L'article 24 du Règlement (UE) 2024/1689 définit les obligations des distributeurs de systèmes d'IA à haut risque. Le distributeur est la personne physique ou morale de la chaîne d'approvisionnement, autre que le fournisseur ou l'importateur, qui met un système d'IA à disposition sur le marché de l'Union.

Les obligations du distributeur sont généralement moins étendues que celles du fournisseur ou de l'importateur, reflétant son rôle intermédiaire dans la chaîne de valeur. Toutefois, le distributeur n'est pas exempt de responsabilités : il doit notamment vérifier certains éléments de conformité et s'abstenir de distribuer des systèmes qu'il sait ou devrait savoir non conformes.

Cette disposition contribue à l'effectivité du régime de conformité en impliquant l'ensemble des acteurs commerciaux dans la chaîne de distribution, créant ainsi plusieurs points de contrôle avant que le système n'atteigne l'utilisateur final.

Texte officiel de l'article 24 de l'AI Act

L'article 24 de l'AI Act dispose :

1. Avant de mettre un système d'IA à haut risque à disposition sur le marché, les distributeurs vérifient que ce système porte le marquage CE requis, qu'il est accompagné de la déclaration UE de conformité visée à l'article 47 et des instructions d'utilisation, et que le fournisseur et l'importateur de ce système, selon le cas, ont respecté leurs obligations respectives énoncées à l'article 16, points b) et c), et à l'article 23, paragraphe 3.

2. Lorsqu'un distributeur considère ou a des raisons de considérer, sur la base des informations en sa possession, qu'un système d'IA à haut risque n'est pas conforme aux exigences énoncées à la section 2, il ne met pas ce système d'IA à haut risque à disposition sur le marché tant qu'il n'a pas été mis en conformité. En outre, lorsque le système d'IA à haut risque présente un risque au sens de l'article 79, paragraphe 1, le distributeur en informe le fournisseur ou l'importateur du système, selon le cas, ainsi que les autorités de surveillance du marché.

3. Les distributeurs s'assurent que, tant qu'un système d'IA à haut risque est sous leur responsabilité, ses conditions de stockage ou de transport ne compromettent pas sa conformité avec les exigences énoncées à la section 2, le cas échéant.

4. Tout distributeur qui considère ou a des raisons de considérer qu'un système d'IA à haut risque qu'il a mis à disposition sur le marché n'est pas conforme aux exigences énoncées à la section 2 prend les mesures correctives nécessaires pour mettre ce système en conformité, le retirer ou le rappeler, selon le cas. Il informe le fournisseur ou l'importateur du système concerné, selon le cas.

5. À la demande motivée d'une autorité nationale compétente, les distributeurs d'un système d'IA à haut risque fournissent à cette autorité toutes les informations et la documentation concernant les mesures qu'ils ont prises conformément aux paragraphes 1 à 4 et qui sont nécessaires pour démontrer la conformité de ce système avec les exigences énoncées à la section 2.

6. Les distributeurs coopèrent avec les autorités nationales compétentes concernées à toute mesure prise par ces autorités à l'égard d'un système d'IA à haut risque mis à disposition sur le marché par ces distributeurs, notamment lorsque ce système présente un risque au sens de l'article 79.

Analyse juridique de l'article 24

Vérifications préalables du distributeur

Avant de mettre un système à disposition sur le marché, le distributeur doit vérifier :

  • La présence du marquage CE
  • L'existence de la déclaration UE de conformité
  • La disponibilité des instructions d'utilisation
  • Le respect par le fournisseur de ses obligations d'identification (article 16, points b et c)
  • Le respect par l'importateur de son obligation d'identification (article 23, paragraphe 3)

Ces vérifications sont essentiellement documentaires et visuelles. Le distributeur n'est pas tenu de procéder à des tests techniques du système.

Obligation de vigilance

Comme l'importateur, le distributeur doit s'abstenir de distribuer un système qu'il considère ou a des raisons de considérer non conforme. Cette obligation de vigilance s'exerce sur la base des « informations en sa possession », ce qui implique que le distributeur ne peut ignorer les signaux d'alerte qui lui parviennent.

En cas de risque, le distributeur doit informer le fournisseur ou l'importateur ainsi que les autorités de surveillance.

Conditions de stockage et transport

Le distributeur est responsable de maintenir l'intégrité du système pendant les phases de stockage et de transport sous sa responsabilité. Cette obligation vise à s'assurer que le système arrive chez l'utilisateur dans les mêmes conditions de conformité qu'à sa sortie de chez le fournisseur.

Mesures correctives post-distribution

Si, après avoir distribué un système, le distributeur découvre qu'il n'est pas conforme, il doit prendre des mesures correctives : mise en conformité, retrait ou rappel. Cette obligation s'applique aux systèmes déjà distribués, imposant au distributeur un suivi de ses ventes et une capacité à contacter ses clients si nécessaire.

Coopération avec les autorités

Le distributeur doit répondre aux demandes des autorités et coopérer à leurs mesures. L'information à fournir porte sur les mesures prises par le distributeur lui-même (vérifications, réactions aux non-conformités), et non sur la documentation technique du système qui relève du fournisseur.

Exemples concrets d'application

📋 Exemple concret d'application de l'article 24 de l'AI Act

Cas 1 - Vérifications avant distribution : Une société de distribution de solutions logicielles reçoit un système d'IA de gestion documentaire développé par un fournisseur européen. Avant de le proposer à ses clients, elle vérifie : la présence du marquage CE sur l'emballage, l'existence d'une déclaration de conformité dans la documentation, la disponibilité d'un manuel d'utilisation, et la mention des coordonnées du fournisseur. Ces éléments étant présents, elle peut procéder à la distribution.

Cas 2 - Signalement d'une non-conformité potentielle : Un distributeur reçoit des retours de plusieurs clients indiquant que le système d'IA qu'il distribue présente des comportements discriminatoires. Sur la base de ces informations, il suspend la distribution, informe le fournisseur du problème signalé, et attend une clarification avant de reprendre la commercialisation. Si le risque est confirmé, il en informe également l'autorité de surveillance du marché.

Cas 3 - Rappel suite à découverte de non-conformité : Un fournisseur informe son réseau de distributeurs qu'un lot de systèmes d'IA présente une non-conformité aux exigences de cybersécurité. Chaque distributeur doit identifier les systèmes concernés qu'il a distribués, contacter les clients pour organiser le rappel ou le déploiement d'un correctif, et documenter ces actions pour les autorités.

Cas 4 - Contrôle par l'autorité : L'autorité de surveillance du marché effectue un contrôle chez un distributeur. Celui-ci doit fournir les preuves de ses vérifications préalables (checklists complétées, copies des documents vérifiés), la liste des systèmes d'IA à haut risque distribués, et les éventuelles mesures correctives prises suite à des signalements.

Articulation avec les autres dispositions de l'AI Act

L'article 24 s'inscrit dans la chaîne de responsabilités définie par les articles 16 (fournisseur), 22 (représentant autorisé), 23 (importateur) et 25 (cas de transfert de responsabilités). Chaque acteur assume des obligations proportionnées à son rôle et à son contrôle sur le système.

Les vérifications du distributeur portent notamment sur le respect des obligations d'identification du fournisseur (article 16, points b et c) et de l'importateur (article 23, paragraphe 3), créant une vérification croisée au sein de la chaîne de distribution.

L'obligation de coopération avec les autorités (paragraphe 6) renvoie aux pouvoirs de ces autorités définis à l'article 74 et aux procédures de l'article 79 relatives aux systèmes présentant un risque.

Implications pratiques pour les organisations

Les distributeurs de systèmes d'IA à haut risque doivent intégrer dans leurs processus commerciaux des vérifications spécifiques avant la distribution. Ces vérifications peuvent être formalisées dans des checklists et des procédures documentées.

Un système de suivi des ventes est nécessaire pour permettre, en cas de non-conformité découverte après distribution, d'identifier les clients concernés et de mettre en œuvre les mesures correctives (rappel, mise à jour, remplacement).

La formation des équipes commerciales et logistiques aux spécificités des systèmes d'IA à haut risque est importante : identification des systèmes concernés, vérifications à effectuer, signaux d'alerte à surveiller, procédures d'escalade.

Les conditions de stockage et de transport doivent être adaptées aux systèmes d'IA, notamment pour les systèmes embarqués dans du matériel physique (contrôle de température, protection contre les chocs, etc.).

L'article 24 de l'AI Act définit un ensemble d'obligations proportionnées pour les distributeurs de systèmes d'IA à haut risque. Ces obligations, centrées sur la vérification préalable, la vigilance et la coopération, contribuent à l'effectivité du régime de conformité en créant un point de contrôle supplémentaire dans la chaîne de distribution.

Sans assumer la responsabilité de la conformité technique du système, qui reste du ressort du fournisseur, le distributeur joue un rôle de vigilance et de relais d'information essentiel pour la protection des utilisateurs et du marché européen.

Pour les entreprises de distribution, la mise en conformité avec l'article 24 nécessite une adaptation des processus commerciaux et logistiques, ainsi qu'une sensibilisation des équipes aux enjeux spécifiques des systèmes d'IA à haut risque.