Je dois mettre mon organisation luxembourgeoise en conformité à l'article 22 du AI Act (UE 2024/1689). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueL'article 22 cible une faille majeure : les fournisseurs d'IA établis hors UE (US, UK, Israël, Chine) qui mettent leurs systèmes à haut risque sur le marché européen sans mandataire formel établi dans l'Union. En pratique, beaucoup d'éditeurs SaaS signent un contrat commercial avec un distributeur européen et croient avoir coché la case, alors que ce distributeur n'a aucun mandat écrit conforme à l'article 22(3). Résultat : lors d'un contrôle par l'EU AI Office ou l'autorité de surveillance du marché compétente, le système est considéré comme illégalement mis sur le marché, et le déployeur européen (votre entreprise) devient solidairement exposé. La CNPD, sur le volet données personnelles, peut également remonter la chaîne via l'article 28 RGPD.Les 6 vérifications à mener avant tout achat d'IA non-UE à haut risqueIdentifier si le fournisseur est établi dans un pays tiers (siège social hors EEE, pas seulement une filiale commerciale UE).Exiger la copie du mandat écrit désignant un mandataire établi dans l'Union, avec ses coordonnées complètes.Vérifier que le mandat couvre explicitement les 5 tâches de l'article 22(3) : déclaration UE de conformité, conservation 10 ans, réponse aux demandes motivées, coopération, enregistrement EUDB.S'assurer que le mandataire dispose réellement de la documentation technique (article 11) et de l'accès aux journaux (article 12).Confirmer la langue officielle UE dans laquelle le mandataire peut fournir le mandat (FR ou EN pour le Luxembourg).Insérer dans le contrat d'achat une clause de notification immédiate en cas de cessation du mandat (article 22(4)).Comment Luxgap automatise ce risqueNotre Luxgap AI Vendor Passport élimine le risque d'acheter une IA non-UE sans mandataire valable en construisant, pour chaque fournisseur d'IA présent dans votre SI, un passeport de conformité opposable mis à jour en continu. L'outil scanne vos contrats Odoo, vos abonnements M365, vos flux Azure OpenAI, vos intégrations Salesforce Einstein et vos dépenses AWS Bedrock pour cartographier automatiquement chaque fournisseur d'IA, déterminer son pays d'établissement via registres officiels (Companies House, Delaware SOS, registre du commerce) et vérifier l'existence d'un mandataire UE conforme article 22.Détecte automatiquement chaque nouveau fournisseur d'IA dès qu'un abonnement, une API key ou un contrat apparaît dans vos systèmes connectés.Classifie le système IA selon les annexes I à III du AI Act (haut risque, risque limité, usage général) à partir de la documentation publique du fournisseur.Vérifie la présence et la validité du mandat article 22 en interrogeant directement le mandataire déclaré, avec relance automatique tous les 6 mois.Génère un modèle de mandat conforme article 22(3) prérempli avec les 5 tâches obligatoires, à proposer au fournisseur lors de la négociation contractuelle.Alerte instantanément sur Teams ou Slack lorsqu'un mandataire notifié une cessation au titre de l'article 22(4), avant même ...

Cadre européenRGPD NIS 2 DORAAI ActLanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Article 22

Mandataires des fournisseurs de systèmes d’IA à haut risque

Règlement établissant des règles harmonisées sur l'intelligence artificielle · UE 2024/1689

Mandataires des fournisseurs de systèmes d’IA à haut risque

1. Avant de mettre leurs systèmes d’IA à haut risque à disposition sur le marché de l’Union, les fournisseurs établis dans des pays tiers désignent, par mandat écrit, un mandataire établi dans l’Union.

2. Le fournisseur autorise son mandataire à exécuter les tâches indiquées dans le mandat que lui a confié le fournisseur.

3. Le mandataire exécute les tâches indiquées dans le mandat que lui a confié le fournisseur. Il fournit une copie du mandat aux autorités de surveillance du marché à leur demande, dans l’une des langues officielles des institutions de l’Union, indiquée par l’autorité compétente. Aux fins du présent règlement, le mandat habilite le mandataire à exécuter les tâches suivantes:

a)	vérifier que la déclaration UE de conformité visée à l’article 47 et la documentation technique visée à l’article 11 ont été établies et que le fournisseur a suivi une procédure appropriée d’évaluation de la conformité;

tenir à la disposition des autorités compétentes et des autorités ou organismes nationaux visés à l’article 74, paragraphe 10, pendant une période de dix ans après la mise sur le marché ou la mise en service du système d’IA à haut risque, les coordonnées du fournisseur ayant désigné le mandataire, une copie de la déclaration UE de conformité visée à l’article 47, la documentation technique et, le cas échéant, le certificat délivré par l’organisme notifié;

à la demande motivée d’une autorité compétente, communiquer à cette dernière toutes les informations et tous les documents, y compris ceux visés au point b) du présent alinéa, nécessaires pour démontrer la conformité d’un système d’IA à haut risque avec les exigences énoncées à la section 2, et notamment lui donner accès aux journaux générés automatiquement par le système d’IA à haut risque, visés à l’article 12, paragraphe 1, dans la mesure où ces journaux se trouvent sous le contrôle du fournisseur;

d)	à la demande motivée des autorités compétentes, coopérer avec elles à toute mesure prise par ces dernières à l’égard du système d’IA à haut risque, en particulier pour réduire et atténuer les risques posés par le système d’IA à haut risque;

e)	le cas échéant, respecter les obligations en matière d’enregistrement visées à l’article 49, paragraphe 1, ou, si l’enregistrement est effectué par le fournisseur lui-même, vérifier que les informations visées à l’annexe VIII, section A, point 3, sont correctes.

Le mandat habilite le mandataire à servir d’interlocuteur, en plus ou à la place du fournisseur, aux autorités compétentes, pour toutes les questions liées au respect du présent règlement.

4. Le mandataire met fin au mandat s’il considère ou a des raisons de considérer que le fournisseur agit de manière contraire aux obligations qui lui incombent en vertu du présent règlement. Dans ce cas, il informe immédiatement l’autorité de surveillance du marché concernée et, selon le cas, l’organisme notifié pertinent de la cessation du mandat et des motifs qui la sous-tendent.

Spécificité Luxembourg

projet de loi luxembourgeois de mise en oeuvre du règlement (UE) 2024/1689 (en cours, désignation des autorités de surveillance du marché IA)

Au Luxembourg, l'autorité de surveillance du marché spécifiquement compétente pour l'IA n'est pas encore formellement désignée à date, mais le projet de loi national en cours de discussion oriente clairement vers un partagé de compétences entre l'ILR (volet marché et conformité produit), la CNPD (volet données personnelles dans l'IA) et la CSSF (pour les systèmes IA déployés dans le secteur financier). En attendant la désignation officielle, les fournisseurs établis hors UE qui ciblent des déployeurs luxembourgeois doivent désigner un mandataire pouvant répondre dans une langue officielle UE acceptée par l'autorité saisie : en pratique au Luxembourg, le français ou l'anglais sont les plus opérationnels.

Pratique Luxgap : nous recommandons d'exiger contractuellement que le mandataire UE puisse répondre en anglais ET en français sous 10 jours ouvrés, et nous proposons à nos clients de jouer le rôle de point de contact local d'escalade vers le mandataire désigné, intégré au mandat DPO ou CISO.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

L'article 22 cible une faille majeure : les fournisseurs d'IA établis hors UE (US, UK, Israël, Chine) qui mettent leurs systèmes à haut risque sur le marché européen sans mandataire formel établi dans l'Union. En pratique, beaucoup d'éditeurs SaaS signent un contrat commercial avec un distributeur européen et croient avoir coché la case, alors que ce distributeur n'a aucun mandat écrit conforme à l'article 22(3). Résultat : lors d'un contrôle par l'EU AI Office ou l'autorité de surveillance du marché compétente, le système est considéré comme illégalement mis sur le marché, et le déployeur européen (votre entreprise) devient solidairement exposé. La CNPD, sur le volet données personnelles, peut également remonter la chaîne via l'article 28 RGPD.

Les 6 vérifications à mener avant tout achat d'IA non-UE à haut risque

Identifier si le fournisseur est établi dans un pays tiers (siège social hors EEE, pas seulement une filiale commerciale UE).
Exiger la copie du mandat écrit désignant un mandataire établi dans l'Union, avec ses coordonnées complètes.
Vérifier que le mandat couvre explicitement les 5 tâches de l'article 22(3) : déclaration UE de conformité, conservation 10 ans, réponse aux demandes motivées, coopération, enregistrement EUDB.
S'assurer que le mandataire dispose réellement de la documentation technique (article 11) et de l'accès aux journaux (article 12).
Confirmer la langue officielle UE dans laquelle le mandataire peut fournir le mandat (FR ou EN pour le Luxembourg).
Insérer dans le contrat d'achat une clause de notification immédiate en cas de cessation du mandat (article 22(4)).

Comment Luxgap automatise ce risque

Notre Luxgap AI Vendor Passport élimine le risque d'acheter une IA non-UE sans mandataire valable en construisant, pour chaque fournisseur d'IA présent dans votre SI, un passeport de conformité opposable mis à jour en continu. L'outil scanne vos contrats Odoo, vos abonnements M365, vos flux Azure OpenAI, vos intégrations Salesforce Einstein et vos dépenses AWS Bedrock pour cartographier automatiquement chaque fournisseur d'IA, déterminer son pays d'établissement via registres officiels (Companies House, Delaware SOS, registre du commerce) et vérifier l'existence d'un mandataire UE conforme article 22.

Détecte automatiquement chaque nouveau fournisseur d'IA dès qu'un abonnement, une API key ou un contrat apparaît dans vos systèmes connectés.
Classifie le système IA selon les annexes I à III du AI Act (haut risque, risque limité, usage général) à partir de la documentation publique du fournisseur.
Vérifie la présence et la validité du mandat article 22 en interrogeant directement le mandataire déclaré, avec relance automatique tous les 6 mois.
Génère un modèle de mandat conforme article 22(3) prérempli avec les 5 tâches obligatoires, à proposer au fournisseur lors de la négociation contractuelle.
Alerte instantanément sur Teams ou Slack lorsqu'un mandataire notifié une cessation au titre de l'article 22(4), avant même que l'autorité de surveillance ne réagisse.
Produit un dossier PDF horodaté et cryptographiquement scellé, opposable à l'EU AI Office et à la CNPD, démontrant votre diligence raisonnable d'acheteur.

Disponible en complément d'un mandat DPO ou CISO Luxgap ou en brique SaaS dédiée selon votre périmètre. Demandez un devis personnalisé et nos équipes préparent une démonstration sur vos fournisseurs d'IA réels, avec un audit blanc gratuit sous 48h pour matérialiser votre exposition avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Mandataires des fournisseurs de systèmes d’IA à haut risque

Ils nous font confiance

Avant de discuter