📍82 Boulevard Haussmann, 75008 Paris

Demandez votre démo

Article 25 IA ACT - Responsabilités dans la chaîne de valeur de l’IA

Table des matières

Explication de l’article

L’article 25 de l’IA Act constitue un article-pivot de l’AI Act, car il organise la répartition des responsabilités entre tous les acteurs intervenant dans la vie d’un système d’IA à haut risque.

Contrairement à une approche classique où la responsabilité pèserait uniquement sur le fabricant, l’AI Act adopte une logique systémique et collaborative : chaque acteur est responsable à hauteur de son rôle, depuis le développement jusqu’à l’utilisation finale.

L’article 25 vise à :

  • éviter les angles morts de responsabilité,

  • garantir la traçabilité complète du système,

  • assurer une réaction rapide en cas de risque ou d’incident grave,

  • empêcher les stratégies de contournement (rebranding, modification substantielle, changement de finalité).

Il pose également un principe fondamental :
un acteur peut devenir juridiquement “fournisseur” s’il modifie substantiellement un système ou le commercialise sous sa propre marque, même s’il ne l’a pas développé.

Notions clés à comprendre

Chaîne de valeur de l’IA : Ensemble des acteurs impliqués dans :

  • la conception,

  • la mise sur le marché,

  • la distribution,

  • l’intégration,

  • et l’utilisation du système d’IA.

Fournisseur : Acteur qui développe ou met sur le marché un système d’IA sous son nom ou sa marque, ou qui en modifie substantiellement la finalité ou le fonctionnement.

Modification substantielle : Changement qui affecte la conformité, la sécurité ou la finalité du système (ex. ajout d’un module de décision automatique).

Traçabilité : Capacité à identifier :

  • qui a fait quoi,

  • à quel moment,

  • et avec quels effets sur le système.

Coopération : Obligation pour les acteurs de collaborer entre eux et avec les autorités compétentes.

Exemple pratique

Une banque utilise un système d’IA pour évaluer la solvabilité de clients.

Acteurs de la chaîne de valeur

1. Fournisseur initial

  • Développe l’algorithme.
  • Fournit la documentation technique et la gestion des risques.

2.  Distributeur

  • Commercialise la solution à la banque.
  • Vérifie la présence du marquage CE et de la documentation.

3. Utilisateur professionnel (banque)

  • Utilise l’IA pour orienter les décisions de crédit.
  • Met en place une supervision humaine et des audits internes.

4. Modification substantielle

  • La banque adapte l’algorithme pour automatiser le refus de crédit.
  • Elle devient juridiquement fournisseur au sens de l’article 25.

Incident

Un biais discriminatoire est détecté :

  • Chaque acteur fournit ses logs.

  • Le fournisseur corrige le modèle.

  • La banque suspend l’utilisation du système.

Vous ne savez pas si votre rôle vous fait juridiquement devenir fournisseur d’IA ?
L’article 25 précise dans quels cas un acteur devient juridiquement fournisseur et comment les responsabilités doivent être réparties dans la chaîne de valeur de l’IA.
Clarifier mes responsabilités IA avec un expert

Texte original de l’IA Act

Article 25 – Responsabilités tout au long de la chaîne de valeur de l’IA

1.   Tout distributeur, importateur, déployeur ou autre tiers est considéré comme un fournisseur d’un système d’IA à haut risque aux fins du présent règlement et est soumis aux obligations incombant au fournisseur au titre de l’article 16 dans toutes les circonstances suivantes:

a)il commercialise sous son propre nom ou sa propre marque un système d’IA à haut risque déjà mis sur le marché ou mis en service, sans préjudice des dispositions contractuelles prévoyant une autre répartition des obligations;
b)il apporte une modification substantielle à un système d’IA à haut risque qui a déjà été mis sur le marché ou a déjà été mis en service de telle manière qu’il reste un système d’IA à haut risque en application de l’article 6;
c)il modifie la destination d’un système d’IA, y compris un système d’IA à usage général, qui n’a pas été classé à haut risque et a déjà été mis sur le marché ou mis en service de telle manière que le système d’IA concerné devient un système d’IA à haut risque conformément l’article 6.
2.   Lorsque les circonstances visées au paragraphe 1, se produisent, le fournisseur qui a initialement mis sur le marché ou mis en service le système d’IA n’est plus considéré comme un fournisseur de ce système d’IA spécifique aux fins du présent règlement. Ce fournisseur initial coopère étroitement avec les nouveaux fournisseurs et met à disposition les informations nécessaires et fournit l’accès technique raisonnablement attendu et toute autre assistance nécessaire au respect des obligations énoncées dans le présent règlement, en particulier en ce qui concerne la conformité avec l’évaluation de la conformité des systèmes d’IA à haut risque. Le présent paragraphe ne s’applique pas dans les cas où le fournisseur initial a clairement précisé que son système d’IA ne doit pas être transformé en un système d’IA à haut risque et ne relève donc pas de l’obligation relative à la remise de la documentation.

3.   Lorsque des systèmes d’IA à haut risque constituent des composants de sécurité de produits couverts par la législation d’harmonisation de l’Union dont la liste figure à l’annexe I, section A, le fabricant de ces produits est considéré comme étant le fournisseur du système d’IA à haut risque et est soumis aux obligations visées à l’article 16 dans l’un des deux cas suivants:

a)le système d’IA à haut risque est mis sur le marché avec le produit sous le nom ou la marque du fabricant du produit;
b)le système d’IA à haut risque est mis en service sous le nom ou la marque du fabricant du produit après que le produit a été mis sur le marché.
4.   Le fournisseur d’un système d’IA à haut risque et le tiers qui fournit un système d’IA, des outils, services, composants ou processus qui sont utilisés ou intégrés dans un système d’IA à haut risque précisent, par accord écrit, les informations, les capacités, l’accès technique et toute autre assistance nécessaire, sur la base de l’état de la technique généralement reconnu, pour permettre au fournisseur du système d’IA à haut risque de se conformer pleinement aux obligations prévues dans le présent règlement. Le présent paragraphe ne s’applique pas aux tiers qui rendent accessibles au public des outils, services, processus ou composants, autres que des modèles d’IA à usage général, dans le cadre d’une licence libre et ouverte.Le Bureau de l’IA peut élaborer et recommander des clauses types volontaires pour les contrats entre les fournisseurs de systèmes d’IA à haut risque et les tiers qui fournissent des outils, des services, des composants ou des processus qui sont utilisés ou intégrés dans les systèmes d’IA à haut risque. Lorsqu’il élabore des clauses types volontaires, le Bureau de l’IA tient compte des éventuelles exigences contractuelles applicables dans des secteurs ou des activités spécifiques. Les clauses types volontaires sont publiées et mises à disposition gratuitement dans un format électronique facile d’utilisation.
5.   Les paragraphes 2 et 3 sont sans préjudice de la nécessité de respecter et de protéger les droits de propriété intellectuelle, les informations confidentielles de nature commerciale et les secrets d’affaires conformément au droit de l’Union et au droit national.

Perspectives avec d’autres textes 

Perspectives européennes

Règlement (UE) 2019/1020 – Surveillance du marché

Responsabilité partagée des opérateurs économiques.

New Legislative Framework

Logique identique pour les produits industriels (marquage CE).

AI Act – Articles 16 à 24

Détail des obligations spécifiques des fournisseurs, importateurs, distributeurs et utilisateurs.

Charte des droits fondamentaux de l’UE

Protection des droits affectés par les systèmes d’IA à haut risque.

Perspectives françaises

Code de la consommation

Responsabilité du professionnel mettant un produit sur le marché.

Code civil – Responsabilité civile

Faute liée à un défaut de sécurité ou de conformité.

CNIL – Doctrine IA

Approche par la chaîne de responsabilité et la traçabilité des traitements.

Lignes directrices, avis et soft law

Avis du CEPD 

Nécessité d’une responsabilité distribuée.

OCDE – Recommandations sur l’IA responsable

Gouvernance multi-acteurs.

UNESCO – Recommandation sur l’éthique de l’IA

Responsabilité tout au long du cycle de vie

La répartition des responsabilités en IA peut sembler complexe. L’équipe de DPO externe de Mon Expert RGPD vous accompagne.

← Article précédent - Article 24 : Obligations des distributeurs
Article suivant – Article 26 : Obligations des déployeurs →

Menu IA Act

Newsletter S'inscrire

Recevez nos derniers articles et actualités directement dans votre boîte de réception !

Votre e-mail est en sécurité 🔒. En entrant votre e-mail, vous acceptez de recevoir nos newsletter et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.