Checklist obligations fournisseur pour fondateurs et responsables compliance

Les obligations fournisseur doivent etre verifiees avant vente, lancement, changement materiel ou revue client enterprise. La checklist decide si l'entreprise est fournisseur, identifie l'actif IA, le risque, les obligations, les preuves et les declencheurs de reevaluation.

1. Identifier l'actif IA

Ne revoyez pas "l'IA du produit" en bloc. Identifiez systeme IA, integration de modele, module de scoring, recommandation, API, outil interne ou modele GPAI. Notez owner, phase, utilisateurs, personnes affectees, donnees, source modele, dependance fournisseur et parcours client.

2. Decider le role AI Act

Documentez si l'entreprise est fournisseur, deployeur, importateur, distributeur, fabricant, fournisseur GPAI ou plusieurs roles. Expliquez qui definit la finalite, commercialise la fonctionnalite, controle l'experience, change les seuils et fournit les instructions client.

3. Verifier la chaine de valeur

L'article 25 compte si l'equipe white-labelise, fine-tune, reconfigure ou vend un systeme tiers comme son produit. Demandez si le client voit le fournisseur, si votre marque est appliquee, si la finalite change et si la documentation fournisseur suffit.

4. Classer le risque

Reliez la checklist a la classification IA. Notez si l'actif est interdit, haut risque, transparence, risque minimal, GPAI ou hors scope actuel. Pour un haut risque possible, documentez cas d'usage, finalite, personnes affectees, supervision humaine et consequence de sortie.

5. Mapper les obligations haut risque

Pour les systemes haut risque, l'article 16 demande des owners: exigences applicables, systeme qualite, documentation technique, logs sous controle fournisseur, evaluation de conformite, declaration UE, marquage CE, enregistrement, mesures correctives, cooperation avec autorites et accessibilite.

6. Separer GPAI

Si l'entreprise peut fournir un modele GPAI, evaluez l'article 53 a part: documentation technique, informations downstream, politique copyright, resume public des contenus d'entrainement, cooperation avec autorites et standards ou codes. Utiliser un modele tiers ne suffit pas a devenir fournisseur GPAI.

7. Construire le pack de preuves

Gardez role, classification, documents fournisseur, documentation technique, tests, supervision humaine, logs, securite, instructions client, ticket release, risque residuel, monitoring, incidents et reevaluation. Organisez par decisions, pas seulement par fichiers.

8. Preparer la documentation client

Les clients peuvent demander finalite, limites, supervision, monitoring, usages supportes, dependances modele, donnees, changements et support. Sales, trust center, aide, contrats et questionnaires doivent utiliser la meme source approuvee.

9. Definir monitoring et correction

Assignez un owner pour incidents, plaintes, changements fournisseur, derive modele, escalades support et corrections. Definissez quand suspendre, notifier, mettre a jour les instructions ou escalader a legal et compliance.

10. Fixer les reevaluations

Rouvrez la checklist lors d'une nouvelle finalite, nouveau segment, plus d'automatisation, moins de revue humaine, nouvelles donnees, changement de modele fournisseur, contexte haut risque, incident ou nouvelle guidance officielle.

FAQ

Quel est l'objectif pratique?

Montrer role, obligations, preuves, instructions client, monitoring et reevaluation pour le systeme IA offert ou modifie.

Quand cela s'applique au SaaS?

Quand l'equipe developpe ou fait developper un systeme IA, le vend sous son nom, modifie un haut risque, change la finalite ou fournit un modele GPAI.

Que documenter d'abord?

Un dossier par workflow IA: role, classification, obligations, owner preuves, dossiers techniques, documentation client, monitoring, bloqueurs et reevaluation.