Le piège classique
Le considérant 83 eclaire un point que beaucoup d'organisations sous-estiment : dans une chaîne IA, un même acteur peut cumuler les casquettes (fournisseur, importateur, distributeur, deployeur) et doit alors cumuler toutes les obligations correspondantes. En pratique, l'EU AI Office et les autorités de surveillance du marché regarderont la réalité opérationnelle, pas l'etiquette contractuelle : revendre un modèle américain en y ajoutant un fine-tuning vous transforme en fournisseur au sens de l'article 25, avec la documentation technique annexe IV a la clé.
Les cumuls de rôles qui piegent les entreprises luxembourgeoises
- Integrateur SaaS qui rebrand un LLM US : distributeur ET fournisseur si vous modifiez substantiellement le système ou l'apposez sous votre marque (art. 25(1)(a) et (b)).
- Cabinet de conseil qui revend une solution IA RH : importateur (art. 23) si le fournisseur est hors UE ET distributeur (art. 24) sur le marché luxembourgeois.
- Banque CSSF qui deploie un modèle tiers de scoring : deployeur (art. 26) mais bascule fournisseur si elle reentraine le modèle sur ses propres données.
- Editeur logiciel qui embarque un modèle open source : fournisseur du système final, même si le modèle de base vient d'ailleurs.
- Distributeur qui ajoute un module de post-traitement : modification substantielle au sens art. 25(1)(c), donc requalification en fournisseur.
Le test d'argumentation devant l'autorité de surveillance
Pour chaque système IA, posez-vous quatre questions : qui l'a developpe ? qui le met sur le marché UE en premier ? qui le distribue sous quelle marque ? qui le modifie substantiellement ? La réponse honnete a ces quatre questions determine vos obligations cumulees. L'erreur classique est de se déclarer simple deployeur alors qu'un fine-tuning ou un rebranding vous a fait basculer fournisseur, avec l'obligation d'évaluation de conformité, de marquage CE et de registre EU.
Comment Luxgap automatise ce risque
Notre Luxgap AI Rôle Classifier elimine l'angle mort de la chaîne de valeur IA en cartographiant automatiquement le rôle reel de votre organisation pour chaque système IA en production. L'outil ingere vos contrats fournisseurs (Odoo, DocuSign, Ironclad), vos flux d'API (Azure OpenAI, AWS Bedrock, Hugging Face, Anthropic), vos depots de code (GitHub, GitLab) et vos pipelines MLOps pour reconstituer qui developpe, qui modifie, qui distribue et qui deploie chaque modèle, sans demander au CISO de remplir un seul tableur.
- Detecte automatiquement chaque appel API vers un modèle IA tiers et identifié le pays d'établissement du fournisseur pour qualifier le statut d'importateur au sens article 23.
- Analyse vos commits Git et pipelines de fine-tuning pour repérer les modifications substantielles qui déclenchent la requalification en fournisseur (art. 25(1)(c)).
- Classifie chaque système IA dans la matrice fournisseur / importateur / distributeur / deployeur et signale les cumuls de rôles applicables.
- Genere la liste des obligations cumulees activees (annexe IV, marquage CE, registre EU, FRIA, transparence art. 50) avec le calendrier de mise en conformité.
- Alerte en temps reel via Teams ou Slack des qu'une équipe produit ajoute un nouveau modèle ou modifie un modèle existant, avant que la requalification ne devienne un fait accompli.
- Produit un rapport PDF horodate, opposable a l'EU AI Office et a la future autorité luxembourgeoise de surveillance du marché, qui démontré votre maîtrise de la chaîne de valeur.
Disponible en complement d'un mandat DPO ou CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur vos systèmes IA reels, avec un audit blanc gratuit sous 48h pour cartographier votre exposition avant tout engagement.
