annexe VI). Pour les systèmes biométriques, l'intervention d'un organisme notifié (annexe VII) est obligatoire. Cette évaluation s'achève par la déclaration UE de conformité (Art. 47) et le marquage CE (Art. 48).

Documentation technique annexe IV

La documentation technique couvre, sans s'y limiter :

Description générale du système et de sa finalité prévue
Description détaillée des éléments du système et du processus de développement
Informations sur la surveillance, le fonctionnement et le contrôle
Description des mesures de gestion des risques
Modifications du système au cours de son cycle de vie
Liste des normes harmonisées appliquées
Déclaration UE de conformité signée

Surveillance post-commercialisation

L'Article 72 impose un plan de surveillance proportionné, qui collecte et analyse les données de performance, détecte les dérives et déclenche les actions correctives. Les incidents graves doivent être notifiés à l'autorité de surveillance dans un délai de 15 jours (Art. 73).

Livrable fournisseur	Référence légale	Conservation
Documentation technique	Art. 11 + annexe IV	10 ans
Déclaration UE de conformité	Art. 47 + annexe V	10 ans
Logs générés automatiquement	Art. 19	Selon usage prévu
Système de management de la qualité	Art. 17	Permanent
Plan de surveillance post-marché	Art. 72	Permanent
Rapport d'incident grave	Art. 73	10 ans

7. Exemples concrets

Quatre cas types illustrent la qualification, à partir de situations rencontrées chez des PME françaises.

Cas 1 — Cabinet de recrutement utilisant un outil de tri de CV

Le cabinet achète un SaaS de scoring. Il est déployeur d'un système haut risque (annexe III, point 4 a : recrutement). Obligations : information des candidats, contrôle humain effectif, audit du fournisseur, conservation des logs, AIPD RGPD obligatoire compte tenu du traitement systématique de candidats.

Cas 2 — Éditeur SaaS développant ce même outil de scoring

L'éditeur conçoit, développe et commercialise l'outil sous sa marque. Il est fournisseur d'un système haut risque. Obligations : SMQ, gouvernance des données d'entraînement, documentation annexe IV, marquage CE, enregistrement à la base européenne, surveillance post-marché.

Cas 3 — PME industrielle utilisant un chatbot RH interne basé sur GPT

La PME paramétrise un chatbot via une API OpenAI pour répondre aux questions des salariés. Elle est déployeur vis-à-vis du modèle d'IA à usage général d'OpenAI. Selon la finalité retenue, si le chatbot intervient dans des décisions RH structurantes, le système peut basculer en haut risque annexe III, point 4. La PME doit alors traiter le chatbot comme un système haut risque dont elle est déployeur, et potentiellement fournisseur si elle modifie substantiellement la finalité initiale (Art. 25).

Cas 4 — Cabinet d'avocats utilisant un assistant juridique IA

Le cabinet déploie un outil d'analyse contractuelle. Selon la solution, le système peut relever de l'Art. 50 (transparence) plutôt que de l'annexe III. Obligation principale : informer les clients du recours à l'IA dans la prestation, conserver les logs, encadrer le contrôle humain de l'avocat responsable.

Cas	Rôle	Niveau de risque	Obligation phare
Cabinet recrutement	Déployeur	Haut risque	Art. 26 + FRIA si applicable
Éditeur scoring	Fournisseur	Haut risque	Art. 16 à 21 + marquage CE
PME industrielle chatbot RH	Déployeur (et potentiellement fournisseur)	Variable selon usage	Art. 25, 26, 50
Cabinet avocats	Déployeur	Risque limité	Art. 50 (transparence)

Voir notre article dédié sur les sanctions AI Act pour PME pour le calcul des risques financiers associés.

8. Conseils pour la mise en conformité

Une démarche pragmatique permet de couvrir 80 % du risque avec un effort proportionné. Sept conseils opérationnels structurent la trajectoire d'une PME.

Auditer les systèmes IA existants avant toute nouvelle acquisition. Sans inventaire, aucune conformité fiable.
Qualifier le rôle pour chaque système, et acter la qualification dans une note de cadrage signée par la direction.
Aligner sur ISO/IEC 42001:2023 la gouvernance documentaire, même sans certification. Le mapping avec l'AI Act est largement couvrant.
Exiger des clauses contractuelles AI Act auprès des fournisseurs : conformité Art. 9 à 15, fourniture des logs, indemnisation en cas de défaut.
Former les utilisateurs au sens de l'Art. 4 sur la maîtrise de l'IA. Cette obligation est entrée en application le 2 février 2025.
Activer le service desk gratuit de la Commission à ai-act-service-desk.ec.europa.eu pour les questions d'interprétation.
Documenter en continu, pas en fin de projet. Le pipeline de preuves doit suivre le pipeline IA.

Pour un cadre méthodologique complet, consulter le pillar AI Act PME France ainsi que la base de sources officielles.

Sécurisez votre conformité AI Act dès aujourd'hui

regulia propose un pack documentaire complet aligné EU AI Act, RGPD et ISO/IEC 42001:2023, conçu pour les PME françaises. Modèles de registres, politiques, AIPD, FRIA et clauses contractuelles prêts à l'emploi.

Obtenir le pack regulia conformité AI Act

FAQ

Quelle est la principale différence entre un déployeur et un fournisseur d'IA selon l'AI Act ?

La principale différence réside dans leur rôle. Le déployeur utilise un système d'IA sous sa propre autorité pour ses besoins professionnels (Art. 3, point 4). Le fournisseur développe ou fait développer un système et le met sur le marché sous son nom ou sa marque (Art. 3, point 3). Le déployeur est responsable d'un usage conforme. Le fournisseur est responsable de la conformité intrinsèque du système livré.

Quelles sont les sanctions pour non-conformité en tant que déployeur ?

Les sanctions pour les déployeurs sont calibrées à l'Article 99 du Règlement (UE) 2024/1689. Le plafond le plus élevé, 35 millions d'euros ou 7 % du chiffre d'affaires mondial, s'applique à la violation des pratiques interdites (Art. 5). Les autres manquements peuvent atteindre 15 millions d'euros ou 3 % du chiffre d'affaires (Art. 99 §4). Les sanctions applicables aux PME sont plafonnées au montant le plus faible des deux barèmes (Art. 99 §6).

Dois-je m'inscrire comme fournisseur si je développe une IA pour mon entreprise ?

Si vous développez un système d'IA strictement pour votre usage interne, vous êtes déployeur et non fournisseur. L'inscription à la base européenne (Art. 49) ne vous est pas demandée au titre du statut fournisseur. Attention toutefois : si vous modifiez de manière substantielle un système haut risque existant, ou si vous le commercialisez sous votre marque, vous basculez fournisseur au sens de l'Art. 25, avec l'ensemble des obligations associées.

Comment puis-je vérifier si un fournisseur d'IA est conforme ?

Plusieurs éléments documentaires permettent la vérification. Exigez la déclaration UE de conformité (Art. 47), la preuve du marquage CE (Art. 48), la notice d'utilisation conforme à l'Art. 13 et la confirmation de l'enregistrement à la base européenne (Art. 49). Pour les systèmes biométriques, demandez le certificat de l'organisme notifié. Le service desk de la Commission, à ai-act-service-desk.ec.europa.eu, répond gratuitement aux questions d'interprétation.

Quelles sont les obligations spécifiques pour les fournisseurs d'IA ?

Les fournisseurs portent l'essentiel de la charge réglementaire pour les systèmes haut risque. Ils établissent un système de management de la qualité (Art. 17), une gouvernance des données d'entraînement (Art. 10), une documentation technique annexe IV (Art. 11), un système de gestion des risques (Art. 9). Ils conduisent l'évaluation de conformité (Art. 43), apposent le marquage CE (Art. 48) et enregistrent le système (Art. 49). Ils maintiennent un plan de surveillance post-commercialisation (Art. 72) et notifient les incidents graves (Art. 73).

Sources officielles

Texte intégral consolidé : artificialintelligenceact.eu
Version officielle UE : eur-lex.europa.eu — Règlement (UE) 2024/1689
CNIL — Fiches pratiques IA : cnil.fr
Service desk Commission européenne : ai-act-service-desk.ec.europa.eu
ISO/IEC 42001:2023 — Systèmes de management de l'intelligence artificielle
ISO/IEC 23894:2023 — Gestion du risque IA
ISO/IEC 27001:2022 — Management de la sécurité de l'information

Pour aller plus loin, consulter le guide pillar AI Act PME France, l'analyse détaillée des sanctions AI Act, notre glossaire juridique IA et la base complète des sources officielles.

Avertissement : Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.