Déployeur ou fournisseur ? Pourquoi cette distinction est plus importante que vous ne le pensez

Beaucoup d'organisations pensent que l'EU AI Act ne les concerne pas. « Nous ne construisons pas d'IA, nous ne faisons que l'utiliser. » C'est exact, mais cela ne vous rend pas moins responsable. Dans la terminologie de l'EU AI Act, vous êtes alors un « déployeur », et cela implique des obligations spécifiques.

Fournisseur et déployeur : la différence

L'EU AI Act distingue deux rôles principaux :

Fournisseur : la partie qui développe, entraîne et met sur le marché un système d'IA. Pensez à OpenAI (ChatGPT), Microsoft (Copilot), ou au fournisseur de votre outil de screening RH.

Déployeur : la partie qui utilise un système d'IA pour son propre usage. C'est vous, lorsque votre organisation utilise Copilot, lorsqu'un chatbot tourne sur votre site web, ou lorsque vous utilisez un outil de recrutement qui analyse des CV.

La distinction paraît claire, mais dans la pratique il existe des cas limites qui ont des conséquences importantes sur les obligations qui s'appliquent.

Pourquoi presque toute organisation est un déployeur

Votre organisation utilise Microsoft 365 avec Copilot ? Vous êtes déployeur. Vos collaborateurs ont accès à ChatGPT ou Gemini ? Déployeur. Un chatbot tourne sur votre site web ? Déployeur. Votre service RH utilise un outil qui analyse ou classe des CV ? Déployeur, et même d'un système à haut risque.

Le seuil est bas. Dès que vous utilisez un système d'IA dans votre organisation, même s'il a été créé par un tiers, vous tombez sous les obligations du déployeur selon l'EU AI Act.

Cela vaut également pour un usage non autorisé. Si un collaborateur utilise la version gratuite de ChatGPT pour répondre à un e-mail client, cela fait de votre organisation un déployeur, même sans que vous le sachiez. De plus, dans la version gratuite, les données saisies peuvent être utilisées pour entraîner le modèle. Ce n'est pas seulement une question de déployeur, mais aussi une fuite de données potentielle. Le shadow AI, c'est-à-dire l'usage d'outils d'IA sans validation de l'organisation, vous rend déployeur sans que vous vous en rendiez compte.

Les obligations d'un déployeur

Les déployeurs ont moins d'obligations que les fournisseurs, mais elles sont plus nombreuses que ce que pensent la plupart des organisations :

Littératie en IA (Article 4) : Vous devez veiller à ce que vos collaborateurs sachent ce qu'ils font lorsqu'ils travaillent avec l'IA. Cette obligation de base s'applique depuis le 2 février 2025 et concerne toute organisation qui utilise l'IA. Ce qu'exige démontrer la conformité à l'article 4, nous l'avons développé ailleurs.

Transparence (Article 50) : Pour certains systèmes d'IA, vous devez informer les personnes concernées qu'une IA est utilisée. Les candidats doivent savoir qu'une IA évalue leur CV. Les citoyens doivent savoir qu'un chatbot n'est pas un humain.

Surveillance humaine (Article 26) : Pour l'IA à haut risque, recrutement, enseignement, santé, services publics, il doit toujours y avoir un humain qui prend la décision finale ou peut intervenir.

Journalisation et monitoring (Article 26) : Vous devez conserver la trace de l'utilisation de vos systèmes d'IA, et pouvoir démontrer ce qui s'est passé en cas d'incident.

Évaluation des risques (Article 27) : Pour l'IA à haut risque dans les services publics, vous devez en tant que déployeur réaliser une Fundamental Rights Impact Assessment.

Quand passez-vous de déployeur à fournisseur ?

C'est ici que se trouve la nuance que beaucoup d'organisations ignorent. L'Article 25 de l'EU AI Act décrit trois situations dans lesquelles un déployeur devient automatiquement fournisseur, mais uniquement pour les systèmes d'IA à haut risque :

Pour les systèmes qui ne sont pas à haut risque, le seuil est beaucoup plus élevé. Il faut alors un véritable travail de développement, construire vous-même un modèle, l'étendre substantiellement, ou le faire développer sur commande, avant de devenir fournisseur.

Un exemple concret

Imaginons : vous avez une entreprise qui vend des conseils en nutrition. Vous placez sur votre site web un chatbot qui conseille les visiteurs sur la perte de poids : « Demandez à notre coach IA ». Sous le capot tourne ChatGPT. Vous présentez le chatbot au monde extérieur comme votre propre service.

Êtes-vous désormais fournisseur ?

Non. Un chatbot de conseil nutritionnel n'est pas un système à haut risque selon l'EU AI Act (Annexe III). Comme l'Article 25 ne déclenche la bascule que pour les systèmes à haut risque, vous restez déployeur, même si la mention « notre coach IA » figure sur le site. Vos obligations se limitent à l'Article 50 (vous devez indiquer clairement qu'il s'agit d'une IA, pas d'un humain) et à l'Article 4 (vos collaborateurs doivent avoir une littératie en IA).

Inversons l'exemple : vous dirigez une agence de recrutement et vous rebrandez un outil de screening de CV par IA d'un fournisseur comme « OurHR-AI » et le proposez à vos clients finaux. Dans ce cas, vous êtes bien fournisseur, avec toutes les obligations qui s'ensuivent. Pourquoi ? Le screening de CV figure à l'Annexe III comme application à haut risque. Haut risque + nom propre = fournisseur selon l'Article 25(1)(a).

Autre exemple : une organisation de soins de santé qui fine-tune un modèle de langage sur ses propres données patients et le déploie comme assistant au diagnostic. C'est à haut risque (santé) ET modification substantielle, donc fournisseur.

Et le fine-tuning alors ?

Le fine-tuning est souvent cité comme le grand danger par lequel les organisations deviennent fournisseurs sans le vouloir. La réalité est plus nuancée. La Commission européenne a publié en juillet 2025 des lignes directrices précisant qu'un fine-tuner d'un modèle d'IA à usage général ne devient fournisseur que si la modification utilise plus d'un tiers du compute d'entraînement initial. Ce seuil, les organisations PME ne l'atteignent pratiquement jamais, elles utilisent généralement des techniques légères comme le RAG ou le prompt engineering, pas un ré-entraînement massif.

En bref : le fine-tuning ne fait pas automatiquement de vous un fournisseur. L'utiliser pour une finalité à haut risque, ou rebrander un système à haut risque, oui.

Les amendes : qu'est-ce qui est réellement en jeu ?

L'EU AI Act prévoit un régime d'amendes à plusieurs niveaux (Article 99) :

À titre de comparaison : le RGPD prévoit un maximum de 20 millions d'euros ou 4 %. L'EU AI Act va donc plus loin.

Deux nuances importantes :

Pour les PME et startups, c'est le plus bas des deux montants qui s'applique, pas le plus haut. Une PME avec 2 millions d'euros de chiffre d'affaires risque donc au maximum 140 000 euros pour l'infraction la plus lourde, et non 35 millions. Matériellement toujours sérieux, mais dans le bon ordre de grandeur.

L'Article 4 (littératie en IA) n'a pas d'amende directe distincte. L'Article 99 ne mentionne pas l'Article 4 parmi les infractions spécifiquement sanctionnables. Mais il est traité comme facteur aggravant pour d'autres infractions. Si votre organisation connaît un incident d'IA et qu'une autorité de contrôle constate que vos collaborateurs n'ont jamais suivi de formation en littératie IA, cela pèsera lourd dans l'amende qui suivra. L'argument « nous ne savions pas » ne fonctionne pas si vous ne pouvez pas démontrer que vous avez formé vos collaborateurs.

Ce que vous devez faire maintenant

Étape 1 : Déterminez votre rôle par système d'IA. Passez en revue vos systèmes d'IA et évaluez pour chacun : suis-je déployeur, ou ai-je déclenché l'un des critères de l'Article 25 ?

Étape 2 : Inventoriez vos obligations. En tant que déployeur d'un système non à haut risque (filtre antispam, outil de traduction, chatbot de productivité), vos obligations se limitent à la littératie en IA et, selon le cas, à la transparence. Pour les systèmes à haut risque, il y a beaucoup plus à prendre en compte.

Étape 3 : Vérifiez un éventuel statut de fournisseur involontaire. Avez-vous rebrandé de l'IA à haut risque sous votre propre nom ? Modifié sa finalité ? Modifié substantiellement ? Alors vous devez revoir votre position de conformité.

Étape 4 : Formez vos collaborateurs. L'Article 4 s'applique à toutes les organisations qui utilisent l'IA. Vos administrateurs informatiques doivent en plus connaître la différence entre fournisseur et déployeur, afin de ne pas franchir la frontière par inadvertance lors d'implémentations.

Étape 5 : Documentez et prouvez. La charge de la preuve vous incombe. Un aperçu de qui a suivi quelle formation, avec des certificats par collaborateur mentionnant les objectifs pédagogiques et les articles de l'EU AI Act couverts, est la manière la plus concrète de démontrer que vous avez rempli votre obligation selon l'Article 4.

Pour conclure

L'EU AI Act n'a pas été rédigé pour freiner l'innovation. Il a été rédigé pour garantir que l'IA soit utilisée de manière sûre et responsable. En tant que déployeur, vous n'avez pas à paniquer, mais vous devez savoir quel est votre rôle, quelles sont vos obligations, et où se situe la limite.

La différence entre une organisation qui comprend cela et une qui ne le comprend pas peut coûter de sérieuses amendes, et des dommages à la réputation.

Vous voulez savoir si votre organisation est déployeur ou fournisseur ? Notre formation en littératie IA aborde ce sujet en détail dans le Module 4 (IT/Technique). Consultez nos formations ou téléchargez la checklist de conformité gratuite.