Fournisseur

Un fournisseur au sens du EU AI Act est toute personne physique ou morale, autorité publique, agence ou autre organisme qui développe un système d'IA (ou le fait développer) en vue de le mettre sur le marché ou de le mettre en service sous son propre nom ou sa marque, gratuitement ou contre paiement. Les fournisseurs supportent les obligations de conformité les plus complètes, car ils sont responsables de garantir que le système respecte toutes les exigences applicables, de la conception au déploiement.

Le rôle de fournisseur porte la charge réglementaire la plus lourde. Les articles 8 à 25 fixent des obligations étendues pour les fournisseurs de systèmes à haut risque : mise en place de systèmes de gestion des risques, gouvernance des données, documentation technique, conception de la supervision humaine, atteinte de niveaux appropriés de précision et de robustesse, évaluations de conformité et surveillance après commercialisation. Beaucoup d'organisations deviennent fournisseurs sans s'en rendre compte. La définition inclut non seulement les entreprises qui entraînent des modèles from scratch, mais aussi celles qui modifient substantiellement des systèmes existants, intègrent des composants IA dans des produits ou services sous leur propre marque, ou commanditent un développement sur mesure à des tiers. Utiliser un modèle de fondation d'OpenAI, Anthropic ou autre n'exonère pas une organisation du statut de fournisseur si elle construit une couche applicative et l'offre à des utilisateurs. Comprendre la distinction entre fournisseur et déployeur est essentiel : les fournisseurs sont responsables du système lui-même ; les déployeurs utilisent des systèmes créés par d'autres. Une même organisation peut être fournisseur pour certains systèmes et déployeur pour d'autres.

Les organisations doivent d'abord évaluer honnêtement leur statut de fournisseur sur l'ensemble des systèmes d'IA qu'elles développent, personnalisent ou offrent. Questions clés : proposez-vous des capacités IA à d'autres sous votre nom ou votre marque ? Avez-vous substantiellement modifié un système tiers ? Commanditez-vous un développement IA que vous déploierez ou distribuerez ensuite ?

Les obligations des fournisseurs sont lourdes en ressources. Les systèmes de gestion des risques doivent être établis et maintenus tout au long du cycle de vie. La documentation technique de l'annexe IV exige des enregistrements détaillés des choix de conception, des données d'entraînement, des résultats de test et des paramètres opérationnels. Les systèmes de gestion de la qualité doivent assurer une conformité continue. Les mécanismes de supervision humaine doivent être conçus dans l'architecture. L'évaluation de la conformité, interne ou via un organisme notifié, doit être réalisée avant la mise sur le marché. Les processus de surveillance après commercialisation et de notification d'incidents doivent être opérationnels. Pour les fournisseurs de systèmes à haut risque, la conformité ne peut pas être une réflexion a posteriori : elle doit être intégrée dès le départ dans le cycle de développement. La documentation doit être produite au fil de l'eau, pas reconstituée. Les tests doivent être complets et tracés. La supervision humaine doit être architecturée dans le design.