AI Act & Conformité 9 juin 2026 · 17 min de lecture · Par Mohamed Meguedmi

AI Act et marchés publics : nouvelles clauses obligatoires en 2026

Q: Quelle est la différence entre les clauses 'Full' et 'Light' dans les marchés publics ?

Les clauses **Full** s'appliquent aux systèmes d'IA à haut risque (Annexe III) et imposent l'ensemble des obligations du règlement : documentation technique complète, gouvernance des données stricte, supervision humaine, monitoring post-marché, marquage CE. Les clauses **Light**, destinées aux systèmes non haut risque, exigent un socle de transparence, traçabilité et gestion d'incidents, adaptable aux besoins spécifiques de l'acheteur.

Q: Quelle est la responsabilité de l'acheteur public en cas de biais discriminatoire généré par une IA tierce ?

L'acheteur public est qualifié de **déployeur** au sens de l'AI Act et porte une responsabilité directe : assurer une supervision humaine effective, surveiller le fonctionnement du système, suspendre son usage en cas d'incident. La responsabilité du fournisseur (concepteur) ne dégage pas l'administration. C'est pourquoi les clauses contractuelles doivent prévoir un partage clair des responsabilités et un droit de résiliation en cas de défaillance.

Q: Comment fonctionnent les 'bacs à sable réglementaires' pour les projets publics ?

Prévus à l'article 57 du règlement, les **bacs à sable réglementaires** sont des cadres contrôlés où un système d'IA peut être testé en conditions réelles sous supervision d'une autorité, avec souplesse réglementaire temporaire. Chaque État membre doit en mettre en place au moins un d'ici août 2026. L'objectif est de favoriser l'innovation tout en évaluant les risques. Un acheteur public peut y orienter un projet pilote avant déploiement opérationnel.

Q: L'AI Act s'applique-t-il aux outils d'IA développés par des entreprises hors Union Européenne mais utilisés en France ?

Oui. Le règlement s'applique à **tout système d'IA mis sur le marché ou utilisé dans l'UE**, quelle que soit la nationalité du fournisseur. Une administration française qui déploie un outil IA d'un éditeur américain ou asiatique reste soumise à toutes les obligations du règlement. Le fournisseur extra-UE doit désigner un mandataire dans l'Union. Cette extraterritorialité justifie le recours croissant à des solutions souveraines européennes.

Depuis le 1ᵉʳ août 2024, le Règlement (UE) 2024/1689 — communément appelé AI Act — est entré en vigueur et reconfigure en profondeur la commande publique européenne. Les acheteurs publics français, qu'ils relèvent d'un ministère, d'une collectivité territoriale ou d'un établissement public, doivent désormais intégrer dans leurs cahiers des charges des clauses contractuelles spécifiques pour tout système d'intelligence artificielle acquis. J'accompagne depuis 2024 des directions achats et des DSI publiques sur ces dossiers : la complexité réelle n'est pas réglementaire, elle est opérationnelle. Cet article détaille les obligations contractuelles, le calendrier d'application, et la méthode pour transformer la conformité en levier d'achat souverain.

En bref

Cadrer la classification : tout marché public IA doit débuter par une qualification au regard de l'Annexe III de l'AI Act, qui détermine si le système relève du « haut risque » et donc du régime de clauses « Full » ou « Light ».
Intégrer les clauses modèles européennes : la Community of Practice de la Commission a publié en 2024 une version mise à jour des EU AI Model Contractual Clauses, opposables et utilisables en CCAP ou CCTP par tout acheteur public.
Anticiper l'échéance du 2 août 2026 : à cette date, les obligations sur les systèmes d'IA à haut risque (justice, éducation, emploi, biométrie, infrastructures) deviennent pleinement applicables, avec sanctions financières à la clé.
Garantir la supervision humaine : l'AI Act impose un contrôle humain effectif sur toute décision administrative automatisée, ce qui doit figurer expressément dans les engagements contractuels du titulaire.
Préférer la souveraineté on-premise : pour les marchés publics traitant données sensibles ou décisions à impact citoyen, l'installation on-premise simplifie radicalement la conformité RGPD, AI Act et la traçabilité documentaire exigée par l'article 11.

L'AI Act et les marchés publics : un nouveau paradigme de régulation

Le Règlement (UE) 2024/1689, premier cadre juridique horizontal au monde sur l'intelligence artificielle, est entré en vigueur le 1ᵉʳ août 2024. Il s'applique à tout fournisseur et tout déployeur de systèmes d'IA mis sur le marché ou utilisés dans l'Union européenne, y compris les administrations publiques. Comme le rappelle la Direction générale des Entreprises, l'approche est fondée sur les risques : quatre catégories (inacceptable, haut risque, limité, minimal) déterminent l'intensité des obligations.

La commande publique est ciblée prioritairement par le règlement. Les décisions automatisées prises par l'administration — orientation scolaire, attribution d'aides sociales, sélection à l'embauche dans la fonction publique, gestion de l'asile — figurent en grande partie dans l'Annexe III qui liste les usages à haut risque. Pourquoi cette priorité ? Parce qu'une décision administrative biaisée par un algorithme ne porte pas sur un produit commercial, mais sur l'exercice d'un droit fondamental : accès à l'éducation, à l'emploi public, aux prestations sociales, à la justice.

Le calendrier d'application est progressif. Les pratiques interdites le sont depuis le 2 février 2025. Les obligations sur les modèles d'IA à usage général (GPAI) sont entrées en vigueur le 2 août 2025. La date pivot pour les marchés publics est le 2 août 2026 : à cette échéance, l'ensemble des obligations sur les systèmes à haut risque listés à l'Annexe III devient applicable. Les acheteurs publics qui notifient un marché aujourd'hui doivent donc anticiper une exécution sous régime pleinement contraignant.

J'observe sur le terrain que beaucoup d'acheteurs confondent encore « AI Act » et « RGPD ». Les deux textes se cumulent : le RGPD protège les données personnelles, l'AI Act encadre les systèmes algorithmiques eux-mêmes, y compris quand ils n'utilisent aucune donnée personnelle (par exemple un modèle d'aide à la décision sur infrastructure critique). La synthèse opérationnelle est détaillée dans notre hub AI Act IAPRO.

Classification des risques : identifier les systèmes d'IA critiques pour le secteur public

La classification est l'étape contractuelle fondamentale. Sans qualification précise du risque, aucune clause adaptée ne peut être insérée. L'article 6 du Règlement (UE) 2024/1689 et les lignes directrices de la Commission européenne sur la classification publiées en 2025 donnent la méthode officielle.

Un système d'IA est qualifié à haut risque dans deux cas :

Composant de sécurité d'un produit soumis à la législation d'harmonisation listée à l'Annexe I (machines, jouets, dispositifs médicaux, etc.) et requérant une évaluation de conformité tierce.
Usage relevant de l'Annexe III, qui liste huit domaines à haut risque particulièrement pertinents pour le secteur public.

Les domaines de l'Annexe III qui concernent directement la commande publique :

Éducation et formation professionnelle : algorithmes d'orientation, de notation d'examens, de détection de fraude scolaire.
Emploi et gestion des travailleurs : tri de CV pour recrutement dans la fonction publique, évaluation de performance des agents.
Services publics et privés essentiels : attribution d'aides sociales, scoring de crédit, priorisation d'appels aux services d'urgence.
Maintien de l'ordre : évaluation de la fiabilité de preuves, profilage prédictif (sous conditions strictes).
Migration, asile et contrôle aux frontières : examen automatisé de demandes de visa, vérification de documents d'identité.
Administration de la justice et processus démocratiques : aide à la rédaction de décisions, recherche jurisprudentielle automatisée.
Infrastructures critiques : composants IA dans les réseaux d'eau, de gaz, d'électricité, de transports.
Biométrie : identification, catégorisation, reconnaissance d'émotions.

Pour chaque marché, l'acheteur doit produire une note de qualification documentée. Cette note conditionne le choix entre clauses « Full » (haut risque) et clauses « Light » (non haut risque). Une erreur de qualification expose l'administration au risque de nullité du marché et à des sanctions financières atteignant 35 M€ ou 7 % du chiffre d'affaires mondial du fournisseur, selon l'article 99 du Règlement.

Les nouvelles clauses contractuelles obligatoires pour les acheteurs publics

Le 13 juin 2024, l'UE a adopté l'AI Act. Quelques mois plus tard, la Community of Practice on Public Procurement of AI de la Commission européenne a publié une version actualisée des clauses contractuelles modèles, alignée sur le règlement final. Ces clauses, peer-reviewed par des experts juridiques et techniques, constituent aujourd'hui le standard de référence pour l'achat public d'IA en Europe.

Deux versions sont mises à disposition :

Version	Cas d'usage	Niveau de contrainte
Full	Systèmes à haut risque (Annexe III, marquage CE)	Maximal : documentation technique, gouvernance des données, supervision humaine, monitoring post-marché, audit
Light	Systèmes non haut risque (risque limité ou minimal)	Adaptable : socle de transparence, traçabilité, gestion d'incidents, sans toutes les obligations renforcées

Concrètement, les clauses Full intègrent les exigences suivantes, à reproduire dans le CCAP du marché :

Documentation technique conforme à l'article 11 et à l'annexe IV (description du système, méthodes d'entraînement, jeux de données, performances mesurées, limites connues).
Système de gestion des risques (article 9) avec identification, évaluation et atténuation continue des risques tout au long du cycle de vie.
Gouvernance des données (article 10) : qualité, représentativité, absence de biais, traçabilité des jeux d'entraînement, de validation et de test.
Traçabilité par journalisation automatique (article 12) des événements du système.
Transparence et informations à l'utilisateur (article 13) : notice d'utilisation, capacités et limites, supervision humaine requise.
Supervision humaine (article 14) : mesures techniques garantissant qu'une personne physique peut surveiller, comprendre et intervenir.
Robustesse, exactitude et cybersécurité (article 15).
Système de gestion de la qualité (article 17) côté fournisseur.
Évaluation de conformité et marquage CE (article 43).
Monitoring post-marché (article 72) et déclaration des incidents graves (article 73).

Les clauses Light sont plus courtes mais imposent un socle minimal : description fonctionnelle, transparence sur la nature IA, mécanisme d'incident, droits d'audit limités. Pour un panorama complet des outils techniques mobilisables, consultez le glossaire IA IAPRO.

Gouvernance des données et qualité des jeux d'entraînement : exigences de conformité

L'article 10 du Règlement (UE) 2024/1689 impose, pour les systèmes à haut risque, une gouvernance des données extrêmement précise. L'acheteur public doit, par voie contractuelle, exiger du titulaire la démonstration que :

les jeux d'entraînement, de validation et de test sont pertinents, suffisamment représentatifs, exempts d'erreurs et complets au regard de la finalité du système ;
les méthodes de collecte de données sont documentées, y compris la provenance, le mode d'annotation et les opérations de nettoyage ;
les biais possibles sont identifiés et corrigés, en particulier ceux susceptibles d'affecter des groupes protégés (origine, sexe, âge, handicap, religion) ;
les caractéristiques propres au contexte géographique, comportemental ou fonctionnel d'usage sont prises en compte.

Cette exigence est cruciale en commande publique. Un algorithme entraîné sur des données nord-américaines pour trier des candidatures ne peut être déployé en l'état dans une administration française : les distributions démographiques diffèrent, et les biais introduits peuvent constituer une discrimination indirecte au sens de la jurisprudence du Conseil d'État.

La CNIL a publié plusieurs recommandations sur la conformité RGPD des traitements IA, qui se cumulent avec les obligations AI Act. En particulier, la CNIL, l'ANSSI, le PEReN et l'Inria développent l'outil d'audit PANAME pour évaluer la confidentialité des modèles. Pour un acheteur public, citer PANAME dans son CCAP comme outil de vérification post-attribution est un signal fort de maturité.

J'ai vu, sur un marché récent d'une métropole pour un outil de relation citoyenne, l'absence totale de clause de gouvernance des données. Le titulaire utilisait un modèle américain commercial, sans documentation des jeux d'entraînement, sans engagement de localisation des données. Le marché a été suspendu après alerte du DPO. Le coût de la mise en conformité a posteriori a dépassé 18 mois de recettes et nécessité une renégociation complète. L'audit en amont par notre méthode IAPRO aurait coûté moins de 8 000 €.

Transparence et supervision humaine : garantir la confiance dans les décisions publiques

L'article 14 du Règlement impose une supervision humaine effective sur tout système à haut risque. Il ne s'agit pas d'un visa formel : l'humain doit pouvoir comprendre la décision, l'interroger, l'écarter et intervenir manuellement à tout moment. Concrètement, cela impose en marché public :

la formation initiale et continue des agents qui utiliseront le système ;
la disponibilité de mécanismes techniques d'arrêt d'urgence (« stop button ») ;
la documentation claire des cas où l'humain doit obligatoirement reprendre la main ;
la traçabilité de chaque intervention humaine pour audit ultérieur.

Pour les systèmes à risque limité (chatbots, IA générative produisant du contenu pour les administrés), l'article 50 impose une obligation de transparence : l'utilisateur doit être informé qu'il interagit avec une machine, sauf cas évident. Les contenus générés par IA (deepfakes, textes d'intérêt public) doivent être étiquetés visiblement. Ces règles s'appliquent à partir d'août 2026.

La supervision humaine est aussi une exigence du droit administratif français. L'article L. 311-3-1 du Code des relations entre le public et l'administration impose à toute administration utilisant un traitement algorithmique pour fonder une décision individuelle d'informer l'usager et de pouvoir lui en expliquer le fonctionnement. L'AI Act renforce ce cadre en le rendant ex ante (vérifié avant déploiement) et non plus seulement ex post (vérifiable sur demande de l'usager).

Pour les administrations soucieuses de garantir ce contrôle humain effectif, l'installation d'une IA on-premise — où le modèle, les données et les logs restent sur infrastructure interne — simplifie radicalement la démonstration de conformité. C'est précisément l'approche que je défends chez IAPRO sur le hub métiers IAPRO.

Du cahier des charges au suivi post-marché : le cycle de vie du contrat IA

Le cycle de vie d'un marché public IA conforme à l'AI Act comporte sept étapes structurantes. Je les ai modélisées comme suit :

Définition du besoin : qualification du risque (Annexe III), évaluation d'impact sur les droits fondamentaux (FRIA — Fundamental Rights Impact Assessment, article 27), analyse RGPD (AIPD).
Rédaction du cahier des charges : insertion des clauses Full ou Light, exigences techniques (modèle, infrastructure, langue), critères d'attribution intégrant la conformité.
Analyse des offres : vérification des engagements du fournisseur, contrôle de la documentation technique fournie en annexe.
Notification et démarrage : vérification du marquage CE (pour haut risque), enregistrement dans la base de données européenne prévue à l'article 71.
Recette technique : tests de robustesse, tests d'absence de biais, validation de la supervision humaine.
Exécution : monitoring continu, audits annuels, mise à jour des analyses de risque.
Monitoring post-marché : obligation pour le fournisseur (article 72) de surveiller les performances, déclarer les incidents graves dans les 15 jours (article 73), maintenir la documentation à jour.

Le monitoring post-marché change fondamentalement la nature des marchés publics IA. Là où un marché de logiciel classique se contentait d'une garantie d'évolution corrective, un marché IA à haut risque impose au titulaire une obligation permanente de surveillance et de reporting auprès des autorités nationales de surveillance du marché. En France, la CNIL et l'ARCOM sont positionnées comme autorités de surveillance pour leurs domaines respectifs.

L'expérimentation française : vers une stratégie nationale d'achat public souverain

La France s'inscrit pleinement dans cette dynamique. La Direction des Achats de l'État (DAE) a lancé fin 2024 une expérimentation interministérielle réunissant 44 agents, plusieurs plateformes régionales des achats (PFRA) et établissements publics, en lien avec la DGE. Six cas d'usage ont été priorisés :

aide à la production documentaire (synthèse de textes, comptes-rendus de réunion) ;
sourçage des fournisseurs (cartographie par famille d'achat) ;
rédaction des documents contractuels avec considérations environnementales et sociales ;
aide à la production des avis des responsables ministériels des achats ;
analyse des offres reçues ;
production des indicateurs de performance.

L'expérimentation a donné lieu à un bilan au premier semestre 2025 et débouchera sur une feuille de route pluriannuelle, incluant un cadre de contractualisation national et une stratégie de déploiement. Plusieurs PME françaises ont été retenues — un signal fort pour la souveraineté numérique. C'est cohérent avec la stratégie nationale d'investissement : un fonds de 400 millions d'euros pour neuf clusters IA et un objectif de formation de 100 000 personnes par an.

Pour les collectivités territoriales, la dynamique est similaire avec des marchés mutualisés (UGAP, centrales d'achat régionales) qui intègrent progressivement des clauses AI Act. Les EPIC du secteur transport et énergie (SNCF, RATP, EDF, ENEDIS) — concernés par les infrastructures critiques de l'Annexe III — sont en première ligne. Les acheteurs qui souhaitent comprendre l'impact financier de leur transition peuvent utiliser le calculateur ROI IA IAPRO.

Stratégies de mise en conformité : audits, bacs à sable et outils d'évaluation

Sur le plan opérationnel, trois leviers permettent à un acheteur public de sécuriser sa démarche :

1. Les bacs à sable réglementaires (regulatory sandboxes) — Prévus à l'article 57 du Règlement, ils permettent à un acheteur ou un fournisseur de tester un système d'IA innovant en conditions contrôlées, sous supervision d'une autorité, avec un assouplissement temporaire des règles. À partir du 2 août 2026, chaque État membre doit mettre en place au moins un bac à sable national. C'est un outil particulièrement adapté aux administrations qui veulent expérimenter une IA dans un cas d'usage borderline (à la frontière entre risque limité et haut risque) avant de la déployer.

2. L'audit indépendant pré-attribution — Avant notification d'un marché IA à haut risque, je recommande systématiquement à mes clients publics un audit de conformité indépendant. Cet audit, mené par un tiers expert (IAPRO ou partenaire comme Regulia sur le volet juridique AI Act), couvre la qualification du risque, l'analyse des clauses retenues, la vérification de la documentation technique, et l'évaluation de la robustesse du modèle proposé.

3. Les outils techniques d'évaluation — L'outil PANAME développé par la CNIL, l'ANSSI, le PEReN et l'Inria permet d'évaluer la confidentialité d'un modèle IA. D'autres outils émergent : checkers de biais, frameworks d'évaluation de robustesse (HELM, BIG-bench), outils de mesure d'empreinte carbone (CodeCarbon). Un cahier des charges mature impose au titulaire de soumettre son système à au moins un outil d'audit reconnu.

Pour les acheteurs publics souhaitant financer ces démarches, plusieurs aides peuvent être mobilisées (diagnostic IA Bpifrance, France Num, FEDER régional pour les collectivités). Le hub aides IAPRO recense les dispositifs activables. Le coût type d'un audit AI Act pré-marché varie entre 6 000 et 25 000 € selon la complexité.

ROI et avantages stratégiques : faire de la conformité un levier de performance

J'entends régulièrement, en réunion avec des élus ou des directeurs achats, que l'AI Act serait un frein à l'innovation publique. Mon expérience démontre l'inverse. Une commande publique IA conforme apporte trois avantages stratégiques mesurables :

Réduction du risque juridique — Une décision administrative annulée par un tribunal administratif pour défaut de transparence algorithmique coûte en moyenne 80 000 à 200 000 € de frais de contentieux, plus les indemnisations potentielles. Sécuriser le marché en amont avec des clauses solides évite ce risque. Les sanctions AI Act prévues à l'article 99 — jusqu'à 35 M€ ou 7 % du CA mondial pour les violations les plus graves — visent aussi le déployeur, donc l'administration.

Acceptabilité citoyenne — Une IA publique transparente, dont les biais ont été audités et la supervision humaine documentée, est mieux acceptée par les administrés. Sur le scoring de prestations sociales, on observe que les recours gracieux diminuent de manière significative lorsque l'administration documente publiquement le fonctionnement de son algorithme.

Qualité décisionnelle — Les exigences sur la qualité des données (article 10) et la robustesse (article 15) ne sont pas seulement des contraintes : elles forcent l'administration à choisir des systèmes plus performants. Un modèle qui passe l'audit AI Act est, factuellement, un meilleur modèle.

C'est cette logique que je porte chez IAPRO depuis Roubaix : l'IA souveraine on-premise (Mistral 7B, Llama 3, Qwen, déployés sur Ollama et OpenWebUI) répond nativement à la quasi-totalité des exigences AI Act parce que le code, les poids, les logs et les données restent sur l'infrastructure de l'administration. Aucun transfert hors UE, aucune dépendance à un fournisseur cloud étranger, aucune ambiguïté sur la responsabilité.

FAQ — AI Act et marchés publics

Quelle est la date d'application effective des obligations pour les systèmes d'IA à haut risque ?

Les obligations sur les systèmes d'IA à haut risque listés à l'Annexe III du Règlement (UE) 2024/1689 deviennent pleinement applicables le 2 août 2026. Pour les systèmes à haut risque intégrés comme composants de sécurité de produits réglementés (jouets, dispositifs médicaux, machines), l'application est reportée au 2 août 2027 selon le calendrier publié par la DGE.

Quelle est la différence entre les clauses 'Full' et 'Light' dans les marchés publics ?

Les clauses Full s'appliquent aux systèmes d'IA à haut risque (Annexe III) et imposent l'ensemble des obligations du règlement : documentation technique complète, gouvernance des données stricte, supervision humaine, monitoring post-marché, marquage CE. Les clauses Light, destinées aux systèmes non haut risque, exigent un socle de transparence, traçabilité et gestion d'incidents, adaptable aux besoins spécifiques de l'acheteur.

Un acheteur public peut-il utiliser une IA générative sans respecter l'AI Act ?

Non. Toute IA générative déployée en administration relève au minimum des obligations de transparence de l'article 50 : informer l'utilisateur qu'il interagit avec une IA, étiqueter les contenus générés. Si l'IA générative est utilisée pour préparer une décision administrative individuelle (refus, sanction, attribution), elle peut basculer en haut risque selon l'Annexe III et imposer le régime complet d'obligations.

Quelles sont les sanctions en cas de non-conformité d'un système d'IA utilisé par une administration ?

L'article 99 du Règlement (UE) 2024/1689 prévoit des sanctions graduées : jusqu'à 35 M€ ou 7 % du chiffre d'affaires mondial pour les violations les plus graves (pratiques interdites), jusqu'à 15 M€ ou 3 % pour les manquements aux obligations sur les systèmes à haut risque, et jusqu'à 7,5 M€ ou 1 % pour la fourniture d'informations inexactes. Les autorités publiques sont concernées.

Comment identifier si un outil d'IA tiers est classé comme 'haut risque' ?

Il faut croiser l'usage prévu avec l'Annexe III du règlement et les lignes directrices de la Commission sur la classification. La méthode consiste à documenter la finalité opérationnelle, le secteur d'usage (éducation, emploi, justice, etc.), et l'impact potentiel sur les droits fondamentaux. En cas de doute, l'audit pré-marché par un expert indépendant sécurise la qualification.

L'AI Act impose-t-il un marquage CE pour tous les logiciels utilisant l'IA ?

Non. Le marquage CE n'est obligatoire que pour les systèmes d'IA classés à haut risque (article 43 et 48). Les systèmes à risque limité (chatbots informationnels, filtres anti-spam, IA générative non décisionnelle) ne nécessitent pas de marquage CE, mais doivent respecter les obligations de transparence de l'article 50. Les systèmes à risque minimal ne sont pas soumis au règlement.

Quelle est la responsabilité de l'acheteur public en cas de biais discriminatoire généré par une IA tierce ?

L'acheteur public est qualifié de déployeur au sens de l'AI Act et porte une responsabilité directe : assurer une supervision humaine effective, surveiller le fonctionnement du système, suspendre son usage en cas d'incident. La responsabilité du fournisseur (concepteur) ne dégage pas l'administration. C'est pourquoi les clauses contractuelles doivent prévoir un partage clair des responsabilités et un droit de résiliation en cas de défaillance.

Quelles données doivent être obligatoirement accessibles au donneur d'ordre dans le contrat ?

Selon l'article 11 et l'annexe IV du règlement, le fournisseur doit transmettre la documentation technique complète : description du système, méthodes d'entraînement, caractéristiques des jeux de données, performances mesurées, limites connues, mesures de cybersécurité. Le déployeur public doit également avoir accès aux logs (article 12) sur une durée appropriée, généralement six mois minimum, pour assurer la traçabilité.

Comment fonctionnent les 'bacs à sable réglementaires' pour les projets publics ?

Prévus à l'article 57 du règlement, les bacs à sable réglementaires sont des cadres contrôlés où un système d'IA peut être testé en conditions réelles sous supervision d'une autorité, avec souplesse réglementaire temporaire. Chaque État membre doit en mettre en place au moins un d'ici août 2026. L'objectif est de favoriser l'innovation tout en évaluant les risques. Un acheteur public peut y orienter un projet pilote avant déploiement opérationnel.

L'AI Act s'applique-t-il aux outils d'IA développés par des entreprises hors Union Européenne mais utilisés en France ?

Oui. Le règlement s'applique à tout système d'IA mis sur le marché ou utilisé dans l'UE, quelle que soit la nationalité du fournisseur. Une administration française qui déploie un outil IA d'un éditeur américain ou asiatique reste soumise à toutes les obligations du règlement. Le fournisseur extra-UE doit désigner un mandataire dans l'Union. Cette extraterritorialité justifie le recours croissant à des solutions souveraines européennes.

Pour aller plus loin avec IAPRO

Si vous êtes acheteur public, DSI, DPO ou directeur juridique d'une administration et que vous préparez un marché IA, IAPRO accompagne la qualification du risque, la rédaction des clauses Full/Light, l'audit pré-attribution et l'installation on-premise de modèles souverains (Mistral, Llama 3, Qwen). Notre formule Audit AI Act Marché Public couvre l'intégralité de la chaîne de conformité, du cahier des charges au monitoring post-marché. Contactez-nous via /contact pour un premier échange gratuit de 30 minutes.