Ma PME est-elle « fournisseur » ou « déployeur » au sens de l'AI Act ?

Dans la grande majorité des cas, une PME qui utilise une API de modèle tiers (Claude, GPT, Mistral) pour bâtir son produit est un « déployeur », pas un « fournisseur » du modèle. Le fournisseur du modèle GPAI est l'éditeur (Anthropic, OpenAI, Mistral). Attention toutefois : si vous modifiez substantiellement un modèle, le ré-entraînez ou le commercialisez sous votre marque comme système d'IA, vous pouvez basculer dans le rôle de fournisseur et hériter de ses obligations. La frontière dépend de ce que vous faites du modèle, pas seulement du fait de l'utiliser.

Que dois-je exiger contractuellement de mon fournisseur d'API IA ?

Quatre éléments minimum : (1) une attestation que le modèle est conforme aux obligations GPAI de l'AI Act ; (2) l'accès à la documentation technique et au résumé des données d'entraînement que le fournisseur doit produire ; (3) des informations sur les capacités et limites du modèle pour respecter votre propre obligation de transparence ; (4) une clause de coopération en cas de contrôle d'une autorité. Ces éléments doivent figurer dans le contrat ou les conditions d'utilisation, pas rester implicites.

Quelles sanctions en cas de non-conformité pour une PME ?

Les sanctions de l'AI Act peuvent atteindre des montants élevés (jusqu'à 7 % du chiffre d'affaires mondial ou 35 M€ pour les infractions les plus graves), mais le règlement prévoit que pour les PME et les startups, le plafond retenu est le plus faible entre le pourcentage du chiffre d'affaires et le montant fixe. Le risque pratique pour une PME déployeuse n'est pas tant l'amende maximale que l'effet en cascade : un fournisseur non conforme vous expose, d'où l'intérêt de sécuriser la chaîne par contrat.

AI Act : les clauses GPAI à exiger de vos fournisseurs d'API en 2026

L’échéance du 2 août 2026 concentre l’attention sur les chatbots et les systèmes à haut risque. Mais il existe un angle mort pour les PME : la conformité de vos fournisseurs d’IA. Si votre produit s’appuie sur une API de modèle tiers — et c’est le cas de l’immense majorité des PME — vous héritez d’une responsabilité indirecte. Un fournisseur non conforme fragilise toute votre chaîne. Voici comment sécuriser cette dépendance par le contrat.

Le calendrier : ce qui s’applique vraiment et quand

L’AI Act (règlement UE 2024/1689) s’applique par vagues. Deux dates structurent la question GPAI :

2 août 2025 — les obligations des modèles à usage général (GPAI) entrent en application. Les fournisseurs de ces modèles doivent produire une documentation technique, un résumé des données d’entraînement, et — pour les modèles à risque systémique — des évaluations renforcées.
2 août 2026 — l’AI Act devient pleinement applicable : obligations sur les systèmes à haut risque (annexe III) et obligations de transparence pleinement opposables.

Le point crucial : les obligations GPAI ne sont pas une nouveauté de 2026. Elles courent déjà depuis un an. Ce qui change au 2 août 2026, c’est que l’ensemble de l’édifice devient opposable, contrôles et sanctions inclus.

Fournisseur ou déployeur : la distinction qui change tout

L’AI Act répartit les rôles. Deux comptent pour une PME :

Le fournisseur (provider) : celui qui développe le système ou le modèle et le met sur le marché. Pour un GPAI, c’est l’éditeur — Anthropic, OpenAI, Mistral, Google.
Le déployeur (deployer) : celui qui utilise un système d’IA sous sa propre autorité. C’est le rôle de la plupart des PME qui consomment une API.

La frontière n’est pas figée. Vous pouvez basculer du statut de déployeur à celui de fournisseur si vous :

modifiez substantiellement le modèle (fine-tuning lourd, ré-entraînement) ;
commercialisez le système sous votre propre marque comme produit d’IA ;
changez la finalité prévue du système.

Concrètement : appeler l’API Claude depuis votre SaaS vous laisse déployeur. Repackager un modèle open-weights sous votre marque vous fait potentiellement fournisseur — avec les obligations qui vont avec. Cette nuance, nous l’avions effleurée dans notre dossier AI Act et obligations PME 2026 ; elle mérite ici un traitement contractuel précis.

Les 4 clauses GPAI à exiger de votre fournisseur

En tant que déployeur, vous ne pouvez pas vous substituer à la conformité de votre fournisseur — mais vous pouvez (et devez) l’exiger contractuellement. Voici les quatre clauses à intégrer.

1. Attestation de conformité GPAI

Une déclaration explicite que le modèle respecte les obligations GPAI de l’AI Act. Sans elle, vous bâtissez sur du sable : vous ne pourrez pas démontrer la conformité de votre propre chaîne en cas de contrôle.

2. Accès à la documentation technique

Le fournisseur GPAI doit produire une documentation technique et un résumé des données d’entraînement. Exigez d’y avoir accès — au moins aux éléments nécessaires à votre propre obligation de transparence vis-à-vis de vos utilisateurs.

3. Information sur capacités et limites

Pour respecter l’article 50 (transparence) lorsque votre produit interagit avec des personnes, vous devez connaître les capacités et limites du modèle. Cette information doit vous être fournie — elle conditionne ce que vous pouvez honnêtement promettre à vos clients.

4. Clause de coopération en cas de contrôle

En cas d’enquête d’une autorité, fournisseur et déployeur doivent coopérer. Une clause prévoyant cette assistance évite que vous vous retrouviez seul face à un régulateur sur un sujet qui relève du fournisseur.

Ce que font (déjà) les grands fournisseurs

Bonne nouvelle pour les PME : les éditeurs majeurs anticipent. Anthropic, OpenAI et Mistral publient des centres de conformité, des engagements RGPD et, de plus en plus, des éléments relatifs à l’AI Act. Lors du choix d’un fournisseur, intégrez la maturité conformité comme critère, au même titre que le prix et la performance — un point que nous avions abordé sous l’angle coût dans le comparateur des coûts API IA juin 2026.

La question n’est donc pas « mon fournisseur est-il conforme ? » mais « ai-je documenté et contractualisé cette conformité ? ». La différence est toute la valeur d’un dossier de conformité présentable.

Checklist de mise en conformité du déployeur PME

Au-delà des clauses fournisseur, vos obligations propres de déployeur :

Obligation déployeur	Action concrète
Vérifier la conformité du fournisseur	Obtenir l’attestation GPAI + documentation
Transparence vis-à-vis des utilisateurs	Signaler l’usage d’IA (art. 50) si interaction
Supervision humaine	Prévoir un contrôle humain sur les décisions sensibles
Documentation des usages	Tenir un registre des systèmes d’IA déployés
Formation des équipes	Sensibiliser à l’AI literacy (obligation depuis février 2025)

Pour le volet transparence côté chatbot, notre checklist transparence chatbot 2 août 2026 détaille la mise en œuvre opérationnelle. Et si votre stack implique des agents et du MCP, les risques spécifiques sont traités dans prompt injection Claude et MCP en PME.

FAQ

Mon fournisseur d’API est conforme : suis-je automatiquement en règle ?

Non. La conformité de votre fournisseur GPAI est une condition nécessaire mais pas suffisante. En tant que déployeur, vous avez vos propres obligations : transparence vis-à-vis des utilisateurs (art. 50), supervision humaine des décisions sensibles, documentation des usages, formation des équipes. La conformité du fournisseur doit en outre être documentée et contractualisée de votre côté pour être opposable en cas de contrôle.

Depuis quand les obligations GPAI s’appliquent-elles ?

Depuis le 2 août 2025. Les fournisseurs de modèles à usage général doivent depuis cette date produire une documentation technique, un résumé des données d’entraînement, et — pour les modèles à risque systémique — des évaluations renforcées. Le 2 août 2026 marque l’application pleine et entière du règlement, avec les obligations haut risque et transparence pleinement opposables et les contrôles associés.

Que se passe-t-il si je fine-tune un modèle open-weights ?

Vous risquez de basculer du statut de déployeur à celui de fournisseur. Une modification substantielle (fine-tuning lourd, ré-entraînement), une commercialisation sous votre marque ou un changement de finalité prévue peuvent vous faire hériter des obligations de fournisseur. Un appel d’API classique vous laisse déployeur ; un repackaging sous votre marque vous expose davantage. En cas de doute, faites qualifier votre situation.

Combien de temps faut-il pour se mettre en conformité ?

Pour une PME déployeuse qui anticipe, le coût est faible : obtenir les attestations fournisseur, ajouter les mentions de transparence, formaliser un registre et former les équipes se fait en quelques semaines. Le vrai risque est de découvrir l’échéance trop tard ou de présumer que la conformité du fournisseur suffit. Anticiper avant le 2 août 2026 transforme une contrainte en avantage commercial (un dossier de conformité rassure vos propres clients).

Pour replacer cette échéance dans l’ensemble du calendrier AI Act, lisez nos obligations PME 2026 et la checklist transparence chatbot. Côté sécurité de la chaîne d’agents, notre dossier sécurité des agents IA en production 2026 complète l’angle contractuel par l’angle technique.

Note : cet article est informatif et ne constitue pas un conseil juridique. Pour qualifier précisément votre rôle (fournisseur/déployeur) ou rédiger vos clauses, consultez un avocat spécialisé et la documentation officielle de la Commission européenne.