Comprendre l'obligation du mandataire Art. 22 pour les fournisseurs hors UE

L'article 22 pose une règle sans ambiguïté : « Prior to making their high-risk AI systems available on the Union market, providers established in third countries shall, by written mandate, appoint an authorised representative which is established in the Union » (AI Act Service Desk, Article 22). Autrement dit, un éditeur californien, singapourien ou canadien ne peut pas commercialiser un système d'IA à haut risque en Europe sans avoir, en amont, formalisé cette désignation par un document écrit.

Quels systèmes sont concernés

L'obligation vise exclusivement les systèmes d'IA à haut risque au sens du Règlement (UE) 2024/1689. Deux familles sont couvertes :

  • Les systèmes de l'annexe III : biométrie, infrastructures critiques, éducation et formation professionnelle, emploi et gestion de la main-d'œuvre, accès aux services essentiels dont le scoring de crédit, répression, migration et justice. Leur application a été reportée au 2 décembre 2027 par l'accord omnibus numérique du 7 mai 2026.
  • Les systèmes de l'annexe I : IA intégrée à des produits déjà réglementés (dispositifs médicaux, machines, jouets), dont l'échéance est fixée au 2 août 2028.

Les modèles d'IA à usage général (GPAI, « general-purpose AI ») relèvent d'un régime distinct, gouverné par l'AI Office depuis le 2 août 2025, et ne déclenchent pas à eux seuls l'obligation de mandataire de l'article 22. Cette distinction est structurante pour qualifier votre besoin. Je détaille plus loin pourquoi elle disqualifie certains prestataires.

Un mandat écrit, préalable et opposable

Le mot « written mandate » n'est pas décoratif. Le mandat doit exister sous forme documentaire, être signé avant la mise sur le marché, et le mandataire doit pouvoir en fournir copie aux autorités de surveillance du marché sur demande, dans une langue officielle des institutions de l'Union indiquée par l'autorité compétente. Le périmètre exact des obligations à haut risque qui pèsent en amont sur le fournisseur — et que le mandataire vérifie — est développé dans le guide de référence sur les systèmes d'IA à haut risque. Ici, je me concentre sur le choix du mandataire lui-même.

Les missions critiques du mandataire : bien plus qu'une simple adresse postale

Trop de fournisseurs hors UE réduisent le mandataire à une adresse de correspondance. C'est une erreur de lecture de l'article 22, qui liste des tâches opérationnelles engageant la responsabilité du représentant.

Le mandataire vérifie que la documentation technique et la déclaration de conformité UE ont bien été établies par le fournisseur, et que la procédure d'évaluation de la conformité appropriée a été suivie. Il conserve à la disposition des autorités, pendant dix ans après la mise sur le marché, une copie de cette documentation, les coordonnées du fournisseur et le mandat lui-même. Cette durée d'archivage est un engagement lourd : elle suppose des processus de rétention documentaire fiables et une continuité d'activité sur une décennie.

Il coopère activement avec les autorités compétentes sur toute action visant à réduire ou atténuer les risques présentés par le système. Surtout, le mandat l'habilite à « be addressed, in addition to or instead of the provider, by the competent authorities, on all issues related to ensuring compliance with this Regulation » (Article 22). Il devient donc un interlocuteur substituable au fournisseur : les autorités peuvent s'adresser à lui directement, sans passer par le siège hors UE.

Concrètement, pour un éditeur nord-américain d'un logiciel de tri de CV — usage relevant de l'emploi à l'annexe III — le mandataire européen sera celui que la CNIL contactera en cas de plainte pour biais discriminatoire. Le fournisseur, lui, restera à 8 000 kilomètres. La qualité du mandataire détermine alors la qualité de votre défense réglementaire.

Cartographie des autorités de surveillance : avec qui votre mandataire va-t-il dialoguer ?

Choisir un mandataire, c'est aussi anticiper avec quelles autorités il devra composer. En France, le schéma de gouvernance retenu par le Gouvernement est sectoriel et multi-autorités, ce qui rend l'expertise du mandataire d'autant plus décisive.

Selon la Direction générale des Entreprises, la répartition est la suivante :

Usage du système d'IA Autorité compétente en France
Biométrie (annexe III(1)) CNIL
Emploi et gestion de la main-d'œuvre (annexe III(4)) CNIL
Scoring de crédit et assurance (annexe III(5)) ACPR
Infrastructures critiques (annexe III(2)) HFDS des ministères concernés
Justice (annexe III(8a)) Conseil d'État, Cour de cassation, Cour des comptes
Formation professionnelle (annexe III(3)) CNIL et DGCCRF
Reconnaissance des émotions, catégorisation biométrique (art. 50(3)) CNIL
Contenus de synthèse, hypertrucages (art. 50(2,3)) DGCCRF et Arcom

Au-dessus de cette mosaïque, la DGCCRF joue le rôle de point de contact unique au titre de l'article 70.2 du règlement, en charge de la coordination des autorités de surveillance du marché. Un socle technique mutualisé est par ailleurs assuré par le PEReN (Pôle d'expertise de la régulation numérique) et l'Anssi (Agence nationale de la sécurité des systèmes d'information).

La conséquence pratique est claire : un mandataire doit comprendre le référentiel de l'autorité qui traitera votre cas d'usage. Un mandataire rompu au dialogue avec l'ACPR pour un système de scoring bancaire n'aura pas les mêmes réflexes qu'un mandataire habitué aux exigences de la CNIL sur la biométrie. La spécialisation sectorielle devient un critère de sélection, pas un simple bonus.

Critère 1 : l'expertise technique et la compréhension des risques spécifiques

Premier critère, et le plus souvent sous-estimé : le mandataire doit comprendre techniquement le système qu'il représente. Un cabinet juridique généraliste, aussi compétent soit-il en droit, peut se révéler insuffisant s'il est incapable d'auditer la substance technique de la conformité.

Le mandataire de l'article 22 doit vérifier que la documentation de conformité a été correctement établie. Or cette documentation, pour un système à haut risque, couvre des exigences techniques lourdes : qualité et gouvernance des jeux de données d'entraînement pour minimiser les biais discriminatoires, traçabilité par journalisation (logging), robustesse, cybersécurité et exactitude, mesures de supervision humaine (Commission européenne, AI Act). Vérifier « pour la forme » ne suffit pas si les autorités demandent des comptes.

Le mandataire doit aussi savoir distinguer un modèle à usage général (GPAI) d'un système à haut risque, car le régime, l'autorité de tutelle et les obligations diffèrent radicalement. Un prestataire qui confond ces catégories vous exposera à des erreurs de qualification coûteuses.

Chez IAPRO, notre lecture est que le bon profil combine trois compétences : une culture juridique du Règlement (UE) 2024/1689, une capacité d'audit technique (qualité des données, mitigation des biais, robustesse), et une connaissance du secteur d'usage. Ce triptyque est rare, mais c'est lui qui transforme un mandataire passif en garde-fou réel. Sur les fondamentaux des obligations générales de conformité, la formation gratuite Bpifrance-France Num constitue un bon point de départ pour vos équipes internes.

Critère 2 : la réactivité face aux procédures de surveillance du marché

Deuxième critère : la capacité à répondre vite. Les pouvoirs des autorités de surveillance du marché sont étendus, et les délais peuvent être courts.

Selon la Commission européenne (Market Surveillance Authorities), ces autorités disposent du pouvoir « to investigate and enforce compliance », de conduire une surveillance à distance (remote monitoring) et d'accéder à la documentation, aux jeux de données et au code source des fournisseurs. Elles peuvent proposer des enquêtes conjointes avec la Commission, exiger des mesures correctives et imposer des sanctions.

Dans ce contexte, un mandataire qui met trois semaines à réunir une documentation demandée sous quinze jours devient un risque en soi. La réactivité se mesure très concrètement : disponibilité d'un interlocuteur identifié, accès organisé aux archives conservées pour dix ans, canal de communication établi avec le fournisseur hors UE malgré le décalage horaire, procédures pré-établies de transmission de code source ou de jeux de données sensibles.

J'invite systématiquement les fournisseurs à tester ce point avant de signer : demandez au candidat mandataire son délai contractuel de réponse à une réquisition d'autorité et le processus qu'il mobiliserait. Un prestataire sérieux répondra avec des engagements de niveau de service. Un prestataire opportuniste restera vague. Cette différence, apparemment mineure, peut décider du maintien ou du retrait de votre produit du marché européen.

Critère 3 : la gestion du risque juridique et la clause de résiliation

Troisième critère, le plus délicat : l'article 22(4) crée une asymétrie qu'il faut absolument encadrer contractuellement. Le texte dispose que « the authorised representative shall terminate the mandate if it considers or has reason to consider the provider to be acting contrary to its obligations pursuant to this Regulation ». En cas de rupture, il doit immédiatement informer l'autorité de surveillance du marché compétente, ainsi que, le cas échéant, l'organisme notifié, en indiquant les motifs.

Autrement dit, votre mandataire dispose d'un pouvoir de rupture unilatérale assorti d'une obligation de signalement aux autorités. Une résiliation mal préparée équivaut à un signal d'alerte réglementaire vous concernant, avec un impact direct sur votre présence sur le marché.

D'où l'importance de structurer le mandat pour protéger les deux parties. Je recommande d'y intégrer :

  • Des seuils d'alerte objectifs et gradués : à quel moment un doute de conformité déclenche une notification interne plutôt qu'une résiliation immédiate.
  • Une procédure de remédiation contradictoire : délai laissé au fournisseur pour corriger avant toute rupture, avec échanges documentés.
  • Des clauses de communication continue : reporting périodique du fournisseur vers le mandataire sur l'évolution de la conformité, les incidents et les mises à jour du système.
  • Une répartition des responsabilités claire, sachant que le mandataire n'assume pas les obligations de fond du fournisseur mais engage sa propre responsabilité sur les tâches du mandat.

Bien rédigé, le mandat transforme la clause de résiliation en mécanisme d'alerte précoce plutôt qu'en couperet. C'est tout l'enjeu de la négociation.

La localisation stratégique : choisir le bon hub européen

Le mandataire doit être établi dans l'Union, mais rien n'impose un État membre précis. Ce choix géographique est stratégique.

Opter pour un mandataire situé dans une juridiction dotée d'un écosystème IA structuré et souverain, comme la France, présente plusieurs avantages concrets. La France a mis en place un schéma de gouvernance détaillé, avec la DGCCRF comme point de contact unique et un appui technique mutualisé PEReN-Anssi. Un mandataire français maîtrise ce paysage institutionnel et sait à quelle porte frapper selon votre cas d'usage.

La proximité linguistique et culturelle compte également. La rédaction des documents officiels, les échanges avec les autorités et la production éventuelle du mandat dans une langue officielle de l'Union se déroulent plus fluidement lorsque le mandataire opère dans sa langue de travail et connaît les usages administratifs locaux. Pour un fournisseur qui vise en priorité le marché francophone, un mandataire français réduit les frictions.

Enfin, la dimension souveraineté n'est pas neutre. Chez IAPRO, nous installons de l'IA on-premise précisément parce que la maîtrise de la donnée et l'ancrage territorial rassurent les clients B2B européens. Un mandataire ancré dans le même écosystème envoie un signal cohérent de confiance à vos futurs clients. Ce choix de localisation prolonge votre positionnement commercial, il ne fait pas que cocher une case juridique. Pour situer votre système dans la cartographie réglementaire d'ensemble, notre hub AI Act et notre glossaire IA vous donnent les repères.

Roadmap opérationnelle : de la signature du mandat à la mise sur le marché

Voici la séquence que j'applique avec les fournisseurs hors UE que nous accompagnons. Elle tient en cinq étapes.

  1. Audit initial du système par le mandataire. Avant tout engagement, le mandataire qualifie le système : haut risque annexe III ou annexe I, ou hors périmètre. Il vérifie l'existence et la complétude de la documentation technique, de la déclaration de conformité UE et de la procédure d'évaluation suivie. C'est le filtre qui évite d'endosser un mandat sur un système non conforme.

  2. Rédaction et signature du mandat écrit. Le mandat formalise les tâches confiées, les seuils d'alerte, la procédure de remédiation et les clauses de communication. Il est signé avant la mise sur le marché, condition impérative de l'article 22.

  3. Enregistrement auprès des autorités compétentes. Le cas échéant, le mandataire prend en charge les obligations d'enregistrement du système dans la base de données de l'UE et identifie l'autorité de surveillance sectorielle pertinente.

  4. Mise en place du monitoring post-marché. Une fois le système sur le marché, les autorités assurent la surveillance, les déployeurs la supervision humaine, et le fournisseur doit disposer d'un système de surveillance après commercialisation avec signalement des incidents graves (Commission européenne). Le mandataire orchestre les échanges.

  5. Reporting périodique. Le fournisseur transmet régulièrement au mandataire l'état de conformité, les mises à jour du modèle et les incidents. Ce flux nourrit la capacité de réponse rapide et sécurise la relation contractuelle dans la durée.

Cette roadmap n'est pas théorique : elle structure la relation sur les dix années d'archivage imposées et évite les angles morts qui déclenchent les ruptures de mandat.

ROI et avantage concurrentiel : la conformité comme accélérateur d'adoption

Je termine sur la vision qui guide notre méthode IAPRO. Un bon mandataire n'est pas une ligne de coût réglementaire à minimiser. C'est un actif de confiance.

Comme le rappelle France Num, « pour les entreprises, la conformité devient un levier stratégique : sécuriser les données, limiter les biais, assurer une supervision humaine et renforcer la confiance des utilisateurs ». Sur le marché B2B européen, vos clients — DSI, DPO, RSSI, directions achats — évaluent désormais la conformité de vos fournisseurs comme un critère d'achat. Un fournisseur hors UE doté d'un mandataire européen crédible, réactif et sectoriellement expert lève un frein majeur à la signature.

À l'inverse, l'absence de mandataire, ou un mandataire fantôme incapable de répondre aux autorités, se traduit par une perte de crédibilité commerciale et un risque de retrait du marché. La différence entre les deux se chiffre en cycles de vente raccourcis, en appels d'offres remportés et en litiges évités. Pour objectiver ce calcul, notre calculateur de ROI IA intègre le coût de la mise en conformité face aux gains d'adoption. La conformité robuste, portée par le bon mandataire, devient un différenciateur face aux acteurs moins transparents.

FAQ — Mandataire AI Act et fournisseurs hors UE

Quels types d'IA sont obligatoirement soumis au mandataire Art. 22 ?

Seuls les systèmes d'IA à haut risque au sens du Règlement (UE) 2024/1689 déclenchent l'obligation : ceux de l'annexe III (biométrie, emploi, scoring de crédit, éducation, justice, infrastructures critiques) et ceux de l'annexe I (IA intégrée aux produits réglementés). Un fournisseur hors UE doit alors désigner un mandataire établi dans l'Union avant la mise sur le marché.

Le fournisseur peut-il être directement sanctionné par le mandataire ?

Non. Le mandataire ne prononce pas de sanction : ce pouvoir appartient aux autorités de surveillance du marché. En revanche, l'article 22(4) l'oblige à rompre le mandat s'il estime le fournisseur non conforme et à en informer immédiatement l'autorité compétente. Ce signalement peut, lui, déclencher une procédure de contrôle et des sanctions par l'autorité.

Quelle est la durée de conservation obligatoire des documents par le mandataire ?

Le mandataire doit tenir à la disposition des autorités, pendant dix ans après la mise sur le marché du système, une copie de la documentation technique, la déclaration de conformité UE, les coordonnées du fournisseur et le mandat. Cette rétention décennale suppose des processus documentaires fiables et une continuité d'activité, critère à vérifier avant toute désignation.

Peut-on avoir plusieurs mandataires pour différents systèmes d'IA ?

Rien dans l'article 22 n'impose un mandataire unique pour l'ensemble d'un portefeuille. Un fournisseur peut désigner des mandataires distincts selon les systèmes, ce qui peut s'avérer pertinent lorsque les usages relèvent d'autorités sectorielles différentes — par exemple l'ACPR pour un scoring de crédit et la CNIL pour un système biométrique. Chaque mandat reste toutefois propre à son ou ses systèmes.

Que se passe-t-il si le mandataire rompt le mandat unilatéralement ?

Si le mandataire rompt le mandat au titre de l'article 22(4), il doit immédiatement informer l'autorité de surveillance du marché et, le cas échéant, l'organisme notifié, en indiquant les motifs. Le fournisseur se retrouve alors sans représentant dans l'Union, en infraction, et doit en désigner un nouveau. Une résiliation mal anticipée agit comme une alerte réglementaire directe.

Le mandataire doit-il être une entreprise spécialisée en IA ou un cabinet d'avocats ?

Le règlement n'impose pas de forme précise. En pratique, un cabinet juridique généraliste peut manquer de la capacité d'auditer techniquement la qualité des jeux de données, la robustesse ou la mitigation des biais. Le profil idéal combine culture juridique du Règlement (UE) 2024/1689, compétence d'audit technique et connaissance du secteur d'usage concerné.

Comment le mandataire interagit-il avec la CNIL en cas de système biométrique ?

En France, la CNIL est l'autorité compétente pour les systèmes d'IA biométriques (annexe III(1)) et pour la reconnaissance des émotions ou la catégorisation biométrique (art. 50(3)). Le mandataire est l'interlocuteur que la CNIL peut adresser directement sur les questions de conformité, en fournissant la documentation requise et en coopérant sur les mesures d'atténuation des risques.

Quelles sont les sanctions encourues en cas d'absence de mandataire pour un fournisseur hors UE ?

L'absence de mandataire rend le système inéligible au marché de l'Union : sa mise sur le marché est irrégulière. Le régime de sanctions de l'article 99 du Règlement (UE) 2024/1689 devient pleinement applicable au 2 août 2026. Les montants et modalités précis relèvent d'une analyse dédiée ; l'essentiel est qu'un défaut de désignation expose au retrait du produit et à des poursuites.

Le mandat écrit doit-il être traduit dans toutes les langues de l'UE ?

Non. L'article 22 prévoit que le mandataire fournit copie du mandat aux autorités de surveillance du marché sur demande, dans une langue officielle des institutions de l'Union, indiquée par l'autorité compétente. Il n'existe pas d'obligation de traduction systématique dans les 24 langues. La proximité linguistique du mandataire facilite néanmoins la production des documents.

Comment le mandataire gère-t-il les signalements d'incidents par les utilisateurs finaux ?

Toute personne physique ou morale peut adresser une plainte à l'autorité de surveillance du marché si elle soupçonne une infraction. Le mandataire, adressable directement par les autorités, relaie ces signalements vers le fournisseur, coopère aux mesures correctives et alimente le système de surveillance post-marché. Un reporting périodique structuré entre fournisseur et mandataire conditionne la qualité de cette gestion.

Pour aller plus loin avec IAPRO

Vous êtes un fournisseur hors UE et vous devez désigner un mandataire, ou vous êtes un déployeur européen qui veut sécuriser sa chaîne d'approvisionnement en IA ? Nous auditons votre système, qualifions son niveau de risque et structurons le mandat de bout en bout, dans une logique souveraine et on-premise. Échangeons sur votre cas via notre page contact et découvrez notre accompagnement conformité sur le hub AI Act d'IAPRO.

Liens utiles