Le règlement (UE) 2024/1689 — l'AI Act européen — n'impose pas les mêmes obligations à tous ceux qui touchent à un système d'IA. Il répartit la responsabilité entre quatre rôles distincts — fournisseur, déployeur, importateur et distributeur — et chacun répond d'articles différents, avec des charges de conformité très différentes. Se tromper sur son rôle est l'erreur la plus coûteuse qu'une PME puisse commettre : appliquer les obligations de déployeur alors qu'on est en réalité fournisseur (ou l'inverse) laisse des trous de conformité réels face au régime de sanctions de l'article 99.
Ce guide explique ce qui incombe à chaque rôle avec le texte exact du règlement, et détaille la nuance qui déroute le plus les PME : l'article 25, qui peut transformer un déployeur, un importateur ou un distributeur en fournisseur du jour au lendemain — avec toutes ses obligations — sans que l'entreprise se rende compte d'avoir franchi cette ligne.
Combien de rôles l'AI Act reconnaît-il, et en quoi diffèrent-ils ?
L'article 3 du règlement définit chaque rôle par ce que l'entreprise fait avec le système, pas par sa taille ni son secteur. Un fournisseur (art. 3.3) développe un système d'IA ou le fait développer et le met sur le marché ou en service sous son propre nom ou sa propre marque, payant ou gratuit. Un déployeur (art. 3.4) est celui qui utilise le système sous sa propre autorité, sauf usage dans le cadre d'une activité personnelle non professionnelle. Un importateur (art. 3.6) est la personne établie dans l'UE qui met sur le marché européen un système portant le nom d'une entreprise établie hors UE. Un distributeur (art. 3.7) est tout autre maillon de la chaîne d'approvisionnement, autre que fournisseur ou importateur, qui met un système à disposition sur le marché de l'UE.
La plupart des PME espagnoles sont déployeuses : elles contractent un ATS de recrutement, un moteur de scoring ou un chatbot déjà construit par un tiers. Mais il suffit de revendre ce même système sous sa propre marque, de l'intégrer dans son propre produit ou de le faire venir d'un fournisseur hors UE pour que le rôle change — et avec lui, les obligations.
Quelles obligations pour le fournisseur d'un système d'IA à haut risque ?
L'article 16 incombe à celui qui développe le système et le met sur le marché sous sa propre marque. Ses principales obligations, énumérées lettre par lettre dans l'article lui-même :
- Respecter la section 2 du chapitre III : gestion des risques, gouvernance des données, documentation technique, journaux, transparence envers le déployeur, supervision humaine, précision, robustesse et cybersécurité (art. 16.a).
- S'identifier sur le système, son emballage ou sa documentation avec nom, marque déposée et adresse de contact (art. 16.b).
- Mettre en place un système de gestion de la qualité conforme à l'article 17 (art. 16.c).
- Conserver la documentation technique exigée par l'article 18 (art. 16.d).
- Conserver les journaux générés automatiquement sous son contrôle, conformément à l'article 19 (art. 16.e).
- Réussir l'évaluation de conformité de l'article 43 avant de commercialiser le système (art. 16.f).
- Rédiger la déclaration UE de conformité conformément à l'article 47 (art. 16.g).
- Apposer le marquage CE sur le système ou, si impossible, sur son emballage ou sa documentation (art. 16.h).
- Enregistrer le système dans la base de données de l'UE conformément à l'article 49.1 (art. 16.i).
- Appliquer des actions correctives et informer comme l'exige l'article 20 (art. 16.j).
- Démontrer la conformité à l'autorité de surveillance du marché sur demande (art. 16.k).
- Respecter l'accessibilité conformément aux directives (UE) 2016/2102 et (UE) 2019/882 (art. 16.l).
Presque aucune PME espagnole n'est fournisseur d'un système acheté à un tiers sans le modifier. Si votre entreprise développe un logiciel d'IA qu'elle vend à d'autres entreprises, ou si elle fait l'une des trois choses décrites par l'article 25 ci-dessous, c'est votre rôle — avec les douze obligations ci-dessus.
Que doit faire le déployeur qui utilise un système à haut risque ?
Le déployeur est l'entreprise qui utilise le système sous sa propre autorité — votre PME, si vous contractez un ATS ou un moteur de scoring déjà construit par un tiers. L'article 26 lui impose des obligations qu'il ne peut déléguer au fournisseur :
- Utiliser le système selon les instructions du fournisseur et confier la supervision humaine à des personnes ayant la compétence, la formation et l'autorité suffisantes (art. 26.1 et 26.2).
- Garantir la qualité des données d'entrée sous son contrôle et pertinentes pour la finalité du système (art. 26.4).
- Surveiller le fonctionnement conformément aux instructions et, en cas de risque, informer sans délai indu le fournisseur ou le distributeur et l'autorité de surveillance du marché, en suspendant l'utilisation si nécessaire (art. 26.5).
- Conserver les journaux générés automatiquement pendant au moins six mois, sauf obligation plus longue prévue ailleurs (art. 26.6).
- Informer les travailleurs et leurs représentants avant la mise en service du système sur le lieu de travail, lorsque le droit du travail l'exige (art. 26.7).
- Enregistrer l'utilisation dans la base de données de l'UE prévue à l'article 71, si le déployeur est un organisme public (art. 26.8).
- Coopérer avec les autorités compétentes pour toute action liée au système (art. 26.12).
L'article 27 ajoute une obligation que beaucoup de PME ignorent : les organismes publics, les prestataires de services publics essentiels et les déployeurs de systèmes de crédit ou d'assurance (points 5.b et 5.c de l'annexe III) doivent réaliser une analyse d'impact sur les droits fondamentaux (FRIA) avant la mise en service. Le guide de classification des risques et de l'annexe III détaille quand cette analyse s'applique et ce qu'elle doit documenter.
Quelles obligations pour l'importateur d'un système d'IA ?
L'importateur (art. 3.6) est celui qui met sur le marché de l'UE un système à haut risque portant le nom ou la marque d'une entreprise établie hors de l'Union européenne. C'est un rôle fréquent si votre PME distribue en Espagne un produit doté d'IA d'un fabricant américain, britannique ou asiatique. L'article 23 lui impose, avant de commercialiser le système, de :
- Vérifier que le fournisseur a rempli ses obligations : évaluation de conformité de l'article 43 réussie, documentation technique établie conformément à l'article 11 et à l'annexe IV, marquage CE présent avec déclaration UE de conformité, et mandataire désigné (art. 23.1).
- Ne pas commercialiser le système en cas de soupçon de non-conformité — ou de falsification — tant que la situation n'est pas corrigée ; et si le système présente un risque, informer sans délai le fournisseur, son mandataire et les autorités (art. 23.2).
- S'identifier avec son nom, sa marque déposée et son adresse de contact sur le système, son emballage ou sa documentation (art. 23.3).
- Garantir des conditions de stockage et de transport qui ne compromettent pas la conformité aux exigences de la section 2 (art. 23.4).
- Conserver des copies de la déclaration de conformité et de la documentation pertinente pendant 10 ans après la mise sur le marché (art. 23.5).
- Fournir toute information et documentation demandée par une autorité compétente, et coopérer avec elle (art. 23.6 et 23.7).
Et le distributeur ? (article 24)
Le distributeur (art. 3.7) est tout autre maillon de la chaîne d'approvisionnement — autre que fournisseur ou importateur — qui met un système d'IA à disposition sur le marché de l'UE, généralement un revendeur, un intégrateur de systèmes ou un canal commercial. L'article 24 lui impose de :
- Vérifier avant de distribuer que le système porte le marquage CE, qu'il est accompagné de la déclaration UE de conformité et des instructions d'utilisation, et que le fournisseur et, le cas échéant, l'importateur ont rempli leurs obligations respectives (art. 24.1).
- Ne pas distribuer le système en cas de soupçon de non-conformité tant que la situation n'est pas corrigée, et informer le fournisseur ou l'importateur en cas de risque (art. 24.2).
- Garantir des conditions de stockage et de transport adéquates tant que le système est sous sa responsabilité (art. 24.3).
- Prendre des mesures correctives — y compris le retrait ou le rappel — en cas de non-conformité détectée après distribution, et informer immédiatement le fournisseur ou l'importateur et les autorités (art. 24.4).
- Fournir information et documentation à une autorité compétente qui en fait la demande motivée, et coopérer avec elle (art. 24.5 et 24.6).
Importateur et distributeur partagent une même philosophie — les deux vérifient avant de déplacer le système, les deux surveillent après — mais l'importateur est toujours le premier maillon lorsque le fournisseur est hors UE, avec l'obligation supplémentaire de conserver la documentation pendant 10 ans, que le distributeur n'a pas.
Quand un déployeur, un importateur ou un distributeur devient-il fournisseur ?
C'est la nuance qui déroute le plus les PME, et la plus difficile à corriger après coup : l'article 25 (« Responsabilités le long de la chaîne de valeur de l'IA ») dispose qu'un distributeur, un importateur, un déployeur ou tout autre tiers est considéré comme fournisseur d'un système à haut risque — et devient soumis à toutes les obligations de l'article 16 ci-dessus — dans l'une de ces trois circonstances (art. 25.1) :
- Apposition de marque : vous apposez votre nom ou votre marque sur un système à haut risque déjà mis sur le marché ou en service par un autre fournisseur (art. 25.1.a). Exemple : vous achetez un ATS de recrutement générique et le lancez comme produit propre.
- Modification substantielle : vous modifiez substantiellement un système à haut risque déjà mis sur le marché, de manière qu'il reste à haut risque (art. 25.1.b). Exemple : vous réentraînez avec vos propres données un modèle de scoring de crédit acheté à un tiers, en changeant significativement son comportement.
- Changement de finalité : vous modifiez la finalité d'un système — y compris un système d'IA à usage général (GPAI) — qui n'était pas classé à haut risque et déjà mis sur le marché, au point qu'il le devient (art. 25.1.c). Exemple : vous prenez un modèle de langage générique et l'adaptez pour automatiser des décisions de recrutement.
Si l'un de ces trois cas s'applique à vous, le règlement ne laisse pas de position intermédiaire : vous devenez fournisseur à part entière, avec les douze obligations de l'article 16 — évaluation de conformité, documentation technique, système de gestion de la qualité, enregistrement, marquage CE — même si vous n'avez jamais « créé » le système depuis zéro. Le fournisseur initial est libéré de ces obligations précises, mais l'article 25.2 lui impose de continuer à coopérer étroitement avec le nouveau fournisseur et de mettre à disposition les informations et l'accès technique raisonnablement nécessaires. L'article 25.4 exige que cette coopération soit consignée dans un accord écrit entre les deux parties — sauf si le composant est proposé sous licence libre et open source — et prévoit que l'Office de l'IA puisse publier des modèles de clauses volontaires.
Pour les PME qui intègrent des modèles tiers (GPAI, API de fournisseurs externes) dans leur propre produit, c'est le point de plus grand risque de conformité de tout le cluster : il est facile de franchir la ligne de l'article 25 sans s'en rendre compte, surtout dans le cas (c) de changement de finalité. Le guide GPAI et modèles fondamentaux approfondit le moment où l'intégration d'un modèle à usage général vous transforme en fournisseur « en aval ».
Tableau comparatif des obligations par rôle
| Rôle | Article clé | Avant de commercialiser / utiliser | Pendant le fonctionnement du système | Peut-il devenir fournisseur ? |
|---|---|---|---|---|
| Fournisseur | Art. 16 | Évaluation de conformité, documentation technique, système de gestion de la qualité, marquage CE, enregistrement UE. | Journaux sous son contrôle, actions correctives, coopération avec les autorités. | Il l'est déjà — point de départ. |
| Déployeur | Art. 26-27 | Désigner une supervision humaine compétente ; le cas échéant, une FRIA (art. 27). | Surveiller les données d'entrée, surveiller le fonctionnement, conserver les journaux 6 mois, informer le personnel. | Oui — s'il modifie substantiellement le système ou change sa finalité (art. 25.1). |
| Importateur | Art. 23 | Vérifier la conformité du fournisseur hors UE, le marquage CE et le mandataire. | Conserver la documentation 10 ans, conditions de transport, coopérer avec les autorités. | Oui — mêmes cas que l'art. 25.1. |
| Distributeur | Art. 24 | Vérifier le marquage CE, la déclaration de conformité et les instructions d'utilisation. | Conditions de stockage, retrait/rappel en cas de non-conformité détectée. | Oui — mêmes cas que l'art. 25.1. |
Comment savoir quel est mon rôle, étape par étape ?
Avant d'appliquer l'un des blocs d'obligations ci-dessus, répondez à ces questions dans l'ordre :
- Avez-vous développé le système ou l'avez-vous fait développer sous votre marque ? Si oui, vous êtes fournisseur (art. 16) dès l'origine.
- L'utilisez-vous tel quel, livré par un tiers, sans le modifier ni y apposer votre marque ? Vous êtes déployeur (art. 26-27).
- Le faites-vous entrer dans l'UE avec la marque d'une entreprise hors Union ? Vous êtes importateur (art. 23), en plus de déployeur si vous l'utilisez aussi.
- Le commercialisez-vous en Espagne sans être celui qui l'a développé ni celui qui l'a importé ? Vous êtes distributeur (art. 24).
- Avez-vous apposé votre marque, modifié substantiellement le système ou changé sa finalité jusqu'à le rendre à haut risque ? Vous devenez fournisseur (art. 25), quel que soit votre rôle de départ.
Le classificateur de risque AI Act vous guide à travers ces questions en même temps que la classification de votre système, gratuitement et sans inscription. Pour le RGPD, l'ENS, NIS2 ou DORA, l'assistant « quelle réglementation s'applique à moi ? » répond en 10 questions.
Le Digital Omnibus change-t-il la répartition des rôles ?
Pas directement. Le Digital Omnibus sur l'IA (COM(2025) 836, procédure 2025/0359(COD)), adopté par le Conseil de l'UE le 29 juin 2026 et signé le 8 juillet 2026, reporte le calendrier d'application de l'annexe III au 2 décembre 2027 et de l'annexe I au 2 août 2028 — mais il ne touche pas le texte des articles 16, 23, 24, 25, 26 ni 27, qui définissent les rôles et leurs obligations sans date d'expiration propre. Ce qui change avec le report, c'est quand ces obligations deviennent exigibles pour un système donné de l'annexe III, pas qui doit respecter chaque bloc.
À la date de ce guide, l'Omnibus reste en attente de publication au Journal officiel de l'UE, donc la date applicable aux systèmes à haut risque de l'annexe III est le 2 août 2026 (art. 113), et non décembre 2027. Le calendrier complet — y compris ce qui est déjà en vigueur aujourd'hui sans exception : pratiques interdites depuis février 2025, obligations GPAI depuis août 2025, transparence de l'article 50 inchangée — figure dans AI Act 2026 : le calendrier de conformité après le Digital Omnibus.