Le piège classique
Le considérant 82 eclaire l'obligation faite aux fournisseurs hors UE de désigner un mandataire établi dans l'Union avant toute mise sur le marché d'un système d'IA a haut risque. En pratique, beaucoup d'editeurs américains, britanniques ou asiatiques distribuent leurs solutions en marque blanche via des integrateurs luxembourgeois, sans mandat ecrit conforme. L'EU AI Office et la future autorité luxembourgeoise de surveillance du marché IA pourront exiger ce mandat lors d'un contrôle, et a defaut, c'est l'importateur ou le deployeur luxembourgeois qui herite de la responsabilité. La CNPD reste competente sur le volet données personnelles si le système traite des données a caractère personnel.
Ce que doit contenir le mandat ecrit selon l'article 22
- Vérification que la documentation technique (annexe IV) et la déclaration UE de conformité ont bien ete établies par le fournisseur hors UE.
- Conservation du mandat, de la documentation technique et de la déclaration de conformité a disposition des autorités pendant 10 ans.
- Cooperation avec les autorités nationales competentes sur toute action visant a reduire ou attenuer les risques.
- Fourniture, sur demande motivee, de toutes les informations et documents nécessaires pour démontrer la conformité, dans une langue officielle de l'état membre.
- Résiliation du mandat si le fournisseur agit contrairement au règlement, avec notification immediate a l'autorité de surveillance et a l'AI Office.
- Identification claire du mandataire dans la documentation accompagnant le système d'IA a haut risque.
Le piège spécifique au Luxembourg
Le marché luxembourgeois est largement alimente par des editeurs IA non européens (US, UK, Israel, Suisse). Beaucoup de PME et d'acteurs financiers achetent ces solutions via un revendeur local ou directement en SaaS, sans vérifier l'existence d'un mandataire UE. Résultat : en cas de contrôle, le deployeur luxembourgeois se retrouve seul face a l'autorité, sans interlocuteur européen pour le fournisseur. La vérification du mandat doit donc devenir un point bloquant des votre due diligence d'achat IA.
Comment Luxgap automatise ce risque
Notre Luxgap AI Vendor Origin Tracer elimine l'angle mort des fournisseurs IA extra-UE en cartographiant automatiquement l'origine juridique reelle de chaque système d'IA deploye dans votre SI, et en vérifiant l'existence et la validité du mandataire UE article 22. L'outil croise vos contrats Odoo, vos abonnements SaaS via Microsoft Cloud App Security, vos flux de paiement et les registres publics (Companies House, registres commerciaux UE, OpenCorporates) pour reconstituer la chaîne fournisseur reelle, derrière les marques blanches et les revendeurs locaux.
- Detecte automatiquement chaque nouveau système d'IA introduit dans votre SI via les connecteurs M365, Azure, AWS, Google Workspace et les API de vos ERP.
- Identifié l'entité juridique reelle du fournisseur (siège social, pays d'incorporation) au-dela des revendeurs et integrateurs luxembourgeois.
- Vérifié l'existence du mandataire UE, son adresse, la validité de son mandat ecrit et sa correspondance avec les exigences de l'article 22 AI Act.
- Alerte par Teams ou email des qu'un fournisseur hors UE est detecte sans mandataire valide, avec recommandation d'action (suspension d'achat, demande de mandat, escalade DPO).
- Genere un registre opposable des mandataires UE de vos fournisseurs IA, horodate et signe cryptographiquement, pret a être presente lors d'un contrôle.
- Produit un score d'exposition extra-UE consolide, mis à jour en temps reel, pour piloter votre comite IA et votre comite achats.
Disponible en complement d'un mandat DPO ou CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur vos fournisseurs IA reels, avec un scan gratuit sous 48h pour materialiser votre exposition extra-UE avant tout engagement.
