AI Act pour importateurs et distributeurs : les obligations oubliées (Articles 23-24)
Si les discussions sur la conformité à l'AI Act se concentrent sur les fournisseurs et les déployeurs, les importateurs et les distributeurs ont leurs propres obligations contraignantes au titre des articles 23 et 24. Définitions précises, obligations de vérification et règle critique qui peut transformer un distributeur en fournisseur.
La discussion sur la conformité à l'AI Act s'est largement concentrée sur deux rôles : les fournisseurs qui développent et mettent sur le marché des systèmes d'IA, et les déployeurs qui les intègrent dans des produits ou des processus. Une troisième et une quatrième catégorie — importateurs et distributeurs — figurent dans bien moins de programmes de conformité, malgré des obligations légalement contraignantes au titre des articles 23 et 24. Pour les entreprises qui distribuent des systèmes d'IA développés hors UE, ou qui revendent des produits d'IA tiers au sein de l'UE, ces obligations ne sont ni optionnelles ni délégables.
Définitions : qui est importateur et qui est distributeur ?
Avant d'assigner des obligations, vous devez savoir quel rôle vous est applicable. Le règlement fournit des définitions précises à l'article 3.
Importateur (article 3(26)) : « toute personne physique ou morale établie dans l'Union qui met sur le marché un système d'IA à haut risque portant le nom ou la marque d'une personne physique ou morale établie en dehors de l'Union. »
Trois éléments sont requis simultanément : vous devez être établi dans l'UE, vous devez mettre le système sur le marché (c'est-à-dire le rendre disponible pour la première fois dans l'UE) et le système doit porter le nom ou la marque d'une entité non UE. Une filiale européenne qui introduit sur le marché le produit d'IA de sa société mère américaine est un importateur. Une entreprise de l'UE qui commercialise sous sa propre marque un outil d'IA non UE est un fournisseur, pas un importateur — car le produit porte son propre nom.
Distributeur (article 3(27)) : « toute personne physique ou morale de la chaîne d'approvisionnement, autre que le fournisseur ou l'importateur, qui met un système d'IA à haut risque à disposition sur le marché de l'Union. »
Un distributeur est toute entité qui fait progresser le système dans la chaîne d'approvisionnement après qu'il a été mis sur le marché pour la première fois. Les revendeurs, les revendeurs à valeur ajoutée, les opérateurs de places de marché et les intégrateurs de systèmes qui regroupent des composants d'IA tiers entrent généralement dans cette catégorie. Le qualificatif essentiel est « autre que le fournisseur ou l'importateur » — ces rôles s'excluent mutuellement à tout point de la chaîne d'approvisionnement.
Obligations des importateurs (Article 23)
L'article 23 impose aux importateurs un ensemble d'obligations de vérification et de diligence raisonnable qui vont bien au-delà d'un simple transit. Avant de mettre un système d'IA à haut risque sur le marché de l'UE, un importateur doit :
1. Vérifier l'accomplissement de l'évaluation de conformité (Art. 23(1)(a))
L'importateur doit vérifier que le fournisseur a effectué la procédure d'évaluation de conformité pertinente au titre de l'article 43. Cela implique de vérifier si le système relève d'une catégorie nécessitant une évaluation par un tiers auprès d'un organisme notifié (principalement l'Annexe III, point 1 — systèmes d'identification biométrique) ou si une auto-évaluation au titre de l'Annexe VI est suffisante. Il ne suffit pas de prendre la parole du fournisseur — l'importateur doit examiner et conserver la preuve de l'évaluation accomplie.
2. Vérifier la documentation technique et les instructions (Art. 23(1)(b))
L'importateur doit vérifier que le fournisseur a établi la documentation technique requise (Annexe IV) et les instructions d'utilisation (article 13). L'importateur n'est pas tenu de reproduire ou d'approuver cette documentation — mais il doit confirmer qu'elle existe, est complète et couvre la destination d'usage pour laquelle l'importateur met le système sur le marché.
3. Vérifier la déclaration UE de conformité et le marquage CE (Art. 23(1)(c))
La déclaration UE de conformité (article 47) doit avoir été établie et le marquage CE apposé. Les importateurs doivent vérifier les deux.
4. Vérifier le représentant autorisé (Art. 23(1)(d))
Si le fournisseur n'est pas établi dans l'UE, il doit désigner un représentant autorisé dans l'UE au titre de l'article 22. L'importateur doit vérifier que cette désignation est en place avant de procéder.
5. Obligations de conservation et de contact (Art. 23(2) et (3))
Les importateurs doivent :
- Conserver une copie de la déclaration UE de conformité pendant 10 ans après la mise sur le marché du système
- S'assurer que la documentation technique peut être mise à disposition des autorités compétentes sur demande
- Faire figurer leur nom, raison sociale enregistrée et adresse sur le système, son emballage ou la documentation l'accompagnant
- Transmettre leurs coordonnées à l'autorité de surveillance du marché si nécessaire
6. Mesures correctives et retrait (Art. 23(4) et (5))
Si un importateur a des raisons de croire qu'un système d'IA à haut risque n'est pas conforme, il ne doit pas le mettre sur le marché. Si une non-conformité est identifiée après la mise sur le marché, l'importateur doit informer le fournisseur et prendre des mesures correctives, y compris le retrait ou le rappel si nécessaire. L'importateur doit également notifier immédiatement les autorités nationales compétentes si le système présente un risque.
Obligations des distributeurs (Article 24)
Les distributeurs ont un ensemble d'obligations moins lourd mais toujours substantiel. Avant de mettre à disposition un système d'IA à haut risque sur le marché, un distributeur doit :
1. Vérifier le marquage CE et la déclaration de conformité (Art. 24(1)(a))
Le distributeur doit vérifier que le marquage CE est apposé et que la déclaration UE de conformité accompagne le système. Il s'agit d'une vérification documentaire, non d'une évaluation technique.
2. Vérifier les instructions d'utilisation (Art. 24(1)(b))
Le distributeur doit vérifier que les instructions d'utilisation sont présentes et, point crucial, disponibles dans une langue compréhensible par les déployeurs des États membres où le système est mis à disposition. C'est un point de conformité pratique fréquemment négligé : si vous distribuez un système d'IA en France et que les instructions ne sont disponibles qu'en anglais, l'article 24 crée un problème de conformité.
3. Vérifier l'enregistrement dans la base de données UE (Art. 24(1)(c))
Les systèmes d'IA à haut risque doivent être enregistrés dans la base de données UE au titre de l'article 71. Les distributeurs doivent vérifier l'existence de cet enregistrement avant de mettre le système à disposition.
4. Signalement des non-conformités et mesures correctives (Art. 24(2) et (3))
Si un distributeur a des raisons de croire qu'un système d'IA à haut risque n'est pas conforme aux exigences, il ne doit pas le mettre à disposition jusqu'à ce qu'il soit mis en conformité. Si une non-conformité est identifiée après la distribution, le distributeur doit :
- Informer le fournisseur ou l'importateur
- Coopérer aux mesures correctives y compris le retrait ou le rappel
- Notifier les autorités nationales compétentes en cas de risque
La règle critique : quand un distributeur devient-il fournisseur ?
L'article 25 définit les circonstances dans lesquelles un distributeur (ou un importateur, ou tout autre tiers) assume les obligations d'un fournisseur. C'est la règle que la plupart des entreprises en position de distribution ne prennent pas en compte.
Un distributeur devient fournisseur lorsqu'il :
| Déclencheur | Base légale |
|---|---|
| Met le système sur le marché ou le met en service sous son propre nom ou sa propre marque | Art. 25(1)(a) |
| Apporte une modification substantielle à un système d'IA à haut risque déjà mis sur le marché | Art. 25(1)(b) |
| Modifie la destination d'usage de sorte que le système entre dans la catégorie à haut risque | Art. 25(1)(c) |
La modification substantielle est définie à l'article 3(23) comme un changement affectant la conformité aux exigences essentielles ou entraînant une modification de la destination d'usage. En pratique, cela couvre :
- Le réentraînement ou l'affinage du modèle sur de nouvelles données
- La modification des interfaces d'entrée ou de sortie de manière à affecter le comportement du système
- L'intégration du système à d'autres composants qui modifient son profil de risque
- Le déploiement du système pour un cas d'usage substantiellement différent de celui validé dans l'évaluation de conformité
Un distributeur qui personnalise un outil d'IA tiers pour un client — en ajoutant des données d'entraînement spécifiques au domaine, en ajustant les seuils de décision ou en le rebaptisant sous son propre label — déclenche presque certainement l'article 25. À ce stade, toutes les obligations du fournisseur au titre des articles 8 à 15 s'appliquent, y compris l'exigence d'effectuer une nouvelle évaluation de conformité ou une évaluation mise à jour.
Tableau comparatif : rôles et obligations
| Obligation | Fournisseur | Importateur | Distributeur |
|---|---|---|---|
| Évaluation de conformité | Complète (Art. 43) | Vérification uniquement | Vérification marquage CE |
| Documentation technique | Produire (Annexe IV) | Vérifier + conserver | N/A |
| Déclaration UE de conformité | Produire (Art. 47) | Vérifier + copie 10 ans | Vérifier |
| Marquage CE | Apposer | Vérifier | Vérifier |
| Instructions d'utilisation | Produire (Art. 13) | Vérifier | Vérifier (langue) |
| Enregistrement base de données UE | Enregistrer (Art. 71) | Vérifier | Vérifier |
| Représentant autorisé | Désigner si non-UE | Vérifier | N/A |
| Mesures correctives / retrait | Complet | Oui | Oui |
| Surveillance post-commercialisation | Complète (Art. 72) | N/A | N/A |
| Signalement d'incidents | Complet (Art. 73) | N/A | Informer le fournisseur |
Points clés pratiques
Cartographiez explicitement votre rôle dans la chaîne d'approvisionnement. Ne supposez pas que vous êtes « juste un revendeur ». Les définitions sont précises ; appliquez-les à votre position contractuelle et opérationnelle spécifique.
Intégrez une checklist de conformité dans votre processus d'achat. Avant d'importer ou de distribuer un système d'IA à haut risque, effectuez la checklist de vérification des articles 23/24. Documentez chaque vérification et conservez les preuves.
Examinez vos contrats de personnalisation. Tout engagement contractuel à modifier, affiner ou adapter un système d'IA tiers doit être évalué à l'aune du test de modification substantielle de l'article 25 avant exécution.
Assurez la conformité linguistique. Distribuer dans plusieurs États membres signifie vérifier que les instructions d'utilisation existent dans chaque langue nationale concernée. C'est une obligation du distributeur, pas la responsabilité du fournisseur une fois le système entre les mains du distributeur.
La plateforme de conformité DILAIG cartographie votre rôle spécifique dans la chaîne d'approvisionnement IA et génère les checklists de vérification, les modèles de documentation et les outils d'évaluation de modification substantielle de l'article 25 adaptés à votre position d'importateur ou de distributeur. Commencez votre évaluation de rôle sur dilaig.com.