⚠ Situation au 17 juillet 2026 : les obligations de fournisseur (art. 16), de déployeur (art. 26), d'importateur (art. 23) et de distributeur (art. 24) présentées dans ce guide s'appliquent déjà aux systèmes à haut risque de l'annexe III depuis le 2 août 2026 (article 113 du règlement (UE) 2024/1689). Le Digital Omnibus sur l'IA, signé le 8 juillet 2026 et encore en attente de publication au Journal officiel de l'UE, reporterait l'application de l'annexe III — et avec elle, la date réelle à laquelle les obligations de chaque rôle s'appliquent — au 2 décembre 2027, mais tant qu'il n'est pas publié, ce n'est pas du droit applicable.

Le règlement (UE) 2024/1689 — l'AI Act européen — n'impose pas les mêmes obligations à tous ceux qui touchent à un système d'IA. Il répartit la responsabilité entre quatre rôles distincts — fournisseur, déployeur, importateur et distributeur — et chacun répond d'articles différents, avec des charges de conformité très différentes. Se tromper sur son rôle est l'erreur la plus coûteuse qu'une PME puisse commettre : appliquer les obligations de déployeur alors qu'on est en réalité fournisseur (ou l'inverse) laisse des trous de conformité réels face au régime de sanctions de l'article 99.

Ce guide explique ce qui incombe à chaque rôle avec le texte exact du règlement, et détaille la nuance qui déroute le plus les PME : l'article 25, qui peut transformer un déployeur, un importateur ou un distributeur en fournisseur du jour au lendemain — avec toutes ses obligations — sans que l'entreprise se rende compte d'avoir franchi cette ligne.

En résumé : l'AI Act reconnaît 4 rôles avec leurs obligations propres. Le fournisseur (art. 16) développe le système et répond de l'évaluation de conformité, de la documentation technique et du marquage CE. Le déployeur (art. 26-27) l'utilise sous sa propre autorité et répond de la supervision humaine, de la qualité des données qu'il introduit et, dans certains cas, d'une analyse d'impact sur les droits fondamentaux (FRIA). L'importateur (art. 23) fait entrer le système d'un pays tiers dans l'UE et vérifie la conformité du fournisseur avant de le commercialiser. Le distributeur (art. 24) le commercialise dans la chaîne d'approvisionnement sans être fournisseur ni importateur. Et la nuance clé : selon l'article 25, si vous apposez votre marque sur un système tiers, le modifiez substantiellement ou changez sa finalité jusqu'à le rendre à haut risque, vous devenez fournisseur avec toutes les obligations de l'article 16, même si vous ne l'avez jamais « fabriqué ». Vérifiez votre cas avec le classificateur de risque AI Act, gratuit et sans inscription.

Vous ne savez pas quel rôle vous correspond ni quelles obligations en découlent ? Consultez le service de conformité AI Act.

Combien de rôles l'AI Act reconnaît-il, et en quoi diffèrent-ils ?

L'article 3 du règlement définit chaque rôle par ce que l'entreprise fait avec le système, pas par sa taille ni son secteur. Un fournisseur (art. 3.3) développe un système d'IA ou le fait développer et le met sur le marché ou en service sous son propre nom ou sa propre marque, payant ou gratuit. Un déployeur (art. 3.4) est celui qui utilise le système sous sa propre autorité, sauf usage dans le cadre d'une activité personnelle non professionnelle. Un importateur (art. 3.6) est la personne établie dans l'UE qui met sur le marché européen un système portant le nom d'une entreprise établie hors UE. Un distributeur (art. 3.7) est tout autre maillon de la chaîne d'approvisionnement, autre que fournisseur ou importateur, qui met un système à disposition sur le marché de l'UE.

La plupart des PME espagnoles sont déployeuses : elles contractent un ATS de recrutement, un moteur de scoring ou un chatbot déjà construit par un tiers. Mais il suffit de revendre ce même système sous sa propre marque, de l'intégrer dans son propre produit ou de le faire venir d'un fournisseur hors UE pour que le rôle change — et avec lui, les obligations.

Quelles obligations pour le fournisseur d'un système d'IA à haut risque ?

L'article 16 incombe à celui qui développe le système et le met sur le marché sous sa propre marque. Ses principales obligations, énumérées lettre par lettre dans l'article lui-même :

Presque aucune PME espagnole n'est fournisseur d'un système acheté à un tiers sans le modifier. Si votre entreprise développe un logiciel d'IA qu'elle vend à d'autres entreprises, ou si elle fait l'une des trois choses décrites par l'article 25 ci-dessous, c'est votre rôle — avec les douze obligations ci-dessus.

Que doit faire le déployeur qui utilise un système à haut risque ?

Le déployeur est l'entreprise qui utilise le système sous sa propre autorité — votre PME, si vous contractez un ATS ou un moteur de scoring déjà construit par un tiers. L'article 26 lui impose des obligations qu'il ne peut déléguer au fournisseur :

L'article 27 ajoute une obligation que beaucoup de PME ignorent : les organismes publics, les prestataires de services publics essentiels et les déployeurs de systèmes de crédit ou d'assurance (points 5.b et 5.c de l'annexe III) doivent réaliser une analyse d'impact sur les droits fondamentaux (FRIA) avant la mise en service. Le guide de classification des risques et de l'annexe III détaille quand cette analyse s'applique et ce qu'elle doit documenter.

Quelles obligations pour l'importateur d'un système d'IA ?

L'importateur (art. 3.6) est celui qui met sur le marché de l'UE un système à haut risque portant le nom ou la marque d'une entreprise établie hors de l'Union européenne. C'est un rôle fréquent si votre PME distribue en Espagne un produit doté d'IA d'un fabricant américain, britannique ou asiatique. L'article 23 lui impose, avant de commercialiser le système, de :

Et le distributeur ? (article 24)

Le distributeur (art. 3.7) est tout autre maillon de la chaîne d'approvisionnement — autre que fournisseur ou importateur — qui met un système d'IA à disposition sur le marché de l'UE, généralement un revendeur, un intégrateur de systèmes ou un canal commercial. L'article 24 lui impose de :

Importateur et distributeur partagent une même philosophie — les deux vérifient avant de déplacer le système, les deux surveillent après — mais l'importateur est toujours le premier maillon lorsque le fournisseur est hors UE, avec l'obligation supplémentaire de conserver la documentation pendant 10 ans, que le distributeur n'a pas.

Quand un déployeur, un importateur ou un distributeur devient-il fournisseur ?

C'est la nuance qui déroute le plus les PME, et la plus difficile à corriger après coup : l'article 25 (« Responsabilités le long de la chaîne de valeur de l'IA ») dispose qu'un distributeur, un importateur, un déployeur ou tout autre tiers est considéré comme fournisseur d'un système à haut risque — et devient soumis à toutes les obligations de l'article 16 ci-dessus — dans l'une de ces trois circonstances (art. 25.1) :

  1. Apposition de marque : vous apposez votre nom ou votre marque sur un système à haut risque déjà mis sur le marché ou en service par un autre fournisseur (art. 25.1.a). Exemple : vous achetez un ATS de recrutement générique et le lancez comme produit propre.
  2. Modification substantielle : vous modifiez substantiellement un système à haut risque déjà mis sur le marché, de manière qu'il reste à haut risque (art. 25.1.b). Exemple : vous réentraînez avec vos propres données un modèle de scoring de crédit acheté à un tiers, en changeant significativement son comportement.
  3. Changement de finalité : vous modifiez la finalité d'un système — y compris un système d'IA à usage général (GPAI) — qui n'était pas classé à haut risque et déjà mis sur le marché, au point qu'il le devient (art. 25.1.c). Exemple : vous prenez un modèle de langage générique et l'adaptez pour automatiser des décisions de recrutement.

Si l'un de ces trois cas s'applique à vous, le règlement ne laisse pas de position intermédiaire : vous devenez fournisseur à part entière, avec les douze obligations de l'article 16 — évaluation de conformité, documentation technique, système de gestion de la qualité, enregistrement, marquage CE — même si vous n'avez jamais « créé » le système depuis zéro. Le fournisseur initial est libéré de ces obligations précises, mais l'article 25.2 lui impose de continuer à coopérer étroitement avec le nouveau fournisseur et de mettre à disposition les informations et l'accès technique raisonnablement nécessaires. L'article 25.4 exige que cette coopération soit consignée dans un accord écrit entre les deux parties — sauf si le composant est proposé sous licence libre et open source — et prévoit que l'Office de l'IA puisse publier des modèles de clauses volontaires.

Pour les PME qui intègrent des modèles tiers (GPAI, API de fournisseurs externes) dans leur propre produit, c'est le point de plus grand risque de conformité de tout le cluster : il est facile de franchir la ligne de l'article 25 sans s'en rendre compte, surtout dans le cas (c) de changement de finalité. Le guide GPAI et modèles fondamentaux approfondit le moment où l'intégration d'un modèle à usage général vous transforme en fournisseur « en aval ».

Tableau comparatif des obligations par rôle

RôleArticle cléAvant de commercialiser / utiliserPendant le fonctionnement du systèmePeut-il devenir fournisseur ?
FournisseurArt. 16Évaluation de conformité, documentation technique, système de gestion de la qualité, marquage CE, enregistrement UE.Journaux sous son contrôle, actions correctives, coopération avec les autorités.Il l'est déjà — point de départ.
DéployeurArt. 26-27Désigner une supervision humaine compétente ; le cas échéant, une FRIA (art. 27).Surveiller les données d'entrée, surveiller le fonctionnement, conserver les journaux 6 mois, informer le personnel.Oui — s'il modifie substantiellement le système ou change sa finalité (art. 25.1).
ImportateurArt. 23Vérifier la conformité du fournisseur hors UE, le marquage CE et le mandataire.Conserver la documentation 10 ans, conditions de transport, coopérer avec les autorités.Oui — mêmes cas que l'art. 25.1.
DistributeurArt. 24Vérifier le marquage CE, la déclaration de conformité et les instructions d'utilisation.Conditions de stockage, retrait/rappel en cas de non-conformité détectée.Oui — mêmes cas que l'art. 25.1.

Comment savoir quel est mon rôle, étape par étape ?

Avant d'appliquer l'un des blocs d'obligations ci-dessus, répondez à ces questions dans l'ordre :

  1. Avez-vous développé le système ou l'avez-vous fait développer sous votre marque ? Si oui, vous êtes fournisseur (art. 16) dès l'origine.
  2. L'utilisez-vous tel quel, livré par un tiers, sans le modifier ni y apposer votre marque ? Vous êtes déployeur (art. 26-27).
  3. Le faites-vous entrer dans l'UE avec la marque d'une entreprise hors Union ? Vous êtes importateur (art. 23), en plus de déployeur si vous l'utilisez aussi.
  4. Le commercialisez-vous en Espagne sans être celui qui l'a développé ni celui qui l'a importé ? Vous êtes distributeur (art. 24).
  5. Avez-vous apposé votre marque, modifié substantiellement le système ou changé sa finalité jusqu'à le rendre à haut risque ? Vous devenez fournisseur (art. 25), quel que soit votre rôle de départ.

Le classificateur de risque AI Act vous guide à travers ces questions en même temps que la classification de votre système, gratuitement et sans inscription. Pour le RGPD, l'ENS, NIS2 ou DORA, l'assistant « quelle réglementation s'applique à moi ? » répond en 10 questions.

Vous préférez déterminer votre rôle ensemble et repartir avec un plan d'action par article ? Réservez une session de diagnostic.

Le Digital Omnibus change-t-il la répartition des rôles ?

Pas directement. Le Digital Omnibus sur l'IA (COM(2025) 836, procédure 2025/0359(COD)), adopté par le Conseil de l'UE le 29 juin 2026 et signé le 8 juillet 2026, reporte le calendrier d'application de l'annexe III au 2 décembre 2027 et de l'annexe I au 2 août 2028 — mais il ne touche pas le texte des articles 16, 23, 24, 25, 26 ni 27, qui définissent les rôles et leurs obligations sans date d'expiration propre. Ce qui change avec le report, c'est quand ces obligations deviennent exigibles pour un système donné de l'annexe III, pas qui doit respecter chaque bloc.

À la date de ce guide, l'Omnibus reste en attente de publication au Journal officiel de l'UE, donc la date applicable aux systèmes à haut risque de l'annexe III est le 2 août 2026 (art. 113), et non décembre 2027. Le calendrier complet — y compris ce qui est déjà en vigueur aujourd'hui sans exception : pratiques interdites depuis février 2025, obligations GPAI depuis août 2025, transparence de l'article 50 inchangée — figure dans AI Act 2026 : le calendrier de conformité après le Digital Omnibus.