Déterminer le niveau de risque d’un système d’intelligence artificielle (IA) constitue la deuxième étape de la conformité à l’AI Act. En effet, le Règlement prévoit différentes obligations en fonction du rôle, en distinguant principalement entre le Fournisseur (1), le Fabricant (2), le Déployeur (3) et l’Importateur/Distributeur (4).

 

1.      Fournisseur (Provider)

L’article 3 du Règlement définit le Fournisseur (Provider) comme « une personne physique ou morale, une autorité publique, une agence ou tout autre organisme qui développe ou fait développer un système d’IA ou un modèle d’IA à usage général et le met sur le marché ou met le système d’IA en service sous son propre nom ou sa propre marque, à titre onéreux ou gratuit. »

 En outre, conformément à l’article 25, paragraphe 1, de l’AI Act, sont également considérés comme des « Fournisseurs » de systèmes d’IA à haut risque les Distributeurs, les Déployeurs, les Fabricants de produits ou toute autre personne qui :

  1. Apposent leur propre nom ou leur propre marque sur un système d’IA à haut risque déjà mis sur le marché, sans préjudice des accords contractuels prévoyant une répartition différente des obligations à cet égard ;
  2. Apportent une modification substantielle à un système d’IA à haut risque déjà mis sur le marché en le maintenant comme système d’IA à haut risque ;
  3. Modifient la finalité prévue d’un système d’IA, y compris un système d’IA à usage général, qui n’a pas été classé comme à haut risque et qui a déjà été mis sur le marché, en le faisant devenir un système d’IA à haut risque.

Il en découle que le fait de faire développer un système d’IA par un fournisseur externe ne permet pas à la personne qui le met ensuite sur le marché, ou qui se contente même de le distinguer par sa propre marque – sauf accords contractuels différents – de se soustraire aux obligations strictes prévues par l’AI Act pour les Fournisseurs (Provider).

En outre, toute personne qui modifie un système d’IA à haut risque ou qui utilise un quelconque système d’IA à une finalité non prévue en le faisant devenir un système à haut risque sera considérée comme un Fournisseur (Provider).

En revanche, seront exonérées des obligations prévues pour les Fournisseurs (Provider) les personnes qui développent pour elles-mêmes ou pour d’autres un système d’IA non destiné à être commercialisé ou mis en service. Il reste toutefois à déterminer ce que le Règlement entend par « mis en service » et si ce terme inclut également l’utilisation interne du système d’IA ou non.

 

2.       Fabricant

Les Fabricants – c’est-à-dire ceux qui produisent ou font produire un produit – sont destinataires de l’AI Act dans la mesure où ils sont considérés comme des Fournisseurs (Provider) de systèmes d’IA lorsqu’ils intègrent ces systèmes comme composants de sécurité de leurs produits, s’ils sont régis par la législation de l’UE figurant à l’annexe I du Règlement (ascenseurs, équipements de sécurité, véhicules, composants essentiels d’infrastructures critiques, jouets, etc.), ou lorsqu’ils mettent sur le marché ou mettent en service des systèmes d’IA en tant que produits sous leur propre nom ou leur propre marque.

Une fois encore, il suffira de distinguer un système d’IA par sa propre marque ou d’intégrer un système d’IA dans un produit de marque propre pour être considéré comme un Fournisseur (Provider).

En outre, indépendamment de la présence de la marque ou du nom du Fabricant sur le produit, ce dernier sera considéré comme un Fournisseur (Provider) si le produit relève des produits régis par la législation de l’UE figurant à l’annexe I du Règlement et si le système d’IA agit comme composant de sécurité du produit.

 

3.    Déployeur

L’article 3 du Règlement définit le Déployeur comme « une personne physique ou morale, une autorité publique, une agence ou un autre organisme utilisant sous sa propre autorité un système d’IA sauf lorsque ce système est utilisé dans le cadre d’une activité personnelle à caractère non professionnel. »

 Il en découle que, à l’exception des activités non professionnelles, sont soumis aux obligations prévues par l’AI Act pour les Déployeurs tous ceux qui utilisent des systèmes d’IA pour leurs activités, comme par exemple le fait de permettre à leurs employés d’utiliser des systèmes d’IA ou la mise en œuvre de systèmes d’IA dans leurs processus opérationnels.

 

4.       Importateur et Distributeur

Les Importateurs et les Distributeurs sont soumis à des obligations spécifiques définies aux articles 23 (relatif aux Importateurs) et 24 (relatif aux Distributeurs) de l’AI Act, outre bien entendu le cas où ils relèveraient de la définition de « Fournisseur » au sens de l’article 25, paragraphe 1.

Conformément à l’article 3 de l’AI Act, l’Importateur est «  une personne physique ou morale située ou établie dans l’Union qui met sur le marché un système d’IA qui porte le nom ou la marque d’une personne physique ou morale établie dans un pays tiers » ; tandis qu’un Distributeur est « une personne physique ou morale faisant partie de la chaîne d’approvisionnement, autre que le fournisseur ou l’importateur, qui met un système d’IA à disposition sur le marché de l’Union ».

Essentiellement, relèvent de ces deux dernières catégories toutes les personnes qui participent à la chaîne de valeur d’un système d’IA entrant dans le champ d’application de l’AI Act.

 

Conclusion

Une fois établi que le système d’IA relève du champ d’application de l’AI Act, qu’il correspond à la définition de système d’IA et que son niveau de risque est défini, il sera nécessaire d’identifier son propre rôle au sein de la chaîne de valeur afin de déterminer les obligations spécifiques auxquelles on sera soumis.