Fournisseur vs déployeur au sens du règlement européen sur l'IA : quel est le statut de votre SaaS

# Fournisseur vs déployeur au sens du règlement européen sur l'IA : quel est le statut de votre SaaS

Le règlement européen sur l'IA impose des obligations différentes selon que vous êtes fournisseur ou déployeur d'un système d'IA. La plupart des entreprises SaaS sont l'un ou l'autre. Certaines sont les deux à la fois. Se tromper de catégorie signifie soit trop de travail de conformité, soit — ce qui est pire — pas assez.

Les définitions

Fournisseur (Article 3(3)) : Toute personne physique ou morale qui développe un système d'IA ou un modèle d'IA à usage général et le met sur le marché ou le met en service sous son propre nom ou sa propre marque.

Déployeur (Article 3(4)) : Toute personne physique ou morale qui utilise un système d'IA sous son autorité, sauf lorsque ce système d'IA est utilisé dans le cadre d'une activité personnelle à caractère non professionnel.

En termes simples : si vous avez construit le système d'IA, vous êtes probablement fournisseur. Si vous utilisez le système d'IA d'un tiers au sein de votre produit, vous êtes probablement déployeur.

Comment les entreprises SaaS se classifient généralement

Vous êtes fournisseur si :

Vous êtes déployeur si :

Vous pourriez être les deux si :

Pourquoi cela est important

Les fournisseurs ont des obligations plus lourdes que les déployeurs. Pour les systèmes d'IA à haut risque (Annexe III), les fournisseurs doivent :

Les déployeurs de systèmes à haut risque ont un ensemble d'obligations moins lourd, mais réel :

S'agissant des obligations de transparence prévues à l'Article 50, fournisseurs et déployeurs ont tous deux des obligations. Si votre produit intègre un chatbot, génère du contenu, crée des hypertrucages (deepfakes) ou effectue une reconnaissance des émotions, vous devez en informer les utilisateurs, que vous soyez fournisseur ou déployeur.

L'erreur courante

La plupart des entreprises SaaS qui appellent l'API d'OpenAI supposent qu'elles n'ont aucune obligation parce qu'elles n'ont pas développé le modèle. C'est une erreur.

Si votre SaaS utilise un modèle d'IA tiers et que vous le déployez d'une manière qui relève de l'Annexe III (par exemple, utiliser l'IA pour sélectionner des candidats à un emploi, évaluer la solvabilité ou trier des demandes d'assurance), vous êtes déployeur d'un système d'IA à haut risque. Les obligations du déployeur s'appliquent à vous.

Et si votre produit encapsule l'appel d'API dans un système qui prend des décisions de manière autonome, vous avez peut-être franchi la frontière entre déployeur et fournisseur pour le système dans son ensemble, même si vous n'avez pas entraîné le modèle sous-jacent.

Comment déterminer votre classification

Étape 1 : Recensez toutes les fonctionnalités d'IA de votre produit. Incluez chaque appel d'API à un service d'IA, chaque modèle que vous exécutez, chaque décision automatisée faisant appel à l'IA.

Étape 2 : Pour chaque fonctionnalité, demandez-vous : avez-vous développé ce système d'IA, ou utilisez-vous un système développé par un tiers ?

Étape 3 : Vérifiez si vous avez suffisamment modifié un système tiers pour devenir fournisseur d'un nouveau système. L'affinage (fine-tuning), l'ajout d'une génération augmentée par récupération (retrieval augmented generation) ou la construction d'un agent autonome autour d'un appel d'API peut franchir cette limite.

Étape 4 : Pour chaque fonctionnalité, vérifiez si elle relève d'une catégorie de l'Annexe III. Si c'est le cas, la distinction fournisseur/déployeur détermine vos obligations de conformité spécifiques.

Étape 5 : Documentez votre raisonnement de classification. C'est ce que vous présentez à un régulateur ou à un client entreprise qui vous le demande.

Exemples

Exemple 1 : SaaS avec assistance client par chat alimentée par l'IA

Vous utilisez l'API Claude d'Anthropic pour alimenter un chatbot d'assistance dans votre produit. Vous n'avez pas entraîné ni affiné le modèle.

Classification : Déployeur. Anthropic est le fournisseur du modèle d'IA à usage général. Vous le déployez en tant que chatbot.

Obligations : Obligation de transparence au titre de l'Article 50(1) (informer les utilisateurs qu'ils interagissent avec une IA). Si le chatbot prend des décisions affectant les droits des utilisateurs ou leur accès à des services, consultez l'Annexe III pour vérifier si une classification à haut risque s'applique.

Exemple 2 : SaaS avec sélection de CV par IA

Vous avez développé un algorithme de notation qui utilise l'IA pour classer les candidats à un emploi. Vous avez entraîné le modèle sur des données historiques de recrutement.

Classification : Fournisseur d'un système d'IA à haut risque. La sélection de CV relève de l'Annexe III, point 4(a) (systèmes d'IA utilisés pour filtrer les candidatures ou évaluer les candidats dans le cadre du recrutement).

Obligations : Ensemble des obligations du fournisseur pour les systèmes à haut risque. Gestion des risques, gouvernance des données, documentation technique, évaluation de la conformité.

Exemple 3 : SaaS utilisant OpenAI pour générer du contenu marketing

Vous utilisez GPT pour générer des textes publicitaires et des publications sur les réseaux sociaux pour vos utilisateurs.

Classification : Déployeur. OpenAI est le fournisseur du modèle. Vous le déployez à des fins de génération de contenu.

Obligations : Transparence au titre de l'Article 50(2). Marquez le contenu généré par l'IA avec des métadonnées lisibles par machine indiquant qu'il a été généré par une IA.

Que faire ensuite

Classifiez chaque fonctionnalité d'IA de votre produit. Notez si vous êtes fournisseur ou déployeur pour chacune d'elles. Consultez l'Annexe III. Mettez ensuite en œuvre les obligations correspondant à votre rôle.

Si vous souhaitez un parcours structuré, notre liste de vérification open source couvre l'ensemble des 47 points de conformité : github.com/GatisOzols/eu-ai-act-checklist

Si vous souhaitez que quelqu'un effectue la classification à votre place et vous remette un rapport de conformité sous 5 jours ouvrés : disclos.eu/audit

Last updated: 2026-06-04