L'article 25 du Règlement (UE) 2024/1689 définit les cas dans lesquels un opérateur économique autre que le fournisseur initial se voit attribuer les obligations du fournisseur. Cette disposition est essentielle pour éviter les « trous » de responsabilité qui pourraient résulter de modifications, intégrations ou rebranding de systèmes d'IA à haut risque.
L'approche retenue par le législateur européen consiste à attribuer les responsabilités de fournisseur à tout acteur qui modifie substantiellement un système ou qui le met sur le marché sous son propre nom ou sa propre marque. Cette logique fonctionnelle garantit qu'un responsable clairement identifié assume les obligations de conformité, quelle que soit l'évolution du système dans la chaîne de valeur.
L'article 25 clarifie également les conditions d'application de la présomption de conformité lorsqu'un système est intégré dans un produit réglementé par une autre législation d'harmonisation de l'Union, assurant la cohérence du cadre réglementaire européen.
Texte officiel de l'article 25 de l'AI Act
L'article 25 de l'AI Act dispose :
1. Un distributeur, un importateur, un déployeur ou un autre tiers est considéré comme un fournisseur d'un système d'IA à haut risque aux fins du présent règlement et est soumis aux obligations du fournisseur prévues à l'article 16 dans chacune des circonstances suivantes :
a) il met sur le marché ou met en service un système d'IA à haut risque sous son propre nom ou sa propre marque ;
b) il modifie substantiellement un système d'IA à haut risque qui a déjà été mis sur le marché ou déjà mis en service de manière à ce qu'il reste un système d'IA à haut risque conformément à l'article 6 ;
c) il modifie la finalité prévue d'un système d'IA, y compris un système d'IA à usage général, qui n'a pas été classé comme étant à haut risque et qui a déjà été mis sur le marché ou mis en service, de manière à ce que le système d'IA concerné devienne un système d'IA à haut risque conformément à l'article 6.
2. Lorsque les circonstances visées au paragraphe 1 se produisent, le fournisseur qui a initialement mis sur le marché ou mis en service le système d'IA n'est plus considéré comme un fournisseur de ce système d'IA spécifique aux fins du présent règlement. Le fournisseur initial met à la disposition du nouveau fournisseur, dans le cadre d'un accord contraignant, toutes les informations et tous les documents nécessaires pour se conformer aux obligations énoncées dans le présent règlement, et fournit l'accès raisonnablement prévu aux capacités techniques nécessaires à cette conformité. Le présent paragraphe ne s'applique pas aux exceptions aux droits de propriété intellectuelle, y compris les secrets d'affaires, énoncées dans le droit de l'Union ou le droit national.
3. Dans le cas des systèmes d'IA à haut risque qui sont des composants de sécurité de produits couverts par les actes législatifs d'harmonisation de l'Union énumérés à l'annexe I, section A, le fabricant de ces produits est considéré comme le fournisseur du système d'IA à haut risque et est soumis aux obligations visées à l'article 16 dans l'une ou l'autre des circonstances suivantes :
a) le système d'IA à haut risque est mis sur le marché avec le produit sous le nom ou la marque du fabricant du produit ;
b) le système d'IA à haut risque est mis en service sous le nom ou la marque du fabricant du produit après la mise sur le marché du produit.
4. Le fournisseur d'un système d'IA à haut risque et le tiers qui fournit un système d'IA, des outils, des services, des composants ou des processus qui sont utilisés ou intégrés dans un système d'IA à haut risque déterminent, dans un accord contraignant, les informations, les capacités, l'accès technique et toute autre assistance nécessaires fondés sur les connaissances techniques généralement reconnues, afin de permettre au fournisseur du système d'IA à haut risque de se conformer pleinement aux obligations énoncées dans le présent règlement. Le présent paragraphe ne s'applique pas aux exceptions aux droits de propriété intellectuelle, y compris les secrets d'affaires, énoncées dans le droit de l'Union ou le droit national.
Analyse juridique de l'article 25
Transfert de la qualité de fournisseur
L'article 25, paragraphe 1, identifie trois situations entraînant le transfert de la qualité de fournisseur :
- Mise sur le marché sous son propre nom ou marque (rebranding) : lorsqu'un acteur commercialise un système d'IA développé par un tiers sous sa propre identité commerciale, il devient fournisseur aux yeux de la réglementation.
- Modification substantielle : toute modification significative d'un système d'IA à haut risque déjà commercialisé fait du modificateur le nouveau fournisseur. La notion de modification substantielle doit être interprétée en référence à l'article 6.
- Changement de finalité : lorsqu'un système d'IA initialement non classé à haut risque est réorienté vers une utilisation à haut risque, l'auteur de ce changement devient fournisseur et doit assumer l'ensemble des obligations correspondantes.
Transfert de responsabilité et dégagement du fournisseur initial
Le paragraphe 2 précise que le fournisseur initial cesse d'être considéré comme fournisseur lorsque l'une des situations du paragraphe 1 se produit. Toutefois, il reste tenu de transmettre au nouveau fournisseur toutes les informations et documents nécessaires à la conformité, ainsi que l'accès aux capacités techniques requises.
Cette transmission doit faire l'objet d'un « accord contraignant », soulignant la nécessité d'une formalisation contractuelle. Les secrets d'affaires et les droits de propriété intellectuelle sont préservés conformément au droit applicable.
Cas des produits intégrant des composants IA
Le paragraphe 3 traite du cas spécifique des systèmes d'IA intégrés comme composants de sécurité dans des produits couverts par d'autres réglementations européennes (directive machines, règlement dispositifs médicaux, etc.). Dans ce cas, le fabricant du produit final devient le fournisseur du système d'IA et assume les obligations correspondantes.
Cette disposition assure une responsabilité unifiée : le fabricant du produit, qui est déjà responsable de la conformité globale du produit, assume également la responsabilité du composant IA.
Obligations des fournisseurs de composants
Le paragraphe 4 impose aux fournisseurs de composants (outils, services, briques technologiques) intégrés dans des systèmes d'IA à haut risque de conclure des accords avec le fournisseur du système final pour lui transmettre les informations et l'assistance technique nécessaires à la conformité.
Cette disposition crée une chaîne de coopération remontante permettant au fournisseur du système final de disposer de toutes les informations nécessaires sur les composants qu'il intègre.
Exemples concrets d'application
📋 Exemple concret d'application de l'article 25 de l'AI Act
Cas 1 - Rebranding (White label) : Une entreprise de conseil RH achète une licence d'un système de tri de CV développé par un éditeur spécialisé. Elle commercialise ce système auprès de ses clients sous sa propre marque, sans mentionner l'éditeur original. En vertu de l'article 25, point a), cette entreprise devient le fournisseur du système et doit assumer toutes les obligations de l'article 16 : documentation technique, évaluation de conformité, surveillance post-commercialisation, etc. L'éditeur original doit lui transmettre les informations nécessaires.
Cas 2 - Modification substantielle : Un déployeur d'un système d'IA de scoring bancaire décide de réentraîner le modèle avec de nouvelles données et de modifier significativement les paramètres de décision. Cette modification substantielle fait de lui le nouveau fournisseur. Il doit reprendre l'ensemble des obligations de conformité, y compris une nouvelle évaluation de conformité si nécessaire. L'ancien fournisseur lui transmet la documentation technique et les informations sur le modèle original.
Cas 3 - Changement de finalité : Un système d'IA de recommandation de contenu, initialement classé comme non à haut risque, est adapté par un déployeur pour être utilisé dans le cadre du recrutement. Cette nouvelle finalité classe le système comme à haut risque (annexe III). Le déployeur devient fournisseur et doit mettre le système en conformité avec l'ensemble des exigences applicables aux systèmes à haut risque.
Cas 4 - Intégration produit : Un fabricant de robots industriels intègre un système d'IA de vision développé par un tiers comme composant de sécurité de ses machines. En vertu du paragraphe 3, le fabricant du robot devient fournisseur du système d'IA pour les besoins de l'AI Act. Il doit s'assurer de la conformité du composant IA et peut exiger du développeur du système de vision les informations nécessaires à cette fin.
Articulation avec les autres dispositions de l'AI Act
L'article 25 est fondamental pour l'architecture des responsabilités du règlement. Il complète l'article 16 (obligations des fournisseurs) en précisant qui est le fournisseur dans les situations complexes, et s'articule avec les articles 23 et 24 (importateurs et distributeurs) en définissant les conditions dans lesquelles ces acteurs peuvent devenir fournisseurs.
La notion de « modification substantielle » mentionnée au point b) doit être interprétée au regard de l'article 6 et des critères de classification des systèmes à haut risque. Elle renvoie également aux considérants du règlement qui explicitent cette notion.
L'articulation avec les réglementations sectorielles (paragraphe 3) reflète l'approche d'intégration retenue par l'AI Act : les exigences IA s'ajoutent aux exigences sectorielles sans créer de contradiction, le fabricant du produit final assumant une responsabilité globale.
Implications pratiques pour les organisations
Les organisations qui commercialisent des systèmes d'IA en marque blanche ou qui intègrent des composants d'IA tiers doivent évaluer soigneusement leur position dans la chaîne de responsabilités. Le simple fait d'apposer son nom ou sa marque sur un système peut suffire à devenir fournisseur avec l'ensemble des obligations associées.
Les contrats avec les fournisseurs de composants ou de systèmes en marque blanche doivent prévoir explicitement les transferts d'information requis par l'article 25. Ces clauses doivent couvrir : la documentation technique, l'accès aux données d'entraînement et de test, l'assistance technique pour les évaluations de conformité, et les mises à jour en cas de découverte de non-conformités.
Les organisations qui modifient des systèmes d'IA existants doivent évaluer si leurs modifications sont « substantielles » au sens du règlement. En cas de doute, une approche prudente consiste à assumer les obligations de fournisseur pour éviter les risques de non-conformité.
Les fabricants de produits intégrant des composants IA doivent identifier ces composants et s'assurer qu'ils disposent des informations nécessaires pour assumer leurs obligations de fournisseur IA, en plus de leurs obligations au titre des réglementations sectorielles applicables à leurs produits.
L'article 25 de l'AI Act établit un cadre clair pour l'attribution des responsabilités de fournisseur tout au long de la chaîne de valeur de l'IA. En identifiant les situations de transfert de responsabilité (rebranding, modification substantielle, changement de finalité) et en prévoyant des mécanismes de transmission d'information, le règlement garantit qu'un responsable clairement identifié assume les obligations de conformité, quelle que soit la complexité de la chaîne de valeur.
Les dispositions relatives aux composants et aux produits intégrés assurent la cohérence avec les réglementations sectorielles existantes et évitent les situations où un système d'IA intégré échapperait à tout contrôle faute de responsable identifié.
Pour les organisations, l'article 25 impose une vigilance particulière dans la structuration des relations commerciales et contractuelles autour des systèmes d'IA. L'identification de son propre rôle dans la chaîne de valeur et des obligations correspondantes constitue un préalable essentiel à toute démarche de conformité.