L'essentiel en 30 secondes - Ce questionnaire structure 30 questions opérationnelles pour évaluer un fournisseur d'IA avant signature contractuelle. - Cinq axes : conformité légale, sécurité, transparence, performance, responsabilité. - L'Article 25 du Règlement (UE) 2024/1689 transfère certaines obligations au déployeur dès lors qu'il modifie substantiellement un système IA. - Une PME utilisatrice (déployeur au sens de l'Art. 3) reste responsable de la sélection et du suivi de ses fournisseurs. - Le défaut de diligence expose à des amendes jusqu'à 15 M€ ou 3 % du chiffre d'affaires mondial (Art. 99). - Le questionnaire alimente votre registre interne et prépare l'audit ISO/IEC 42001:2023.
1. Introduction à l'évaluation des fournisseurs d'IA
Une PME française qui intègre un système d'IA tiers — chatbot, scoring RH, OCR, agent commercial — devient « déployeur » au sens de l'Article 3 du Règlement (UE) 2024/1689. Cette qualification entraîne des obligations propres, distinctes de celles du fournisseur.
L'évaluation préalable d'un fournisseur n'est pas une formalité commerciale. C'est une exigence directe de l'Article 26 (obligations des déployeurs) couplée à l'Article 16 (obligations des fournisseurs). Sans documentation contractuelle robuste, la PME hérite seule des risques.
Les enjeux opérationnels sont concrets. Un fournisseur qui ne fournit pas d'instructions d'utilisation conformes à l'Article 13, ou qui refuse de partager sa documentation technique (Annexe IV), bloque mécaniquement votre propre conformité. Vous découvrez le problème au moment de l'audit, jamais avant.
Trois risques majeurs justifient cette diligence systématique :
- Risque juridique — sanctions pécuniaires (Art. 99) et responsabilité civile en cas de dommage causé par le système.
- Risque opérationnel — interruption de service, biais discriminatoires non détectés, fuite de données.
- Risque réputationnel — perte de confiance clients, médiatisation négative, rupture de partenariats.
Ce questionnaire de 30 questions couvre les zones de risque identifiées par les guides Cigref (janvier 2025) et Numeum (mars 2025). Il s'utilise en phase de présélection puis en revue annuelle. Pour situer votre exposition globale, consultez d'abord notre guide AI Act pour PME françaises.
2. Partie 1 : Conformité légale et réglementaire
Cette première partie vérifie que le fournisseur respecte ses propres obligations. Six questions structurent l'analyse.
| # | Question | Article AI Act | Réponse attendue |
|---|---|---|---|
| 1 | Quelle est la classification du système au sens de l'Art. 6 (haut risque, risque limité, IA usage général) ? | Art. 6, Annexe III | Classification écrite et justifiée |
| 2 | Le système est-il enregistré dans la base de données EU prévue à l'Art. 71 ? | Art. 49, 71 | Numéro d'enregistrement si haut risque |
| 3 | La déclaration UE de conformité (Art. 47) est-elle disponible ? | Art. 47 | Document signé daté |
| 4 | Le marquage CE est-il apposé conformément à l'Art. 48 ? | Art. 48 | Preuve visuelle |
| 5 | Quelles données personnelles sont traitées et sur quelle base légale RGPD ? | RGPD Art. 6 | Registre des traitements |
| 6 | Le fournisseur dispose-t-il d'une certification ISO/IEC 42001:2023 ou équivalent ? | — | Certificat valide |
Pour les systèmes d'IA à usage général (GPAI) au sens de l'Article 51, ajoutez une vérification spécifique. Le fournisseur doit publier un résumé suffisamment détaillé du contenu d'entraînement (Art. 53, §1, point d).
Si le fournisseur est établi hors UE, il doit désigner un mandataire conformément à l'Article 22. Exigez les coordonnées complètes de ce mandataire — sans cela, vous n'avez aucun interlocuteur juridique sur le territoire européen.
La CNIL a publié 13 fiches pratiques sur l'IA et le RGPD. Vérifiez que le fournisseur les a intégrées dans sa documentation, notamment celle relative à l'analyse d'impact (AIPD).
3. Partie 2 : Sécurité et confidentialité
La sécurité d'un système IA combine les exigences classiques (ISO/IEC 27001:2022) et les spécificités IA (ISO/IEC 23894:2023). Six questions ciblent les contrôles essentiels.
| # | Question | Référentiel | Réponse attendue |
|---|---|---|---|
| 7 | Quelles mesures techniques protègent le système contre les attaques adversariales (data poisoning, evasion, model inversion) ? | Art. 15, ISO 23894 | Plan de tests documenté |
| 8 | Comment sont gérés les accès et les privilèges utilisateurs ? | ISO 27001 A.5.15 | Politique IAM écrite |
| 9 | Les données d'entraînement et d'inférence sont-elles chiffrées au repos et en transit ? | RGPD Art. 32 | Algorithmes et clés documentés |
| 10 | Quelle est la politique de conservation et d'effacement des données ? | RGPD Art. 5 | Durées par catégorie |
| 11 | Existe-t-il un plan de réponse aux incidents avec notification dans les 72 h ? | RGPD Art. 33, AI Act Art. 73 | Procédure et délais |
| 12 | Les sous-traitants ultérieurs sont-ils identifiés et auditables ? | RGPD Art. 28 | Liste à jour |
L'Article 73 impose au fournisseur de signaler les incidents graves à l'autorité compétente. En tant que déployeur, vous devez recevoir cette information sans délai pour exécuter vos propres obligations de notification CNIL.
Les secrets d'affaires (savoir-faire, prompts internes, données clients) doivent être protégés par clause contractuelle explicite. La directive (UE) 2016/943 reste applicable en complément du RGPD.
Sécurisez votre démarche dès la présélection
regulia fournit un pack documentaire complet : questionnaire éditable, grille d'analyse des risques, modèle de DPA et clauses IA Act prêtes à intégrer dans vos contrats fournisseurs.
Demander le pack évaluation fournisseurs4. Partie 3 : Transparence et explicabilité
L'Article 13 impose aux fournisseurs de systèmes haut risque de fournir des instructions claires. L'Article 86 ouvre un droit à explication des décisions individuelles aux personnes concernées. Ces obligations doivent être traduites en éléments vérifiables.
| # | Question | Article AI Act | Réponse attendue |
|---|---|---|---|
| 13 | La documentation technique (Annexe IV) est-elle accessible sur demande ? | Art. 11, Annexe IV | Document complet ou résumé |
| 14 | Les instructions d'utilisation sont-elles disponibles en français ? | Art. 13 | Manuel utilisateur localisé |
| 15 | Quelle méthode permet d'expliquer une décision individuelle automatisée ? | Art. 86, RGPD Art. 22 | Mécanisme documenté |
| 16 | Comment les biais ont-ils été identifiés et mitigés sur les jeux d'entraînement ? | Art. 10 | Rapport d'évaluation |
| 17 | Les contenus générés par IA sont-ils marqués conformément à l'Art. 50 ? | Art. 50 | Mécanisme de watermarking |
| 18 | Quelles métriques de précision et de robustesse sont publiées ? | Art. 15 | Tableau de KPI |
La transparence ne se limite pas à la documentation technique. Le fournisseur doit pouvoir expliquer comment son système a été entraîné, sur quelles données, avec quelles limites connues. Une réponse vague sur ces points est un signal d'alerte fort.
Pour les systèmes à risque limité (chatbots, deepfakes, contenu généré), l'Article 50 impose une obligation d'information de l'utilisateur. Vérifiez que cette obligation est techniquement implémentée, pas seulement mentionnée dans les conditions générales.
Le glossaire des termes techniques de l'AI Act est consultable sur notre page glossaire.
5. Partie 4 : Performance et fiabilité
L'Article 15 exige un niveau approprié de précision, de robustesse et de cybersécurité tout au long du cycle de vie. Quatre questions cadrent ce volet.
| # | Question | Référence | Réponse attendue |
|---|---|---|---|
| 19 | Quels SLA contractuels sont garantis (disponibilité, temps de réponse) ? | Contrat | % et pénalités |
| 20 | Quelle est la procédure de gestion des mises à jour majeures du modèle ? | Art. 72 | Notification préalable |
| 21 | Quels tests de robustesse sont effectués avant chaque release ? | Art. 15 | Plan de tests |
| 22 | Comment le fournisseur garantit-il la non-régression sur les performances ? | ISO 42001 §8 | Suivi de KPI |
Une mise à jour substantielle d'un système haut risque déclenche une nouvelle évaluation de conformité (Art. 43, §4). Le contrat doit prévoir comment cette charge est répartie entre fournisseur et déployeur.
La surveillance post-commercialisation (Art. 72) est une obligation continue du fournisseur. Exigez l'accès au plan documenté et aux rapports périodiques. Cette information nourrira votre propre dispositif de surveillance imposé par l'Article 26, §5.
6. Partie 5 : Responsabilité et support
La répartition des responsabilités est le point le plus négocié et le plus mal traité dans les contrats IA actuels. Quatre questions clarifient les engagements.
| # | Question | Référence | Réponse attendue |
|---|---|---|---|
| 23 | Quelle clause de responsabilité couvre les dommages causés par le système IA ? | Code civil Art. 1240 | Plafonds et exclusions |
| 24 | Le fournisseur dispose-t-il d'une assurance responsabilité civile professionnelle adaptée à l'IA ? | — | Attestation à jour |
| 25 | Quel niveau de support technique est garanti (heures, langues, canaux) ? | Contrat | SLA support écrit |
| 26 | Existe-t-il un plan de continuité et de réversibilité des données ? | RGPD Art. 20 | Procédure de sortie |
| 27 | Quelle est la procédure en cas de cessation d'activité du fournisseur ? | — | Clause d'escrow ou équivalent |
| 28 | Comment sont gérés les conflits d'intérêts en cas d'audit indépendant ? | Art. 31 | Liste des organismes notifiés |
| 29 | Quel est le pays de juridiction applicable au contrat ? | Règlement Rome I | Juridiction compétente |
| 30 | Quel processus de modification du contrat est prévu en cas d'évolution réglementaire ? | — | Clause de revoyure |
La réversibilité est cruciale. Un fournisseur qui rend impossible l'export de vos données ou de votre modèle fine-tuné vous enferme dans une dépendance technique et juridique. Ce point doit être contractuellement chiffré et testé annuellement.
L'assurance professionnelle du fournisseur doit explicitement couvrir les dommages causés par les décisions automatisées. Une RC pro classique exclut souvent ce type de sinistre.
7. Comment utiliser le questionnaire
Le questionnaire se déploie en quatre étapes opérationnelles.
- Présélection — Envoyez les 30 questions au fournisseur dès la phase d'appel d'offres. Refusez les réponses partielles ou évasives.
- Analyse des réponses — Notez chaque réponse selon une grille à trois niveaux : conforme, partiel, non conforme. Calculez un score global pondéré par criticité.
- Plan d'action — Pour chaque non-conformité, définissez avec le fournisseur un délai de mise en conformité contractualisé. Si le délai dépasse votre tolérance, écartez le fournisseur.
- Revue périodique — Réévaluez chaque fournisseur retenu au minimum une fois par an. Conservez l'historique dans votre registre.
La pondération recommandée par les guides sectoriels privilégie les volets juridique (35 %), sécurité (25 %), responsabilité (20 %), transparence (15 %), performance (5 %). Adaptez ces poids selon votre secteur et la criticité du cas d'usage.
| Score | Interprétation | Action recommandée |
|---|---|---|
| 90-100 % | Conformité exemplaire | Signature possible avec clauses standards |
| 70-89 % | Conformité satisfaisante | Négocier les écarts, plan d'action 90 jours |
| 50-69 % | Risque élevé | Refus sauf justification métier impérative |
| < 50 % | Non-conformité majeure | Refus systématique |
Documentez chaque évaluation. Cette traçabilité est exigée par l'Article 26, §6 qui impose au déployeur de conserver les journaux pendant au moins six mois. En cas de contrôle, l'absence de questionnaire signé est un facteur aggravant.
L'audit interne ISO/IEC 42001:2023 réutilisera directement les preuves collectées via ce questionnaire. C'est un investissement de temps qui réduit considérablement la charge d'audit ultérieure.
Évitez les sanctions Article 99
Le défaut de diligence dans la sélection des fournisseurs IA est sanctionné. Notre pack regulia inclut le questionnaire complet, les grilles d'analyse, et l'accompagnement à la signature contractuelle.
Recevoir le pack complet8. Ressources supplémentaires
Trois ressources internes complètent ce questionnaire :
- Le guide complet AI Act pour PME françaises — vue d'ensemble des obligations selon votre profil.
- L'analyse détaillée des sanctions et amendes Article 99 — calculateur d'exposition financière.
- Le glossaire des termes juridiques — définitions sourcées du Règlement.
- La bibliographie des sources officielles — liens et références à jour.
FAQ
Pourquoi une PME doit-elle évaluer ses fournisseurs d'IA ?
Une PME doit évaluer ses fournisseurs d'IA pour s'assurer de la conformité avec l'AI Act et le RGPD, minimiser les risques juridiques et financiers, et garantir la sécurité et la fiabilité des systèmes utilisés. L'évaluation permet d'identifier les lacunes et de prendre des mesures correctives avant de signer un contrat. L'Article 26 du Règlement (UE) 2024/1689 impose au déployeur des obligations propres qui ne peuvent être satisfaites sans coopération documentée du fournisseur.
Quelles sont les conséquences d'une non-conformité avec l'AI Act pour une PME ?
Les conséquences d'une non-conformité avec l'AI Act peuvent être sévères. Pour les pratiques interdites de l'Article 5, les amendes atteignent 35 M€ ou 7 % du chiffre d'affaires annuel mondial. Pour la plupart des autres infractions, le plafond est de 15 M€ ou 3 % du chiffre d'affaires (Art. 99). Les PME peuvent aussi faire face à des dommages réputationnels et à des litiges avec leurs clients ou partenaires. Le détail figure dans notre article dédié aux sanctions.
Comment le questionnaire aide-t-il à se préparer à l'audit interne ?
Le questionnaire de 30 questions aide à se préparer à l'audit interne en fournissant un cadre structuré pour évaluer les fournisseurs d'IA. Il permet d'identifier les domaines à améliorer, de documenter les efforts de conformité, et de démontrer aux auditeurs que la PME a pris des mesures pour respecter les exigences réglementaires. Les preuves collectées alimentent directement les contrôles de l'ISO/IEC 42001:2023, en particulier les exigences relatives au management des fournisseurs.
Quels sont les principaux risques liés à l'IA pour une PME ?
Les principaux risques liés à l'IA pour une PME incluent les violations de la confidentialité des données, les biais algorithmiques, les erreurs de décision, les problèmes de sécurité, et les non-conformités réglementaires. Ces risques peuvent entraîner des sanctions financières, des dommages à la réputation, et des pertes de confiance des clients. La norme ISO/IEC 23894:2023 propose une taxonomie complète des risques IA utilisable comme référentiel d'analyse.
Où puis-je trouver plus d'informations sur l'AI Act et le RGPD pour les PME ?
Vous pouvez trouver plus d'informations sur l'AI Act et le RGPD pour les PME sur le site de la CNIL (cnil.fr), sur le service desk de l'AI Act (ai-act-service-desk.ec.europa.eu), et sur le site officiel de l'AI Act (artificialintelligenceact.eu). Nous recommandons également de consulter notre article dédié à l'AI Act pour les PME françaises qui consolide les obligations applicables selon votre profil de déployeur.
Sources officielles
- Texte consolidé de l'AI Act — artificialintelligenceact.eu
- Règlement (UE) 2024/1689 sur EUR-Lex
- Commission nationale de l'informatique et des libertés
- AI Act Service Desk — Commission européenne
- ISO/IEC 42001:2023 — Systèmes de management de l'IA
- ISO/IEC 23894:2023 — Lignes directrices sur le management du risque IA
- ISO/IEC 27001:2022 — Sécurité de l'information
Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.