Le piège classique
Le considérant 79 verrouille un point que beaucoup d'integrateurs IA luxembourgeois sous-estiment : peu importe qui a code le modèle, c'est celui qui met sur le marché ou en service le système IA a haut risque qui porté la responsabilité réglementaire. En pratique, une fintech CSSF qui deploie un modèle open source HuggingFace fine-tune en interne devient fournisseur au sens du AI Act, avec toutes les obligations des articles 16 a 21. L'EU AI Office et la future autorité de surveillance luxembourgeoise n'iront pas chercher Mistral ou OpenAI : ils sanctionneront l'entité qui a appose son nom sur le système.
Le test pratique : etes-vous fournisseur, deployeur, ou les deux ?
Le considérant 79 lu avec l'article 25 cree quatre situations de bascule ou un simple deployeur devient juridiquement fournisseur, avec toutes les obligations associees :
- Vous apposez votre marque ou logo sur un système IA tiers que vous redistribuez a vos clients.
- Vous modifiez substantiellement un système IA a haut risque deja sur le marché (fine-tuning lourd, changement de finalité).
- Vous detournez un système IA general (ChatGPT, Claude, Gemini) vers un usage classe haut risque par l'annexe III (recrutement, scoring crédit, éducation).
- Vous integrez un composant IA tiers dans un produit fini que vous commercialisez sous votre responsabilité.
La conséquence est lourde : documentation technique article 11, système de gestion des risques article 9, surveillance post-commercialisation article 72, déclaration UE de conformité article 47. Sans oublier la coordination CNPD pour le volet données personnelles.
Comment Luxgap automatise ce risque
Notre Luxgap AI Rôle Classifier elimine l'angle mort le plus dangereux du AI Act : croire que vous êtes simple deployeur alors que vous êtes deja juridiquement fournisseur. L'outil cartographie en continu vos usages IA reels via des connecteurs natifs Microsoft Copilot, Azure OpenAI, AWS Bedrock, Google Vertex, HuggingFace Enterprise et vos depots GitHub/GitLab, puis applique un arbre de décision aligne sur les articles 3, 25 et l'annexe III pour qualifier chaque système.
- Detecte automatiquement chaque nouveau modèle IA deploye dans votre SI, y compris les fine-tuning et les wrappers maison construits au-dessus d'API tierces.
- Classifie chaque système selon les quatre niveaux du AI Act (prohibe, haut risque, transparence, minimal) en croisant la finalité reelle observee et l'annexe III.
- Alerte sur Teams ou Slack des qu'une modification substantielle (changement de prompt système, fine-tuning, nouveau cas d'usage) fait basculer un deployeur en fournisseur au sens de l'article 25.
- Genere le dossier technique article 11 preempli à partir des metadonnees collectees automatiquement (données d'entrainement, metriques, journalisation).
- Produit un rapport PDF horodate et cryptographiquement scelle, opposable a l'EU AI Office et a la future autorité luxembourgeoise lors d'un contrôle.
Disponible en complement d'un mandat DPO ou CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre périmètre IA reel, avec un audit blanc gratuit sous 48h pour identifier les systèmes ou vous êtes deja fournisseur sans le savoir.
