Conformité à l'AI Act de l'UE si vous utilisez l'API d'OpenAI
# Conformité à l'AI Act de l'UE si vous utilisez l'API d'OpenAI
Vous appelez l'API d'OpenAI. GPT génère du texte dans votre produit. Vos utilisateurs voient les sorties. Vous n'avez pas entraîné un modèle. Vous n'avez pas construit un système d'IA de zéro. Vous effectuez simplement des appels API.
Vous avez néanmoins des obligations au titre de l'AI Act de l'UE. Voici lesquelles et comment les gérer.
Votre rôle au titre du règlement
Vous êtes un déployeur. OpenAI est le fournisseur du modèle d'IA à usage général. Vous le déployez dans votre produit sous votre marque et sous votre autorité. L'AI Act de l'UE impose des obligations à la fois aux fournisseurs et aux déployeurs, et les vôtres ne disparaissent pas parce que le modèle appartient à quelqu'un d'autre.
Cela s'applique de la même manière si vous utilisez Claude d'Anthropic, Gemini de Google, Mistral, Cohere, ou tout autre modèle d'IA tiers via une API.
Ce qui vous est applicable
Transparence au titre de l'article 50 (obligatoire pour presque tout SaaS utilisant l'IA)
Si votre produit fait l'une des choses suivantes, vous devez en informer vos utilisateurs :
Chatbot ou IA conversationnelle (article 50, paragraphe 1) : Les utilisateurs doivent savoir qu'ils interagissent avec une IA avant le début de la conversation. Un avis visible dans ou au-dessus de l'interface de chat. Pas dans vos Conditions d'utilisation. Pas dans un article d'aide. Dans l'interface utilisateur, au point d'interaction.
Texte, images, audio ou vidéo générés par l'IA (article 50, paragraphe 2) : Les sorties doivent être marquées comme générées par l'IA dans un format lisible par machine. Ajoutez data-ai-generated="true" à l'élément conteneur. Si votre produit génère des images ou des vidéos, les métadonnées C2PA constituent la norme émergente.
Hypertrucages (article 50, paragraphe 4) : Si votre produit crée ou modifie des images ou des vidéos représentant des personnes réelles, le contenu doit comporter une divulgation visible et lisible par machine.
Reconnaissance des émotions ou catégorisation biométrique (article 50, paragraphe 3) : Si votre produit analyse les expressions faciales, le ton de la voix, ou catégorise les utilisateurs à partir de données biométriques, vous devez en informer les utilisateurs avant le début du traitement et obtenir leur confirmation.
La plupart des produits SaaS utilisant l'API d'OpenAI entrent dans la catégorie 1 (chatbot) ou la catégorie 2 (contenu généré) ou les deux. La mise en œuvre de ces divulgations prend des heures, pas des semaines.
Vérification au titre de l'annexe III pour les systèmes à haut risque (dépend de votre cas d'usage)
L'appel API en lui-même n'est pas à haut risque. Ce qui importe, c'est ce que votre produit fait avec les sorties. Si votre SaaS utilise GPT pour :
- Filtrer des candidats à l'emploi ou classer des CV (annexe III, point 4(a)) : haut risque
- Évaluer la solvabilité ou fixer des primes d'assurance (annexe III, point 5(b)) : haut risque
- Trier des patients ou assister au diagnostic médical (annexe III, point 1(a)) : haut risque
- Prendre des décisions relatives à l'accès à l'éducation (annexe III, point 3(a)) : haut risque
- Assister les services répressifs dans le profilage (annexe III, point 6) : haut risque
Si votre cas d'usage figure dans cette liste, vous avez des obligations de déployeur pour un système d'IA à haut risque. Cela implique une surveillance humaine, la journalisation, le suivi, la notification d'incidents, et éventuellement une analyse d'impact sur les droits fondamentaux.
Si votre produit utilise GPT pour la génération de contenu, la synthèse, la traduction ou le support client, lorsque les sorties ne conduisent pas à des décisions autonomes affectant les droits des personnes, vous n'êtes probablement pas dans le périmètre à haut risque. La transparence au titre de l'article 50 est votre obligation principale.
Conservation des enregistrements
L'article 26, paragraphe 6, impose aux déployeurs de systèmes d'IA à haut risque de conserver les journaux générés par le système pendant au moins 6 mois. Même si vous n'êtes pas à haut risque, conserver des enregistrements de vos interactions avec l'IA est une bonne pratique. Lorsqu'une autorité de régulation ou un client professionnel demande comment fonctionnent vos fonctionnalités d'IA, vous devez disposer d'une documentation prête.
Ce qu'OpenAI gère par rapport à ce que vous gérez
OpenAI en tant que fournisseur du modèle gère :
- Les obligations relatives au modèle d'IA à usage général (articles 51 à 56)
- L'évaluation des risques systémiques si le modèle remplit les conditions (article 55)
- La documentation technique du modèle lui-même
- La notification des incidents graves liés au modèle
Vous en tant que déployeur gérez :
- Les divulgations de transparence dans l'interface utilisateur de votre produit
- La classification au titre de l'annexe III pour votre cas d'usage spécifique
- La surveillance humaine et le suivi
- La journalisation et la conservation des enregistrements
- La notification des incidents survenant dans votre déploiement
- L'analyse d'impact sur les droits fondamentaux, le cas échéant
- Les réponses aux demandes des clients et des autorités de régulation concernant votre conformité
La publication par OpenAI de leurs fiches de modèles et de leur documentation système ne satisfait pas vos obligations en tant que déployeur. Vous avez besoin de votre propre documentation de conformité, spécifique à la manière dont vous utilisez le modèle dans votre produit.
Liste de contrôle pour la mise en œuvre
- Auditez vos fonctionnalités d'IA. Recensez chaque endroit où votre produit appelle l'API d'OpenAI. Notez la nature des entrées, des sorties, et la façon dont les utilisateurs les voient.
- Ajoutez les divulgations au titre de l'article 50. Pour chaque fonctionnalité d'IA, ajoutez l'avis de transparence approprié dans votre interface utilisateur. Avis de chatbot pour les fonctionnalités conversationnelles. Étiquettes « généré par l'IA » pour les sorties de contenu. Il s'agit d'un travail de copier-coller.
- Effectuez la vérification au titre de l'annexe III. Pour chaque fonctionnalité d'IA, vérifiez si le cas d'usage figure à l'annexe III. Si c'est le cas, vous avez des obligations supplémentaires en tant que déployeur. Si ce n'est pas le cas, vous avez terminé après la transparence.
- Documentez tout. Rédigez un résumé d'une page de vos fonctionnalités d'IA, de votre raisonnement de classification et des divulgations que vous avez mises en œuvre. C'est ce que vous remettez aux clients professionnels et aux autorités de régulation.
- Mettez en place un suivi. Décidez comment vous détecterez les incidents liés à l'IA et y répondrez. Pour la plupart des SaaS, cela implique de journaliser les interactions avec l'IA et de disposer d'un processus pour notifier les incidents graves.
L'échéance
2 août 2026. Les obligations de transparence au titre de l'article 50 et les obligations des déployeurs de systèmes à haut risque deviennent applicables à cette date. Il vous reste 60 jours.
Le travail de mise en œuvre pour un SaaS type utilisant l'API d'OpenAI est limité. Les divulgations de transparence prennent une journée. La classification prend une heure. La documentation prend une après-midi. Le faire maintenant ne coûte presque rien. Le faire après le début de l'application coûte à votre pipeline commercial chaque semaine de retard.
Ressources
Liste de contrôle de conformité open source avec le code de divulgation au titre de l'article 50 et le classificateur de l'annexe III : github.com/GatisOzols/eu-ai-act-checklist
Audit de périmètre fixe au titre de l'AI Act de l'UE pour les SaaS, 997 EUR, 5 jours ouvrés : disclos.eu/audit
Last updated: 2026-06-04