Le piège classique
Le considérant 88 éclaire un angle mort majeur de la mise en conformité IA : la chaîne de valeur. En pratique, le fournisseur d'un système d'IA à haut risque assemble des briques (modèles pré-entraînés, jeux de données d'entraînement, API d'inférence, librairies d'évaluation, composants d'intégration logicielle) fournies par des tiers. Sans accord écrit imposant à ces tiers de transmettre les informations, capacités et accès techniques nécessaires, le fournisseur final se retrouve dans l'impossibilité de démontrer la conformité aux articles 9 à 15 (gestion des risques, gouvernance des données, documentation technique, transparence, supervision humaine, robustesse). L'EU AI Office et, pour le volet données personnelles, la CNPD pourront exiger cette traçabilité contractuelle lors de tout contrôle.
Ce que ce considérant impose concrètement à vos contrats fournisseurs IA
- Une clause d'information technique obligeant le fournisseur amont à documenter les jeux de données d'entraînement, les métriques d'évaluation et les limitations connues du modèle.
- Un droit d'accès technique permettant au fournisseur final de tester, auditer et réévaluer le composant intégré, sans divulgation des secrets d'affaires (via environnements isolés, model cards détaillées, fiches d'évaluation).
- Une obligation de notification des évolutions matérielles (réentraînement, fine-tuning, dérive du modèle) susceptibles d'affecter la conformité du système intégré.
- Un alignement sur l'état de l'art reconnu : normes ISO/IEC 42001, ISO/IEC 23894, AI Risk Management Framework du NIST, codes de conduite de l'EU AI Office.
- Une articulation avec les obligations RGPD article 28 lorsque le composant traite des données personnelles, et avec DORA pour les prestataires TIC critiques du secteur financier.
Comment Luxgap automatise ce risque
Notre Luxgap AI Supply Chain Mapper reconstitue automatiquement la chaîne de valeur IA de votre organisation et identifié chaque maillon contractuel manquant avant que l'EU AI Office ne le fasse à votre place. L'outil scanne vos environnements de développement (GitHub, GitLab, Azure ML, AWS SageMaker, Hugging Face, Vertex AI) pour cartographier les modèles pré-entraînés importés, les API LLM consommées, les datasets externes et les librairies d'évaluation utilisées, puis croise cette cartographie avec vos contrats fournisseurs stockés dans Odoo, M365 ou DocuWare.
- Détecte automatiquement chaque modèle tiers (OpenAI, Anthropic, Mistral, Hugging Face) intégré dans vos pipelines IA et qualifié son rôle dans la chaîne de valeur AI Act.
- Vérifie la présence d'un accord écrit conforme au considérant 88 et à l'article 25, et alerte sur les clauses manquantes (accès technique, model card, notification de réentraînement, état de l'art).
- Génère un modèle d'accord IA fournisseur prérempli, adapté à chaque typologie (fournisseur de modèle de fondation, fournisseur de dataset, intégrateur logiciel, prestataire d'évaluation).
- Suit les mises à jour publiques des fournisseurs (changelog Hugging Face, release notes OpenAI, model cards Anthropic) et alerte sur toute évolution susceptible d'invalider votre documentation technique article 11.
- Produit un rapport PDF horodaté, opposable à l'EU AI Office et à la CNPD, démontrant la maîtrise contractuelle de votre chaîne de valeur IA.
Disponible en complément d'un mandat DPO ou CISO Luxgap ou en brique SaaS dédiée selon votre périmètre. Demandez un devis personnalisé et nos équipes préparent une démonstration sur vos pipelines IA réels, avec un audit blanc gratuit sous 48h pour cartographier votre exposition contractuelle avant tout engagement.
