AI Act Article 22 : quand les fournisseurs hors UE doivent nommer un représentant autorisé
Tout fournisseur d'IA établi hors de l'UE qui met sur le marché européen des systèmes à haut risque doit désigner un représentant autorisé établi dans l'UE en vertu de l'article 22 de l'AI Act. Cet article explique qui est concerné, ce que couvre le mandat et comment éviter les pièges que la plupart des fournisseurs non-UE ne voient pas venir.
Si votre entreprise est établie en dehors de l'Union européenne et que vous fournissez des systèmes d'IA à des clients européens, l'article 22 du règlement (UE) 2024/1689 — l'AI Act — crée une obligation de conformité directe à laquelle vous ne pouvez pas vous soustraire : vous devez nommer un représentant autorisé établi dans l'UE. Ne pas respecter cette exigence vous expose à des amendes et, concrètement, à un blocage de votre accès au marché.
Qui doit nommer un représentant autorisé
L'article 22(1) est précis. L'obligation s'applique lorsque les trois conditions suivantes sont réunies :
- Le fournisseur est établi en dehors de l'UE (pas de siège social, pas de filiale disposant d'un pouvoir de décision sur le système d'IA dans un État membre).
- Le système d'IA est un système à haut risque au sens de l'annexe III ou un système couvert par la législation d'harmonisation de l'Union listée à l'annexe I.
- Le système est mis sur le marché de l'Union ou mis en service dans l'UE — c'est-à-dire mis à la disposition d'utilisateurs (déployeurs ou utilisateurs finaux) établis ou situés dans l'UE, quel que soit le lieu de signature du contrat ou d'hébergement des serveurs.
Les fournisseurs de modèles d'IA à usage général (GPAI) sans mise sur le marché directe peuvent être partiellement exemptés de cette obligation spécifique, mais ils sont soumis à des obligations distinctes en vertu des articles 53 à 55 ; l'article 22 est la règle applicable aux fournisseurs de systèmes à haut risque.
Une confusion fréquente : un fournisseur non-UE qui dispose d'un revendeur européen se contentant de distribuer le système sans le modifier n'est pas automatiquement dispensé de cette obligation. Le revendeur est un importateur (voir ci-dessous), et non un substitut au représentant autorisé que vous êtes toujours tenu de désigner en vertu de l'article 22.
Ce que fait concrètement le représentant autorisé
Le représentant autorisé n'est pas une façade. L'article 22(2) crée un véritable mandat légal assorti de responsabilités exécutoires :
Obligations du représentant autorisé
- Point de contact pour les autorités : les autorités nationales de surveillance du marché (ASM) et le Bureau européen de l'IA adressent leurs demandes, requêtes de documentation et décisions d'exécution au représentant autorisé, et non directement au fournisseur non-UE.
- Conservation et fourniture de la documentation : le représentant doit détenir ou avoir accès immédiat à la déclaration de conformité UE (article 47) et à la documentation technique requise par l'article 11 et l'annexe IV. Les autorités peuvent les demander à tout moment ; le représentant doit être en mesure de les produire sans délai.
- Coopération aux investigations : si une autorité de surveillance du marché ouvre une procédure — enquête sur un incident, examen de la surveillance post-commercialisation ou contrôle de conformité — le représentant autorisé doit coopérer et s'assurer que le fournisseur coopère également.
- Notification des incidents graves : en vertu de l'article 73, le représentant est le canal par lequel les fournisseurs non-UE signalent les incidents graves à l'autorité nationale compétente.
- Agir au nom du fournisseur : toutes les actions entreprises dans le cadre du mandat engagent le fournisseur comme s'il avait agi directement.
Le représentant autorisé doit recevoir un mandat écrit du fournisseur avant que le système soit mis sur le marché. Le mandat doit préciser le périmètre (quels systèmes sont couverts), les pouvoirs du représentant et les coordonnées à inclure dans la documentation produit.
Ce que le représentant n'a PAS à faire
Le représentant autorisé n'est pas responsable de la conception technique ni de l'entraînement du système. La responsabilité pour les systèmes d'IA défectueux au titre de la directive sur la responsabilité en matière d'IA et des régimes nationaux de responsabilité produit incombe en premier lieu au fournisseur. La responsabilité du représentant est procédurale : non-conservation de la documentation, défaut de notification, refus de coopérer.
Représentant autorisé vs. importateur : différences clés
Ces deux rôles sont souvent confondus, et la distinction importe pour structurer la conformité.
| Dimension | Représentant autorisé (Art. 22) | Importateur (Art. 23) |
|---|---|---|
| Qui le désigne | Le fournisseur non-UE | Agit de manière indépendante (achète et revend) |
| Base juridique | Mandat contractuel | Activité économique propre |
| Obligations principales | Documentation, liaison avec les autorités, notification d'incidents | Vérifier la conformité avant mise sur le marché, étiquetage, conservation de journaux |
| Peut remplacer l'autre ? | Non | Non — les deux rôles peuvent coexister |
| Doit être établi dans l'UE ? | Oui | Oui |
Si votre distributeur européen achète votre produit d'IA et le revend sous sa propre identité commerciale, il est importateur. Il ne se substitue pas au représentant autorisé que vous êtes toujours tenu de nommer en vertu de l'article 22.
Dans certaines structures, la même entité UE peut agir à la fois comme importateur et comme représentant autorisé — cela est juridiquement admis à condition que le mandat soit explicite et que l'entité soit réellement capable de satisfaire aux deux ensembles d'obligations.
Comment choisir et mandater un représentant autorisé
Critères de sélection
- Établissement dans l'UE : le représentant doit avoir un siège social ou un établissement dans un État membre. Une adresse de domiciliation ou de boîte aux lettres ne sera probablement pas acceptée par les régulateurs.
- Compétence technique : le représentant doit comprendre le système suffisamment pour répondre aux questions techniques des ASM. Un cabinet juridique sans expertise en IA constitue un risque de conformité.
- Disponibilité opérationnelle : les ASM peuvent contacter le représentant pendant les heures ouvrables. La capacité de réponse doit être intégrée dans l'accord de service.
- Absence de conflits d'intérêts : si le représentant agit également comme organisme notifié pour votre évaluation de conformité, les règles d'indépendance s'appliquent.
Éléments obligatoires du mandat
Le mandat écrit doit comporter au minimum :
- L'identification du fournisseur (nom, adresse, pays)
- L'identification du représentant (nom, adresse UE, numéro d'immatriculation)
- La liste des systèmes d'IA couverts (avec références aux versions de modèles ou identifiants produit)
- Le périmètre de l'autorisation (quelles obligations le représentant est habilité à remplir)
- La durée et les conditions de résiliation
- Une obligation pour le fournisseur de tenir le représentant informé de toute modification du système susceptible d'affecter la conformité
Les coordonnées du représentant doivent figurer dans la documentation technique et, le cas échéant, sur l'étiquetage produit ou la documentation utilisateur (article 49(1)(b)).
Risques en cas de non-conformité
Ne pas nommer un représentant autorisé lorsque cela est requis n'est pas une formalité. En vertu de l'article 99(4), cela constitue un manquement aux obligations des fournisseurs, passible d'amendes administratives pouvant atteindre 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu.
Au-delà des amendes :
- Les ASM nationales peuvent interdire ou restreindre la disponibilité du système sur le marché UE (article 79).
- L'absence de représentant autorisé peut invalider le processus de marquage CE, les coordonnées du représentant étant requises sur la déclaration de conformité.
- Les clients entreprises soumis à leurs propres obligations AI Act (déployeurs en vertu de l'article 26) exigeront de plus en plus la preuve d'un représentant autorisé valide dans le cadre de leur due diligence d'achat.
FAQ pratique
Notre filiale UE utilise notre système d'IA en interne — avons-nous besoin d'un représentant autorisé ? Si la filiale UE est le déployeur et que vous (la maison-mère non-UE) êtes le fournisseur qui met le système à sa disposition, oui — si le système est à haut risque. L'utilisation interne par la filiale ne modifie pas l'obligation du fournisseur.
Le représentant autorisé peut-il être la même personne/entité que l'organisme notifié ? Non. L'article 33(10) interdit aux organismes notifiés d'agir en tant que représentants autorisés des fournisseurs dont ils évaluent les systèmes, afin de préserver l'indépendance de l'évaluation.
Nous n'avons qu'un seul client UE. Le seuil change-t-il ? Non. L'article 22 s'applique quel que soit le volume de marché. Un seul client suffit à déclencher l'obligation.
Un représentant autorisé nous protège-t-il des actions d'exécution dans tous les États membres ? Le représentant est le point de contact, mais la compétence d'exécution suit les règles de surveillance du marché de chaque État membre. Le rôle du représentant est procédural ; il ne crée pas de refuge à juridiction unique.
La plateforme de conformité DILAIG inclut un modèle de mandat structuré et un réseau de représentants autorisés UE qualifiés présélectionnés. Si vous êtes un fournisseur non-UE préparant votre entrée sur le marché, contactez DILAIG pour configurer vos obligations au titre de l'article 22 en moins de 48 heures.