Le piège classique
Le considérant 119 cree une zone grise redoutable : votre chatbot IA, votre moteur de recherché augmente ou votre assistant conversationnel peut être simultanement soumis a l'AI Act ET au Digital Services Act (Règlement 2022/2065) en tant que service intermédiaire. Les entreprises se concentrent sur l'un et oublient l'autre, et se retrouvent en infraction sur les obligations de transparence DSA (signalement de contenus illicites, mécanismes de recours, rapports de transparence) tout en croyant être conformes parce qu'elles ont fait leur devoir AI Act. Au Luxembourg, l'EU AI Office supervisera le volet IA generale, mais le DSA reste applicable independamment, et la CNPD garde la main sur les données personnelles indexees par votre chatbot.
Le test de qualification : etes-vous service intermédiaire au sens du DSA ?
Votre système d'IA tombe dans le périmètre du considérant 119 si au moins une de ces situations s'applique :
- Votre chatbot interroge en direct des sites web tiers (recherché live, RAG sur le web ouvert) et restitué les résultats a l'utilisateur final.
- Votre assistant IA aggrege des contenus provenant de tiers (forums, réseaux sociaux, presse) pour generer une réponse unique.
- Vous proposez un moteur de recherché augmente par LLM, même en interne pour des clients B2B, qui combine plusieurs sources externes.
- Votre plateforme hébergé des outputs IA generes par d'autres utilisateurs (marketplaces de prompts, galeries d'images IA, etc.).
Dans ces cas, vous cumulez obligations AI Act (transparence article 50, marquage des contenus synthetiques, documentation technique) ET obligations DSA (points de contact, conditions generales claires, signalements, rapports annuels de transparence si plateforme).
Comment Luxgap automatise ce risque
Notre Luxgap AI-DSA Crossover Mapper elimine l'angle mort réglementaire entre AI Act et DSA en cartographiant automatiquement, pour chaque système d'IA de votre catalogue, sa double qualification juridique et la liste exhaustive des obligations cumulees. L'outil interroge vos environnements Azure OpenAI, AWS Bedrock, Vertex AI, vos logs de production et vos specifications fonctionnelles pour détecter si votre IA realise des appels sortants vers des sources tierces, agrege des contenus exterieurs ou hébergé des outputs utilisateurs, puis bascule la qualification en temps reel.
- Scanne vos pipelines RAG, agents LangChain et function calls pour identifier les systèmes qui interrogent des sites web tiers et basculent dans le périmètre DSA.
- Classifie chaque système d'IA selon une matrice croisee AI Act (risque minimal, limite, eleve, GPAI) et DSA (service intermédiaire, hébergement, plateforme en ligne, très grande plateforme).
- Genere la liste cumulee des obligations applicables : transparence article 50 AI Act, point de contact DSA, conditions generales, mécanisme de signalement, rapport annuel.
- Detecte les contenus synthetiques produits et applique automatiquement le marquage C2PA/watermark exige par l'article 50 AI Act.
- Produit un dossier de conformité croisee horodate, opposable a l'EU AI Office et a la Commission européenne (autorité DSA pour les VLOP).
Disponible en complement d'un mandat DPO ou CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur vos systèmes d'IA reels, avec un audit blanc gratuit sous 48h pour mesurer votre exposition croisee AI Act / DSA avant tout engagement.
