AI Act : obligations des déployeurs de systèmes d'IA à haut risque (Article 26)
Utiliser un système d'IA à haut risque n'est pas la même chose que le développer — mais cela crée quand même des obligations légales. L'Article 26 fixe 12 exigences pour les déployeurs : supervision humaine, conservation des journaux, information des travailleurs, FRIA, et plus encore.
Développer l'IA n'est pas la seule façon d'avoir des obligations AI Act
La majorité des commentaires sur l'AI Act se concentrent sur les développeurs d'IA, les entreprises qui entraînent des modèles et développent des systèmes. Mais le règlement impose un ensemble parallèle d'obligations à une deuxième catégorie : les déployeurs.
Un déployeur est toute personne physique ou morale, autorité publique, agence ou organisme qui utilise un système d'IA sous sa propre autorité dans un contexte professionnel. Si vous achetez, licenciez ou intégrez un système d'IA tiers et l'utilisez pour prendre ou informer des décisions, sur des candidats à l'emploi, des clients, des patients ou des citoyens, vous êtes un déployeur.
Pour les systèmes d'IA à haut risque, l'Article 26 prévoit 12 obligations distinctes pour les déployeurs. Ces obligations s'appliquent indépendamment de la conformité de votre fournisseur. Elles s'appliquent à partir du 2 août 2026 (reportée au 2 décembre 2027 dans le cadre de l'accord Omnibus).
Qui est déployeur ?
L'AI Act définit un déployeur comme toute entité utilisant un système d'IA « sous sa propre autorité dans un contexte professionnel », autre que le fournisseur de ce système.
Exemples pratiques :
- Une banque utilisant un outil tiers de scoring de crédit IA pour traiter des demandes de prêt → déployeur
- Une équipe RH utilisant un ATS alimenté par IA pour filtrer des candidats → déployeur
- Un hôpital utilisant un système d'aide au diagnostic IA → déployeur
- Une autorité publique utilisant un système IA pour traiter des demandes de prestations → déployeur
- Une entreprise utilisant un outil de suivi des performances IA pour évaluer ses employés → déployeur
Distinction importante avec les fournisseurs : Si vous intégrez un modèle d'IA tiers dans un produit que vous vendez ensuite à d'autres, vous êtes un fournisseur du système résultant, pas seulement un déployeur. L'Article 25 traite de cette dynamique « déployeur-devient-fournisseur » dans la chaîne de valeur.
Les 12 obligations de l'Article 26
Obligation 1 : Respecter les instructions d'utilisation (Article 26(1))
Les déployeurs doivent utiliser les systèmes d'IA à haut risque « conformément aux instructions d'utilisation » fournies par le fournisseur au titre de l'Article 13. Ce n'est pas une obligation passive. Si les instructions du fournisseur précisent des limites d'usage prévu, de portée géographique ou de types de population, vous devez les respecter.
Utiliser un système en dehors de sa finalité prévue, même si c'est techniquement possible, peut transférer la responsabilité au déployeur et potentiellement le requalifier en fournisseur pour cet usage modifié.
Obligation 2 : Désigner un personnel de supervision humaine compétent (Articles 26(1) et 26(2))
Les déployeurs doivent confier la supervision du système à des personnes physiques qui disposent de la compétence, de la formation et de l'autorité nécessaires pour :
- Comprendre les capacités et limitations du système
- Surveiller son fonctionnement
- Intervenir et annuler le système si nécessaire
Ce n'est pas simplement une exigence d'avoir un humain « dans la boucle », il faut que l'humain ait l'autorité réelle et la capacité pratique d'annuler le système. Un processus où les sorties de l'IA sont validées sans examen genuinement indépendant ne satisfait pas l'Article 26.
Obligation 3 : Assurer la qualité des données d'entrée (Article 26(4))
Lorsque les déployeurs contrôlent les données d'entrée transmises au système d'IA à haut risque, ils doivent s'assurer que ces données sont « pertinentes et suffisamment représentatives » de la finalité prévue.
Cette obligation recoupe significativement les exigences de qualité des données du RGPD (Article 5(1)(d) RGPD). Pour les déployeurs traitant des données personnelles via des systèmes d'IA, les deux cadres s'appliquent simultanément.
Obligation 4 : Surveiller le fonctionnement et signaler les risques (Article 26(5))
Les déployeurs doivent surveiller le fonctionnement du système d'IA à haut risque sur la base des instructions d'utilisation. S'ils identifient un risque pour la santé, la sécurité ou les droits fondamentaux, ou si un incident grave survient, ils doivent :
- Informer le fournisseur sans délai injustifié
- Si le système a été suspendu, informer l'autorité de surveillance du marché concernée
Cela crée une obligation de surveillance continue, pas seulement une vérification au moment du déploiement. Les déployeurs ont besoin de processus pour détecter quand les sorties d'un système d'IA dérivent, produisent des résultats inattendus ou causent un préjudice.
Obligation 5 : Conserver les journaux automatiquement générés (Article 26(6))
Les déployeurs doivent conserver les journaux automatiquement générés par le système d'IA à haut risque pendant un minimum de six mois, sauf si le droit applicable (incluant le RGPD) impose une durée de conservation différente.
Ces journaux servent deux objectifs : la surveillance post-marché par le déployeur, et les investigations par les autorités compétentes en cas d'incident ou d'audit.
Implication pratique : Les déployeurs doivent vérifier que le système d'IA qu'ils utilisent génère effectivement des journaux, que ces journaux sont accessibles au déployeur (pas seulement au fournisseur), et qu'ils disposent d'un processus documenté de conservation.
Obligation 6 : Informer les travailleurs avant le déploiement (Article 26(7))
Avant de déployer un système d'IA à haut risque qui affecte directement les travailleurs, que ce soit pour la surveillance, l'évaluation des performances, l'allocation des tâches ou des fonctions similaires, les déployeurs doivent informer :
- Les travailleurs ou salariés concernés
- Les représentants des travailleurs (syndicats, comités d'entreprise) le cas échéant
Cette notification doit intervenir avant le déploiement, avant que le système soit mis en fonctionnement, pas de façon concomitante. C'est une obligation substantielle, pas une simple formalité.
Obligation 7 : Ne pas déployer des systèmes non enregistrés (Article 26(8))
Les autorités publiques déployant des systèmes d'IA à haut risque de l'Annexe III doivent vérifier que le système est enregistré dans la base de données européenne avant de le déployer. Si ce n'est pas le cas, elles doivent informer le fournisseur et s'abstenir d'utiliser le système.
Les déployeurs privés n'ont pas cette même obligation de vérification, mais les autorités publiques déployant des systèmes qui s'avèrent non enregistrés sont directement responsables.
Obligation 8 : Utiliser les informations du fournisseur pour les évaluations de protection des données (Article 26(9))
Lorsqu'un système d'IA à haut risque traite des données personnelles, les déployeurs doivent utiliser les informations fournies par le fournisseur d'IA (au titre de l'Article 13) pour satisfaire leurs obligations d'analyse d'impact relative à la protection des données (AIPD) au titre de :
- L'Article 35 du RGPD (Analyse d'Impact relative à la Protection des Données)
- L'Article 27 de la Directive « police-justice » 2016/680
En pratique : la documentation technique du fournisseur et les instructions d'utilisation doivent servir d'entrée principale à votre AIPD. Si le fournisseur n'a pas fourni suffisamment d'informations, demandez-les, vous en avez besoin pour satisfaire à la fois vos obligations RGPD et AI Act.
Obligation 9 : Notifier les personnes concernées (Article 26(11))
Les déployeurs doivent informer les personnes physiques qui sont soumises à l'utilisation d'un système d'IA à haut risque qu'elles interagissent avec ou sont évaluées par un tel système. Cela s'applique avant ou au moment de l'utilisation.
Cette obligation de notification s'ajoute à toute exigence de transparence du RGPD. Pour les systèmes d'IA qui prennent des décisions affectant des personnes, crédit, recrutement, prestations, une divulgation claire et accessible est obligatoire.
Obligation 10 : Coopérer avec les autorités compétentes (Article 26(12))
Les déployeurs doivent coopérer avec les autorités nationales compétentes et l'AI Office dans la mise en œuvre et l'application de l'AI Act. Cela inclut la fourniture d'informations, l'accès aux systèmes et à la documentation sur demande.
Obligation 11 : Règles spéciales pour la biométrie en application de la loi (Article 26(10))
Les déployeurs dans les forces de l'ordre utilisant des systèmes d'identification biométrique à distance dans les espaces publics doivent obtenir une autorisation judiciaire ou administrative avant chaque utilisation (sauf exceptions prévues à l'Article 5). Ils doivent maintenir une documentation stricte et soumettre des rapports annuels à leur autorité de surveillance nationale et à l'AI Office.
Obligation 12 : FRIA pour certains déployeurs (Article 27)
Cette obligation s'applique spécifiquement à :
- Les organismes publics et entités privées fournissant des services publics déployant tout système à haut risque de l'Annexe III
- Tout déployeur utilisant une IA à haut risque pour l'évaluation de la solvabilité, la tarification des assurances vie et santé, ou l'évaluation des appels d'urgence (Annexe III §5(b) et §5(c))
Avant de déployer ces systèmes, ces déployeurs doivent réaliser une Évaluation de l'Impact sur les Droits Fondamentaux (FRIA) couvrant :
- Une description des processus du déployeur dans lesquels le système sera utilisé
- La période et la fréquence d'utilisation
- Les catégories de personnes physiques et groupes susceptibles d'être affectés
- Les risques spécifiques de préjudice pour ces catégories
- Les mesures de supervision humaine à mettre en œuvre
- Les mesures d'atténuation si les risques se matérialisent
La FRIA complétée doit être notifiée à l'autorité de surveillance du marché concernée à l'aide des modèles fournis par l'AI Office.
Fournisseur vs. déployeur : où se situe la frontière
| Action | Obligation du fournisseur | Obligation du déployeur |
|---|---|---|
| Développer le système IA | ✓ Cadre de conformité complet | , |
| Réaliser l'évaluation de conformité | ✓ Requise | , |
| Établir la Déclaration UE de conformité | ✓ Requise | , |
| S'enregistrer dans la base européenne | ✓ Requise | Les autorités publiques doivent vérifier |
| Fournir les instructions d'utilisation | ✓ Requise (Art. 13) | Doit les respecter |
| Mettre en place la supervision humaine | ✓ La concevoir dans le système | ✓ Désigner le personnel compétent |
| Conserver les journaux | , | ✓ Min. 6 mois |
| Notifier les travailleurs | , | ✓ Avant le déploiement |
| Réaliser la FRIA | , | ✓ Pour les déployeurs qualifiés |
| Surveiller et signaler les incidents | ✓ Surveillance post-marché | ✓ Surveillance opérationnelle |
La FRIA vs. l'AIPD : quelle différence ?
Une source fréquente de confusion pour les organisations déjà conformes au RGPD.
| Dimension | AIPD (RGPD) | FRIA (AI Act) |
|---|---|---|
| Base juridique | Article 35 RGPD | Article 27 AI Act |
| Focale | Risques pour les données personnelles | Risques pour les droits fondamentaux au sens large |
| Déclenchée par | Traitement à haut risque de données personnelles | Systèmes IA à haut risque qualifiants de l'Annexe III |
| Qui la réalise | Responsable du traitement (données) | Déployeur (IA) |
| Couvre | Risques liés au traitement des données | Risques liés aux décisions IA, y compris les droits non liés aux données |
| Notification | À la DPA (dans certains cas) | À l'autorité de surveillance du marché |
Pour la plupart des systèmes d'IA à haut risque qui traitent également des données personnelles, les deux évaluations sont requises. L'AI Act précise explicitement que la documentation fournie par le fournisseur doit alimenter l'AIPD du déployeur, les deux processus sont censés être coordonnés, pas dupliqués.
Liste de contrôle de conformité pour les déployeurs
Avant de déployer un système d'IA à haut risque :
- Confirmer que le système est à haut risque au titre de l'Annexe III
- Obtenir et examiner les instructions d'utilisation du fournisseur (Article 13)
- Identifier et former le personnel de supervision humaine avec autorité d'annulation
- Vérifier que le système génère des journaux accessibles
- Mettre en place un processus de conservation des journaux (minimum 6 mois)
- Notifier les travailleurs et représentants concernés avant le déploiement
- Pour les autorités publiques : confirmer l'enregistrement du système dans la base européenne
- Réaliser une AIPD si des données personnelles sont traitées
- Si déployeur qualifié : réaliser et notifier la FRIA avant le déploiement
- Établir un processus continu de surveillance et de signalement d'incidents
Comment DilAIg aide les déployeurs
L'audit de 50 questions de DilAIg couvre les dimensions fournisseur et déployeur. Pour les déployeurs, l'audit identifie :
- Si les systèmes que vous utilisez sont à haut risque au titre de l'Annexe III
- Quelles obligations de l'Article 26 s'appliquent à votre contexte spécifique
- Si vous êtes un déployeur qualifié au titre de l'Article 27 (obligation de FRIA)
Pour les déployeurs qualifiés, DilAIg génère la FRIA sous forme de projet professionnel structuré conformément à l'Article 27 et aux modèles de l'AI Office, prêt pour la révision juridique et la notification à l'autorité.
Démarrer votre audit AI Act gratuit →
Voir les documents générés par DilAIg →
FAQ : Obligations des déployeurs au titre de l'Article 26
J'utilise une IA fournie par un prestataire. Suis-je déployeur ?
Oui, si vous l'utilisez dans un contexte professionnel sous votre propre autorité. La conformité AI Act de votre prestataire n'élimine pas vos obligations de déployeur au titre de l'Article 26.
L'Article 26 s'applique-t-il aux outils IA à risque minimal ?
Non. Les obligations de l'Article 26 s'appliquent spécifiquement aux systèmes d'IA à haut risque au sens de l'Article 6 et de l'Annexe III. L'utilisation d'un outil IA de productivité basique ne déclenche pas ces obligations.
Comment savoir si je suis déployeur qualifié pour la FRIA ?
Vous êtes tenu de réaliser une FRIA si vous êtes un organisme public ou une entité privée fournissant des services publics déployant tout système de l'Annexe III, ou si vous êtes tout déployeur utilisant une IA pour l'évaluation de la solvabilité, la tarification des assurances vie/santé, ou le dispatch d'urgence. Les déployeurs du secteur privé dans d'autres domaines de l'Annexe III n'y sont pas obligés, mais peuvent choisir d'en documenter une à titre de mesure de gestion des risques.
Que se passe-t-il si mon fournisseur d'IA ne me fournit pas des instructions adéquates ?
Demandez-les explicitement, vous en avez besoin pour satisfaire vos obligations au titre des Articles 26(1) et (9). Si le fournisseur ne peut pas ou ne veut pas fournir une documentation adéquate, interrogez-vous sur la pertinence de déployer ce système. Si un incident grave survient et que vous manquez de documentation, vous aurez du mal à démontrer votre conformité.
Quand la notification aux travailleurs doit-elle avoir lieu ?
Avant le déploiement, avant que le système soit mis en fonctionnement pour la première fois dans un contexte qui affecte les travailleurs. Il n'est pas suffisant d'informer les travailleurs après que le système est déjà en fonctionnement.
Points clés à retenir
- Les déployeurs de systèmes d'IA à haut risque ont 12 obligations distinctes au titre de l'Article 26, applicables à partir du 2 août 2026 (reportée au 2 décembre 2027 dans le cadre de l'accord Omnibus)
- Obligations fondamentales : respecter les instructions d'utilisation, désigner une supervision humaine compétente, conserver les journaux ≥ 6 mois, notifier les travailleurs avant le déploiement, surveiller et signaler les incidents
- La FRIA (Article 27) est requise pour les organismes publics, les entités fournissant des services publics, et les déployeurs d'IA de crédit, d'assurance ou d'urgence
- La FRIA et l'AIPD sont des évaluations distinctes — les deux peuvent être requises pour le même système
- La conformité du fournisseur n'élimine pas les obligations du déployeur — les deux côtés de la chaîne ont des devoirs indépendants
- L'audit DilAIg identifie vos obligations de déployeur article par article et génère le projet de FRIA