Guide de conformité à l'AI Act européen

Obligations fournisseur vs déployeur dans l'AI Act : ce que votre organisation doit réellement faire

Mis à jour le 2026-06-23
Points clés : Priverion est une plateforme GRC hébergée en Suisse qui aide les organisations à gérer les obligations de fournisseur et de déployeur de l'AI Act européen au sein de groupes d'entreprises multi-entités.

L'AI Act européen attribue des obligations fondamentalement différentes selon que vous êtes classé comme fournisseur ou comme déployeur, et se tromper ne se résume pas à de la non-conformité. Cela signifie construire les mauvais processus internes, mobiliser les mauvaises équipes et gaspiller des mois d'efforts. Ce guide détaille précisément ce que chaque rôle exige, où ils se recoupent, et comment les organisations multi-entités peuvent opérationnaliser leur conformité sans se noyer dans les tableurs.

Téléchargez la checklist des obligations fournisseur vs déployeur

PDF gratuit, sans démonstration requise. Une simple adresse e-mail professionnelle suffit.

Plateforme hébergée en Suisse Infrastructure alignée sur l'ISO 27001 La confiance des entreprises gérant plus de 50 entités Conformité assistée par l'IA, décidée par l'humain Aucune donnée client utilisée pour l'entraînement des modèles
Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo

Côte à côte : ce que l'AI Act exige de chaque rôle

Les obligations divergent considérablement. Ce tableau couvre les systèmes d'IA à haut risque au sens de l'AI Act européen (règlement 2024/1689). Votre première étape consiste à savoir quelle colonne s'applique à votre organisation, et dans les groupes multi-entités, la réponse est souvent : les deux.

Domaine d'obligation Obligations du fournisseur Obligations du déployeur
Système de gestion des risques Mettre en place et maintenir un système de gestion des risques tout au long du cycle de vie du système d'IA (article 9). Doit identifier, analyser et atténuer les risques prévisibles. Surveiller le système d'IA en fonctionnement et signaler les risques au fournisseur. Aucune obligation de bâtir votre propre système de gestion des risques, mais vous devez suivre les instructions du fournisseur.
Documentation technique Tenir une documentation couvrant les 11 domaines de l'annexe IV, notamment l'architecture du système, les données d'entraînement, les indicateurs de précision, les mesures de cybersécurité et davantage. Doit être prête pour un audit. Aucune obligation de créer une documentation technique. Vous devez conserver les journaux générés automatiquement par le système et les mettre à la disposition des autorités sur demande.
Évaluation de la conformité Réaliser une évaluation de la conformité avant la mise sur le marché du système. Auto-évaluation pour la plupart des systèmes ; évaluation par un tiers pour les systèmes d'identification biométrique. Aucune évaluation de la conformité requise. Toutefois, vous devez vérifier que le fournisseur a effectué la sienne et que le système porte le marquage CE.
Gestion de la qualité Mettre en place un système de gestion de la qualité couvrant la conception, le développement, les tests et la surveillance après commercialisation (article 17). Documenter les politiques et procédures. Aucune obligation de système de gestion de la qualité. Les déployeurs doivent veiller à ce que le système soit utilisé conformément aux instructions d'utilisation du fournisseur.
Supervision humaine Concevoir le système de manière à permettre une supervision humaine effective. Fournir des instructions sur la façon dont les déployeurs doivent mettre en œuvre les mesures de supervision. Désigner des personnes formées et compétentes pour superviser le système d'IA. Elles doivent pouvoir comprendre les capacités et les limites du système et intervenir lorsque nécessaire.
Analyse d'impact sur les droits fondamentaux Non requise des fournisseurs. Toutefois, les fournisseurs doivent fournir suffisamment d'informations pour que les déployeurs puissent mener leurs analyses. Requise avant la première utilisation pour les systèmes à haut risque dans l'emploi, l'évaluation de solvabilité, les services essentiels, le maintien de l'ordre et la gestion migratoire (article 27).
Notification des incidents Notifier les incidents graves aux autorités de surveillance du marché. Mettre en place des systèmes de surveillance après commercialisation proportionnés au niveau de risque du système. Notifier les incidents graves au fournisseur et, le cas échéant, aux autorités de surveillance du marché. Doit suspendre l'utilisation si le système présente un risque.
Transparence Veiller à ce que le système soit conçu pour la transparence. Fournir aux déployeurs des instructions d'utilisation claires, incluant la destination prévue, les limites et les risques connus. Informer les personnes concernées qu'elles sont soumises à un système d'IA à haut risque. Obligations de transparence supplémentaires pour les systèmes de reconnaissance des émotions et de catégorisation biométrique.
Enregistrement dans la base de données de l'UE Enregistrer le système d'IA à haut risque dans la base de données de l'UE avant sa mise sur le marché (article 49). Enregistrer leur utilisation du système d'IA à haut risque dans la base de données de l'UE avant sa mise en service (article 49).
Surveillance après commercialisation Mettre en place un système de surveillance après commercialisation proportionné à la nature et au risque du système d'IA. Collecter et analyser les données tout au long du cycle de vie du système. Surveiller le fonctionnement et signaler au fournisseur les anomalies, dysfonctionnements ou risques inattendus. Aucune obligation de bâtir un système de surveillance formel.

Source : AI Act européen, règlement (UE) 2024/1689, titres III et IV. Le tableau couvre les obligations relatives aux systèmes d'IA à haut risque. Les obligations relatives aux modèles d'IA à usage général (titre III A) constituent des exigences distinctes pour les fournisseurs de modèles d'IA à usage général.

Comment Priverion opérationnalise la conformité à l'AI Act dans l'ensemble de votre groupe

Gérer les obligations de fournisseur et de déployeur au sein de plusieurs filiales et juridictions demande bien plus que des tableurs. Ces capacités sont spécialement conçues pour la complexité à laquelle vous êtes réellement confronté.

Classification

Registre IA pour la classification fournisseur et déployeur

Associez chaque système d'IA de votre groupe à sa classification correcte (fournisseur, déployeur ou les deux) au niveau de chaque entité. Lorsqu'une filiale affine un modèle et passe du statut de déployeur à celui de fournisseur en vertu de l'article 25, Priverion signale le reclassement et fait remonter automatiquement les nouvelles obligations. Fini les suppositions enfouies dans des tableurs que personne ne vérifie.

Utilisé par des organisations gérant plus de 50 entités dans plusieurs juridictions

D'après les déploiements de clients Priverion, 2024

Analyses d'impact

AIPD et analyses d'impact sur les droits fondamentaux assistées par l'IA

Les déployeurs d'IA à haut risque dans l'emploi, l'évaluation de solvabilité ou le maintien de l'ordre doivent réaliser des analyses d'impact sur les droits fondamentaux avant tout déploiement. La rédaction assistée par l'IA de Priverion génère des premières versions structurées avec une notation des risques alignée sur les catégories de l'annexe III, puis votre équipe de conformité revoit, affine et approuve. L'IA assiste, l'humain décide. Aucune donnée client n'est utilisée pour l'entraînement des modèles.

Une entreprise de technologie médicale a économisé plus de 200 heures dans sa préparation à l'ISO 27001 grâce aux flux de travail d'évaluation de Priverion

Étude de cas d'une entreprise de technologie médicale, 12 premiers mois de déploiement

Documentation

Documentation technique de l'annexe IV : 11 domaines, prête pour l'audit

Les fournisseurs d'IA à haut risque doivent tenir une documentation technique couvrant 11 domaines spécifiques au titre de l'annexe IV, de l'architecture du système à la méthodologie des données d'entraînement en passant par les indicateurs de précision. Priverion structure cette documentation par système d'IA et par entité, suit son exhaustivité en temps réel et génère des dossiers de preuves prêts pour l'audit à destination des autorités de surveillance en quelques minutes, et non en quelques semaines.

11 domaines de documentation technique requis par l'annexe IV de l'AI Act pour les fournisseurs d'IA à haut risque

AI Act européen, règlement 2024/1689, annexe IV

Surveillance

Flux de surveillance après commercialisation et de notification des incidents

Les fournisseurs doivent mettre en place des systèmes de surveillance après commercialisation proportionnés au niveau de risque du système d'IA. Les déployeurs doivent surveiller le fonctionnement et notifier les incidents graves. Priverion centralise la gestion des incidents au sein de chaque filiale. Des flux de travail structurés acheminent les incidents vers les bonnes équipes, font respecter les délais de réponse et maintiennent la traçabilité documentaire attendue par les autorités de surveillance.

Risque fournisseur

Évaluations des fournisseurs d'IA tiers et cartographie des obligations

Lorsque vous déployez un système d'IA tiers, vos obligations de déployeur ne disparaissent pas parce que le fournisseur gère l'aspect technique. Les flux d'évaluation des risques fournisseurs de Priverion évaluent vos fournisseurs d'IA au regard des exigences de l'AI Act (pratiques de gouvernance des données, dispositions de transparence, conception de la supervision humaine) afin que vous puissiez vérifier que le système que vous déployez respecte réellement les standards que la réglementation attend de vous.

Un établissement de santé a atteint une couverture de 100 % de ses évaluations des risques fournisseurs avec Priverion

Référence client d'un établissement de santé, 2024

Visibilité de groupe

Tableau de bord de conformité inter-entités : prêt pour le conseil en temps réel

Votre RSSI a besoin d'une vue unique sur chaque système d'IA, chaque filiale et chaque juridiction, indiquant quels systèmes sont classés, quelles évaluations sont achevées, quelles obligations restent en suspens et où se situe l'exposition au risque. Les tableaux de bord de conformité de Priverion offrent cette vue sans qu'il faille consolider les rapports de douze unités opérationnelles différentes dans une présentation la veille de la réunion du conseil d'administration.

Un constructeur aéronautique a réduit de 60 % le temps consacré à l'administration de la conformité durant ses 6 premiers mois

Étude de cas d'un constructeur aéronautique, 6 premiers mois après déploiement

Toutes les données sont traitées au sein d'une infrastructure suisse. Conçu en Suisse et hébergé en Suisse. Dans un monde post-Schrems II, ce n'est pas une case marketing à cocher. C'est une exigence légale pour les transferts transfrontaliers de données.


Téléchargez la checklist fournisseur vs déployeur

200+

Heures économisées sur la préparation de la conformité

Une entreprise de technologie médicale a économisé plus de 200 heures dans sa préparation à l'ISO 27001 en remplaçant le suivi manuel par des flux de recertification automatisés, sur les 12 premiers mois.

60%

Réduction du temps d'administration de la conformité

Un constructeur aéronautique a obtenu une réduction de 60 % du temps d'administration de la conformité dès ses 6 premiers mois en automatisant les mises à jour du registre des traitements au sein de ses filiales.

100%

Couverture des évaluations des risques fournisseurs

Un établissement de santé a atteint une couverture de 100 % de ses évaluations des risques fournisseurs, chaque sous-traitant tiers étant évalué et documenté. Référence client d'un établissement de santé, 2024.

« Nous sommes passés de la majeure partie de notre temps d'administration de la conformité consacrée à relancer les unités opérationnelles de plusieurs filiales pour les mises à jour du registre des traitements à une recertification entièrement automatisée. Notre DPD se concentre désormais sur le travail stratégique en matière de protection des données plutôt que sur l'entretien de tableurs, et ce changement s'est opéré dès les six premiers mois. »

Responsable du programme de protection des données

Constructeur aéronautique

D'après l'étude de cas d'un constructeur aéronautique, 6 premiers mois après déploiement, 2024

Pourquoi les entreprises de taille moyenne passent à Priverion

Les plateformes de protection des données pour grandes entreprises n'ont pas été conçues pour votre réalité. Vous avez besoin d'une conformité à l'échelle du groupe qui s'adapte à toutes vos filiales, sans le contrat à six chiffres, l'implémentation sur 12 mois et les modules que vous n'utiliserez jamais.

Priverion

Hébergé en Suisse, conçu en Suisse

Tout le traitement des données s'effectue au sein d'une infrastructure suisse. Dans un monde post-Schrems II, ce n'est pas une case marketing à cocher. C'est une base légale pour les transferts transfrontaliers de données. La résidence européenne des données par défaut, et non en option supplémentaire.

Conçu pour la gestion à l'échelle du groupe

Cartographie des données inter-entités, recertification automatisée du registre des traitements et tableaux de bord centralisés conçus pour les organisations gérant la conformité au sein de 5, 20 ou plus de 50 filiales. Une seule plateforme, une visibilité totale.

Opérationnel en quelques semaines

Un constructeur aéronautique a obtenu une réduction de 60 % du temps d'administration de la conformité dès ses 6 premiers mois. Un assureur suisse a atteint 100 % de recertification automatisée du registre des traitements. Pas de projets d'implémentation sur 12 mois, pas d'équipe informatique dédiée requise.

D'après des résultats clients vérifiés : un constructeur aéronautique (bilan à 6 mois) et un assureur suisse (audit post-implémentation)

Une tarification prévisible, adaptée au marché intermédiaire

Tarifée selon le nombre de sociétés et la taille de l'organisation, et non par utilisateur ou par module. Aucun piège d'extension. Aucune facture surprise lorsque votre équipe s'agrandit. Chaque fonctionnalité incluse, chaque entité couverte.

Assisté par l'IA, contrôlé par l'humain

L'IA rédige des AIPD, note les risques et met en correspondance les réglementations, mais chaque résultat est revu avant de devenir un enregistrement de conformité. Aucune donnée client utilisée pour l'entraînement des modèles. Tout le traitement au sein d'une infrastructure suisse. L'IA assiste, vous décidez.

Des intégrations approfondies là où elles comptent

Des intégrations avec les systèmes RH, achats et gestion des actifs informatiques qui alimentent les flux de protection des données, et non 200 connecteurs superficiels qui génèrent une charge de maintenance et se cassent à chaque mise à jour.

Plateformes héritées pour grandes entreprises

Hébergées aux États-Unis par défaut

La plupart des plateformes de protection des données pour grandes entreprises sont conçues et hébergées aux États-Unis. La résidence européenne des données, lorsqu'elle est disponible, arrive sous forme d'un niveau supplémentaire premium. Après Schrems II, ce n'est pas une préférence de configuration. C'est un risque de conformité que votre équipe juridique doit justifier à chaque transfert de données.

Conçues pour la grande entreprise mono-entité

Conçues pour des sociétés du Fortune 500 opérant comme une seule entité juridique. Multi-filiales ? Vous gérez des solutions de contournement : instances séparées, gestion complexe des droits et consolidations manuelles. La visibilité à l'échelle du groupe nécessite des missions de conseil sur mesure.

Des mois avant la mise en service

Des délais d'implémentation se comptant en trimestres, et non en semaines. Des équipes projet dédiées, des consultants externes et l'implication de l'informatique avant même que votre premier registre des traitements ne soit migré. Le temps que vous soyez « en service », le cycle d'audit suivant approche déjà.

Tarification par utilisateur et par module

Besoin d'évaluations des risques fournisseurs ? C'est un module. Gestion des incidents ? Un autre module. Chaque nouvel utilisateur alourdit la facture. Le temps que vous ayez assemblé ce que Priverion inclut en standard, vous avez triplé votre devis initial.

L'IA comme boîte noire

Des fonctionnalités d'IA commercialisées de manière agressive, mais avec une transparence limitée sur la destination de vos données, la façon dont les modèles sont entraînés ou la possibilité que les résultats contournent la revue humaine. Dans un contexte de conformité, « faites-nous confiance » n'est pas une réponse suffisante pour votre autorité de surveillance.

200 intégrations, peu de profondeur

Une place de marché de centaines de connecteurs qui impressionnent en démonstration. En pratique, la plupart ne sont que des synchronisations de surface qui exigent une maintenance constante, se cassent aux mises à jour des fournisseurs et n'automatisent pas réellement les flux de protection des données qui vous font gagner du temps.

Nous sommes honnêtes sur ce que nous ne faisons pas : Priverion ne couvre pas le reporting ESG, les lignes d'alerte éthique ni le consentement aux cookies. Nous allons en profondeur sur la gestion du programme de protection des données pour que vous n'ayez pas à vous contenter d'une couverture de surface.

Comparaison fondée sur des informations publiquement disponibles et sur des retours de clients concernant leur migration, 2024

Réservez une présentation de 30 min

Téléchargez la checklist des obligations fournisseur vs déployeur de l'AI Act

Une checklist structurée et imprimable couvrant chaque obligation des fournisseurs et déployeurs de systèmes d'IA à haut risque au sens de l'AI Act européen, organisée par rôle, échéance et exigence documentaire. Conçue pour les DPD, les responsables de la conformité et les équipes juridiques gérant des groupes multi-entités.

PDF gratuit. Sans démonstration requise. Nous vous l'enverrons dans votre boîte de réception. Aucun appel de suivi, sauf si vous le demandez. Votre e-mail est traité conformément à notre politique de confidentialité.

Questions fréquentes : fournisseur vs déployeur dans l'AI Act

Quelle est la différence entre un fournisseur et un déployeur au sens de l'AI Act ?

Un fournisseur développe un système d'IA ou le met sur le marché. Il conçoit, entraîne ou modifie de manière substantielle le modèle. Un déployeur utilise un système d'IA sous son autorité dans un contexte professionnel. Une même organisation peut être les deux : si votre filiale affine un modèle tiers au-delà de sa destination prévue, elle peut passer du statut de déployeur à celui de fournisseur en vertu de l'article 25. Chaque rôle implique des obligations fondamentalement différentes en matière de documentation, de gestion des risques et de notification des incidents.

Une organisation peut-elle être à la fois fournisseur et déployeur au sens de l'AI Act ?

Oui. C'est fréquent dans les organisations multi-entités. Une société mère peut développer un système d'IA (fournisseur) pendant que ses filiales le déploient (déployeurs). Si un déployeur modifie de manière substantielle le système, l'affine pour une destination différente ou y appose son propre nom, il devient fournisseur en vertu de l'article 25. Le Registre IA de Priverion suit ces classifications au niveau de chaque entité et signale automatiquement les reclassements.

Quelles sont les principales obligations des fournisseurs de systèmes à haut risque au sens de l'AI Act ?

Les fournisseurs de systèmes d'IA à haut risque doivent : mettre en place un système de gestion de la qualité, tenir une documentation technique couvrant les 11 domaines de l'annexe IV, assurer une surveillance après commercialisation, notifier les incidents graves, garantir l'évaluation de la conformité avant la mise sur le marché, s'enregistrer dans la base de données de l'UE et désigner un mandataire s'ils sont établis hors de l'UE. Ces obligations exigent des processus opérationnels continus, et non une documentation ponctuelle.

Quelles sont les principales obligations des déployeurs de systèmes à haut risque au sens de l'AI Act ?

Les déployeurs de systèmes d'IA à haut risque doivent : utiliser les systèmes conformément aux instructions du fournisseur, assurer une supervision humaine par du personnel dûment formé, surveiller le fonctionnement pour détecter les risques, réaliser des analyses d'impact sur les droits fondamentaux (pour certains cas d'usage comme l'emploi et l'évaluation de solvabilité), notifier les incidents graves et conserver les journaux générés par le système. Les déployeurs ont également des obligations de transparence envers les personnes concernées.

Quand les obligations de l'AI Act entrent-elles en vigueur ?

L'AI Act est entré en vigueur le 01.08.2024. Les pratiques d'IA interdites s'appliquent depuis le 02.02.2025. Les obligations relatives aux modèles d'IA à usage général s'appliquent depuis le 02.08.2025. Les obligations relatives aux systèmes d'IA à haut risque pour les fournisseurs et les déployeurs s'appliquent à partir du 02.08.2026. Les organisations devraient entamer dès maintenant leur classification et leur analyse des écarts. Attendre les dates d'application signifie construire ses processus de conformité sous la pression des délais.

Comment Priverion accompagne-t-il la conformité à l'AI Act au sein de filiales multiples ?

Le Registre IA de Priverion associe chaque système d'IA de votre groupe à sa classification correcte (fournisseur, déployeur ou les deux) au niveau de chaque entité. Lorsque les classifications changent (par exemple, lorsqu'une filiale affine un modèle), Priverion signale le reclassement et fait remonter automatiquement les nouvelles obligations. La rédaction d'AIPD assistée par l'IA, la gestion centralisée des incidents, les évaluations des risques fournisseurs et les tableaux de bord de conformité prêts pour le conseil d'administration vous offrent une visibilité à l'échelle du groupe sans consolidation manuelle. Toutes les données sont traitées au sein d'une infrastructure suisse.

Priverion utilise-t-il les données clients pour entraîner ses modèles d'IA ?

Non. Priverion n'utilise jamais les données clients pour entraîner ses modèles d'IA. Toutes les fonctionnalités d'IA sont conçues pour assister la décision humaine. L'IA rédige des évaluations, note les risques et met en correspondance les réglementations, mais chaque résultat est revu par votre équipe de conformité avant de devenir un enregistrement de conformité. Tout le traitement des données s'effectue au sein d'une infrastructure suisse.

Cessez de gérer les obligations de l'AI Act dans des tableurs. Commencez à les gérer comme un programme.

Un constructeur aéronautique a réduit de 60 % son temps d'administration de la conformité en six mois. Un assureur suisse a atteint 100 % de recertification automatisée du registre des traitements. Une entreprise de technologie médicale a économisé plus de 200 heures dans sa préparation à l'ISO 27001.

En 30 minutes, nous vous montrerons précisément comment fonctionne la conformité à l'AI Act à l'échelle du groupe lorsqu'elle est conçue pour les organisations multi-entités, avec la souveraineté suisse des données, des flux assistés par l'IA et une tarification qui ne vous pénalise pas lorsque vous grandissez.

Réservez une présentation de 30 minutes

Aucun engagement requis

Opérationnel en quelques semaines, pas en quelques mois

Infrastructure hébergée en Suisse