hIAppy — Consultants IA logo

    hIAppy Vision

    Diagnostic IA, stratégie et feuille de route

    hIAppy Lab

    Sprint de prototypage IA en 5 à 15 jours

    hIAppy Stream

    Déploiement IA et automatisation en production

    hIAppy Learn

    Formations et acculturation à l'IA

    hIAppy Chat

    Chatbot IA pour site web, sans code

    Cas clients

    Nos projets IA accompagnés

    Comprendre l'IA

    Articles pédagogiques sur l'IA

    Dictionnaire IA

    Comprendre les termes de l'IA

    IA Act

    Réglementation européenne sur l'intelligence artificielle

    Blog

    Articles et actualités IA

    Livre blanc

    IA en entreprise : guide pour dirigeants

    Méthodes de Prompting

    Les techniques essentielles de prompting

    Supports de formation

    Supports et contenus de formation IA

    IA Act

    Fournisseur ou déployeur ? Le rôle qui détermine vos obligations IA Act

    Pierre Lefebvre
    7 min de lecture

    Introduction

    Dans l'IA Act, tout part d'une question que la plupart des dirigeants de PME ne se sont jamais posée : quel est votre rôle vis-à-vis de chaque système d'IA que vous utilisez ? Car le règlement ne distribue pas les obligations selon la taille de l'entreprise ou son secteur, mais selon la position dans la chaîne de valeur de l'IA.

    Deux rôles concentrent l'essentiel des obligations : le fournisseur et le déployeur. Confondre les deux, c'est soit s'imposer des obligations qui ne vous concernent pas, soit, plus dangereux, ignorer celles qui vous incombent.

    Cet article fait partie de notre série IA Act pour les PME.

    Le fournisseur : celui qui met l'IA sur le marché

    Le fournisseur (« provider ») est celui qui développe un système d'IA, ou le fait développer, et le met sur le marché ou en service sous son propre nom ou sa propre marque. Les éditeurs de logiciels IA, les fabricants de modèles, les startups qui commercialisent une solution d'IA : tous fournisseurs.

    C'est sur eux que pèsent les obligations les plus lourdes, surtout pour les systèmes à haut risque : gestion des risques, qualité des données d'entraînement, documentation technique, marquage CE, enregistrement européen, suivi post-commercialisation.

    La plupart des PME ne sont pas fournisseurs. Mais attention aux trois cas où vous pouvez le devenir sans vous en rendre compte : nous y revenons plus bas.

    Le déployeur : celui qui utilise l'IA (c'est vous)

    Le déployeur (« deployer ») est toute entreprise qui utilise un système d'IA sous sa propre autorité dans le cadre de son activité professionnelle. Vous utilisez un chatbot sur votre site ? Un outil d'IA générative pour vos contenus ? Un logiciel de présélection de candidatures ? Vous êtes déployeur.

    Être déployeur n'est pas un statut passif. Vos obligations, graduées selon le niveau de risque du système :

    Pour tous les systèmes : garantir la littératie IA de vos équipes (article 4, en vigueur depuis février 2025) : toute personne qui utilise l'IA pour votre compte doit être formée à ses limites et à ses risques.

    Pour les systèmes qui interagissent ou génèrent du contenu : respecter la transparence de l'article 50 dès août 2026 : informer qu'on parle à une IA, signaler les contenus générés.

    Pour les systèmes à haut risque (échéance décembre 2027) : utiliser le système conformément à sa notice, confier la supervision humaine à des personnes formées et compétentes, contrôler la pertinence des données d'entrée, surveiller le fonctionnement et signaler les incidents, conserver les journaux, et informer les salariés concernés avant la mise en service d'un système RH.

    Les trois pièges qui transforment un déployeur en fournisseur

    C'est le point le plus important de cet article. Vous devenez fournisseur (avec toutes les obligations associées) si :

    1. Vous mettez votre marque sur un système d'IA. Vous faites développer un assistant IA en marque blanche et le proposez à vos clients sous votre nom ? Vous êtes fournisseur de ce système.

    2. Vous modifiez substantiellement un système existant. Au-delà du simple paramétrage, si vous transformez un système au point d'en changer la finalité ou le fonctionnement, la responsabilité de fournisseur peut vous être transférée.

    3. Vous détournez un système de sa finalité vers un usage à haut risque. Un outil conçu pour rédiger des comptes rendus que vous transformez en outil d'évaluation des salariés : vous en devenez le fournisseur pour ce nouvel usage à haut risque.

    Pour une PME qui « bricole » intelligemment avec l'IA (ce que nous encourageons par ailleurs !), la vigilance s'impose dès qu'un prototype interne devient un produit, ou qu'un outil générique est branché sur des décisions concernant des personnes.

    En pratique : vos réflexes de déployeur responsable

    Exigez la documentation de vos fournisseurs. Classification de risque du système, notice d'utilisation, garanties de conformité IA Act : ces documents doivent désormais faire partie de tout achat d'outil IA, au même titre que le DPA pour le RGPD.

    Tracez vos usages. Pour chaque outil : qui l'utilise, pour quoi faire, avec quelles données, avec quelle supervision. Ce registre des usages IA est la colonne vertébrale de votre conformité.

    Encadrez les détournements d'usage. Une charte interne simple précisant ce que les équipes peuvent et ne peuvent pas faire avec les outils IA évite le glissement involontaire vers le haut risque, ou vers le statut de fournisseur.

    Ce qu'il faut retenir

    Fournisseur = celui qui met l'IA sur le marché ; déployeur = celui qui l'utilise. Votre PME est presque certainement déployeur, avec des obligations réelles mais gérables : formation des équipes (déjà en vigueur), transparence (août 2026), supervision humaine pour le haut risque (décembre 2027).

    Le vrai point de vigilance : ne pas devenir fournisseur sans le savoir, en remarquant, modifiant ou détournant un système. C'est une question que nous posons systématiquement dans nos diagnostics hIAppy Vision, et la réponse réserve parfois des surprises.

    Lundi, on attaque la semaine « Agir » avec l'obligation la plus ignorée du règlement : la littératie IA de vos équipes.

    Questions fréquentes

    Ma PME utilise un outil IA du commerce : suis-je responsable de sa conformité ?+

    Vous n'êtes pas responsable de la conformité du système lui-même (c'est le rôle du fournisseur), mais vous êtes responsable de votre usage : formation de vos équipes, respect de la notice, supervision humaine pour les systèmes à haut risque, transparence envers vos clients. Et vous devez choisir des fournisseurs conformes : intégrez désormais la conformité IA Act dans vos critères d'achat.

    Je personnalise un modèle d'IA avec mes données : suis-je devenu fournisseur ?+

    Pas nécessairement. Le simple paramétrage, l'ajout de contexte métier (via du RAG par exemple) ou l'intégration dans vos outils ne font généralement pas de vous un fournisseur. La bascule survient si vous modifiez substantiellement le système, changez sa finalité vers un usage à haut risque, ou le commercialisez sous votre marque. En zone grise, faites valider l'analyse avant de déployer.

    Dois-je informer mes salariés si j'utilise une IA qui les concerne ?+

    Oui. Pour les systèmes à haut risque utilisés au travail (évaluation, affectation des tâches, suivi de performance), le déployeur doit informer les salariés concernés et leurs représentants avant la mise en service. Indépendamment de l'IA Act, le RGPD et le droit du travail français imposent déjà des obligations d'information et de consultation du CSE. Anticipez : un déploiement IA RH non concerté est un risque juridique ET social.

    Qu'est-ce qu'un « utilisateur final » par rapport à un déployeur ?+

    Le déployeur est l'entreprise qui décide d'utiliser le système d'IA sous son autorité ; les utilisateurs finaux sont les personnes qui s'en servent au quotidien (vos salariés) ou qui y sont exposées (vos clients). Les obligations pèsent sur l'entreprise déployeuse, pas sur les salariés individuellement, mais elles incluent précisément de former ces utilisateurs (littératie IA) et d'informer les personnes exposées (transparence).

    Tags

    IA Act
    Réglementation IA
    Conformité
    PME et ETI

    Partager cet article

    Pierre Lefebvre

    Fondateur de hIAppy, expert en intelligence artificielle et transformation digitale des entreprises.

    Envie d'aller plus loin ?

    Articles similaires

    Panneau d'interdiction stylisé symbolisant les pratiques IA interdites par l'IA Act

    Ces usages de l'IA interdits en Europe depuis février 2025 (et que personne ne vous a signalés)

    Pyramide à quatre niveaux colorés représentant les niveaux de risque de l'IA Act

    La pyramide des risques de l'IA Act : 4 niveaux pour situer chacun de vos outils

    Nous utilisons des cookies pour la mesure d'audience et, avec votre accord, pour des fonctionnalités publicitaires. Vous pouvez accepter ou refuser.

    hIAppyen ligne

    Répondre

    hIAppy

    IA • En ligne

    Bonjour ! 👋

    Je suis l'assistant IA de hIAppy. Comment puis-je vous aider à explorer l'IA pour votre entreprise ?