Offre de lancement : -20% sur l'abonnement Starter en plus du premier audit gratuit avec le code NEW20

← Retour au blog

AI Act et marchés publics : ce que les acheteurs publics doivent désormais exiger

Les acheteurs publics qui déploient des systèmes d'IA à haut risque sont désormais des déployeurs au sens de l'article 26 de l'AI Act, avec des obligations légales qui doivent se traduire dans les contrats de marchés publics. Ce guide explique les clauses obligatoires, les étapes de vérification du marquage CE et le processus en cinq étapes que tout acheteur public doit suivre avant d'attribuer un contrat IA.

25 mai 2026DILAIG

La commande publique d'IA est entrée dans une nouvelle ère juridique. Lorsqu'une entité adjudicatrice achète ou déploie un système d'IA classé à haut risque en vertu de l'annexe III du règlement (UE) 2024/1689, elle n'est pas seulement un acheteur — elle est un déployeur avec des obligations légales directes au titre de l'article 26. Ces obligations ne peuvent pas être entièrement déléguées au vendeur. Elles requièrent une architecture contractuelle, une vérification technique et une gouvernance interne que la plupart des cadres de marchés publics n'ont pas encore intégrées.

Pourquoi les entités adjudicatrices sont désormais des déployeurs

L'article 3(4) définit un déployeur comme « toute personne physique ou morale, y compris toute autorité ou agence publique, qui utilise un système d'IA sous son autorité ». Il n'existe pas d'exemption pour le secteur public. Une commune utilisant un outil d'éligibilité aux prestations sociales basé sur l'IA, un service de police exploitant un système de reconnaissance faciale, ou une agence pour l'emploi déployant un classeur automatisé de CV — chacun est un déployeur au sens de l'AI Act, qu'il ait développé le système en interne, sur commande, ou acheté une solution sur étagère.

Les catégories à haut risque les plus pertinentes pour les acheteurs publics sont listées à l'annexe III, points 1 à 8 :

  • Identification biométrique et catégorisation (point 1)
  • Gestion des infrastructures critiques (point 2)
  • Éducation et formation professionnelle (point 3)
  • Emploi, gestion des travailleurs et accès au travail indépendant (point 4)
  • Accès aux services privés et publics essentiels et bénéfices essentiels, y compris l'aide sociale, l'évaluation des prestations et la solvabilité (point 5)
  • Application de la loi (point 6)
  • Migration, asile et contrôle aux frontières (point 7)
  • Administration de la justice et processus démocratiques (point 8)

Les points 5 à 8 couvrent le cœur de l'activité du secteur public. Tout système d'IA utilisé dans ces domaines par une entité adjudicatrice est présumé à haut risque et déclenche l'ensemble des obligations du déployeur.

Obligations du déployeur au titre de l'article 26 : ce que l'acheteur public doit faire

L'article 26 ne se contente pas d'instruire les déployeurs de « se conformer » de manière abstraite. Il spécifie des exigences opérationnelles :

Article 26(1) : Les déployeurs doivent prendre des mesures techniques et organisationnelles appropriées pour utiliser les systèmes d'IA conformément aux instructions d'utilisation fournies par le fournisseur.

Article 26(2) : Les déployeurs doivent confier la surveillance humaine à des personnes disposant de la compétence, de la formation et de l'autorité nécessaires.

Article 26(3) : Les déployeurs doivent réaliser une Évaluation de l'Impact sur les Droits Fondamentaux (EIDF) avant la mise en service de tout système d'IA à haut risque affectant des personnes physiques (l'article 27 précise cette exigence pour les organismes publics et les organismes privés fournissant des services publics).

Article 26(5) : Les déployeurs doivent surveiller le fonctionnement et signaler les incidents graves et les dysfonctionnements au fournisseur et, le cas échéant, à l'autorité nationale compétente en vertu de l'article 73.

Article 26(6) : Les déployeurs doivent conserver les journaux générés automatiquement par le système pendant au moins six mois (sauf si le droit de l'Union ou le droit national exige une conservation plus longue).

Article 26(10) : Lorsque le déployeur est une autorité publique utilisant un système dans un domaine impliquant les droits de personnes physiques, des obligations de transparence supplémentaires s'appliquent, notamment informer les personnes concernées qu'elles font l'objet d'une décision d'un système d'IA.

Clauses contractuelles obligatoires à exiger des fournisseurs

L'AI Act ne prescrit pas de libellé contractuel littéral, mais les obligations légales du déployeur rendent certaines protections contractuelles juridiquement nécessaires. Les entités adjudicatrices doivent exiger au minimum les clauses suivantes dans tout contrat de marchés publics portant sur un système à haut risque :

Clause Ce qu'elle doit exiger
Documentation de conformité Le fournisseur fournit la déclaration de conformité UE (art. 47) et la documentation technique complète annexe IV avant livraison
Vérification du marquage CE Le fournisseur confirme et justifie le marquage CE valide et, le cas échéant, le numéro de certificat de l'organisme notifié
Instructions d'utilisation Le fournisseur fournit des instructions complètes conformément à l'art. 13, incluant capacités, limites, indicateurs de performance et exigences de surveillance humaine
Notification d'incidents Le fournisseur notifie l'entité adjudicatrice de tout incident grave ou dysfonctionnement dans les 24 heures suivant sa découverte
Droits d'audit et d'accès L'entité adjudicatrice conserve le droit d'inspecter les journaux du système d'IA, les pistes d'audit et la documentation à tout moment
Gestion des mises à jour et des changements Toute modification changeant la classification de risque ou affectant la conformité requiert un accord écrit préalable et une nouvelle documentation
Soutien à la surveillance post-commercialisation Le fournisseur coopère aux obligations de surveillance de l'entité adjudicatrice au titre de l'art. 26(5) et fournit les données nécessaires aux révisions de l'EIDF
Transparence des sous-traitants Le fournisseur divulgue tous les sous-traitants ou composants d'IA tiers intégrés et leur statut de conformité
Répartition de la responsabilité Répartition claire de qui supporte la responsabilité pour les préjudices causés par le système d'IA, avec référence aux cadres de responsabilité nationaux et UE applicables

Ces clauses ne sont pas des améliorations facultatives — elles sont l'expression contractuelle d'obligations que l'entité adjudicatrice a déjà en vertu de la loi. Ne pas les inclure transfère entièrement le risque d'exécution sur l'organisme public.

Vérification du marquage CE et de la déclaration de conformité

Le marquage CE est le signal visible de conformité, mais il ne se certifie pas lui-même pour les systèmes à haut risque. Les entités adjudicatrices doivent vérifier :

  1. Le marquage CE est-il légitime ? Pour les systèmes à haut risque relevant de l'annexe I (législation harmonisée), l'évaluation de conformité doit être réalisée par un organisme notifié. Pour les systèmes reposant uniquement sur la classification de l'annexe III, les fournisseurs peuvent s'auto-certifier s'ils respectent les normes harmonisées — mais ce n'est pas toujours le cas. Demandez le numéro d'identification de l'organisme notifié si une certification tierce était requise.
  2. La déclaration de conformité UE est-elle complète ? L'article 47 précise le contenu obligatoire : nom et adresse du fournisseur, description du système, procédure d'évaluation de conformité suivie, normes harmonisées appliquées, représentant autorisé (le cas échéant), et signature datée.
  3. La documentation technique est-elle à jour ? Les systèmes d'IA à haut risque ayant subi une modification substantielle doivent avoir leur documentation mise à jour avant le déploiement de la version modifiée. Vérifiez que les numéros de version correspondent à ceux figurant dans la déclaration.
  4. Le système est-il enregistré dans la base de données UE ? L'article 71 exige que les fournisseurs de systèmes à haut risque listés à l'annexe III (avec quelques exceptions) s'enregistrent dans la base de données UE avant la mise sur le marché. Les entités adjudicatrices doivent vérifier la base de données dans le cadre de leur diligence raisonnable.

Interaction avec les directives marchés publics UE

La directive 2014/24/UE (marchés publics du secteur public) et la directive 2014/25/UE (marchés des entités des secteurs de l'eau, de l'énergie, des transports et des services postaux) n'abordent pas explicitement la conformité à l'AI Act, mais le cadre juridique est cohérent :

  • Spécifications techniques (art. 42 de la dir. 2014/24) : les entités adjudicatrices peuvent déjà exiger la conformité avec les réglementations et normes techniques. La conformité à l'AI Act est une exigence légale — elle peut et doit apparaître dans les spécifications techniques, et pas seulement comme critère de sélection.
  • Critères d'attribution (art. 67) : les critères de qualité peuvent récompenser des niveaux plus élevés de transparence, d'auditabilité et de surveillance humaine allant au-delà du minimum requis par l'AI Act.
  • Conditions d'exécution du marché (art. 70) : la conformité continue à l'AI Act, la notification d'incidents et la maintenance de la documentation peuvent être spécifiées comme conditions d'exécution du marché, dont la violation déclenche des recours contractuels.
  • Motifs d'exclusion (art. 57) : un fournisseur ayant fait l'objet d'une décision définitive pour violations de l'AI Act peut entraîner une exclusion discrétionnaire pour motifs de comportement professionnel grave.

Processus en cinq étapes pour les acheteurs publics

Étape 1 — Classer avant d'acheter

Déterminez si le système d'IA que vous envisagez d'acheter relève des catégories à haut risque de l'annexe III avant de lancer un appel d'offres. Faire appel à DILAIG ou à un conseiller en conformité qualifié au stade de la rédaction des spécifications est nettement moins coûteux qu'une remédiation après attribution du marché.

Étape 2 — Intégrer les exigences de conformité dans les spécifications techniques

Incluez la conformité à l'AI Act (marquage CE, déclaration de conformité, enregistrement dans la base de données UE) comme exigence obligatoire — et non comme critère de sélection pouvant être compensé par le prix.

Étape 3 — Réaliser une vérification pré-attribution

Avant de signer le contrat, vérifiez le marquage CE, examinez la déclaration de conformité et demandez un résumé de la procédure d'évaluation de conformité. Pour les systèmes impliquant de la biométrie ou des forces de l'ordre, demandez le certificat de l'organisme notifié.

Étape 4 — Réaliser l'EIDF avant le déploiement

L'article 27 exige que les déployeurs publics réalisent une Évaluation de l'Impact sur les Droits Fondamentaux. Elle ne peut pas être déléguée au fournisseur. Elle doit être conduite par le déployeur et enregistrée dans la base de données UE lorsque requis. Prévoyez le temps et le budget nécessaires pour cette étape avant la date de mise en production.

Étape 5 — Intégrer la surveillance continue dans les opérations

Désignez les personnes internes responsables de la surveillance humaine (art. 26(2)), établissez des procédures de conservation des journaux (art. 26(6)) et créez un flux de travail de notification d'incidents avant le déploiement. La conformité post-contrat est une responsabilité opérationnelle, pas une case à cocher unique.

Secteurs prioritaires pour les acheteurs publics

Sur la base des catégories de l'annexe III et des modes habituels de prestation des services publics, les domaines suivants requièrent une attention immédiate des entités adjudicatrices :

  • Justice et administration (point 8) : outils prédictifs pour les peines, évaluation des risques dans les procédures pénales, IA de gestion de dossiers
  • Application de la loi (point 6) : identification biométrique à distance en temps réel (soumise à des conditions strictes en vertu de l'art. 5), maintien de l'ordre prédictif, analyse criminelle
  • Immigration et contrôle aux frontières (point 7) : évaluation automatisée des visas, profilage de risques aux frontières, priorisation des dossiers d'asile
  • Aide sociale et prestations (point 5) : détermination automatisée de l'éligibilité, détection de fraude dans les systèmes de prestations sociales, notation de crédit dans le logement social
  • Services de l'emploi (point 4) : mise en correspondance IA dans les services publics de l'emploi, tri automatisé de CV dans le recrutement de la fonction publique

DILAIG aide les entités adjudicatrices à intégrer la conformité à l'AI Act dans leurs cadres de marchés publics — des spécifications techniques et bibliothèques de clauses contractuelles aux modèles d'EIDF et protocoles de surveillance post-commercialisation. Contactez-nous pour adapter votre processus d'achat avant votre prochain appel d'offres IA.

Votre système IA est-il conforme ?

Audit gratuit en 20 minutes.

Démarrer l'audit