Erreurs courantes sur les obligations des deployeurs que les equipes SaaS font encore

L'erreur la plus frequente est de traiter les obligations de deployeur comme une etiquette juridique unique. Pour une equipe SaaS, la question pratique est differente: quand l'entreprise utilise-t-elle un systeme d'AI sous son autorite, le cas est-il a haut risque, quelles instructions du fournisseur s'appliquent, qui assure la supervision humaine, quels logs sont controles et comment les risques sont-ils escalades?

L'article 26 demande aux deployeurs de systemes AI a haut risque d'utiliser le systeme selon les instructions, d'assigner une supervision humaine competente, de gerer les donnees d'entree controlees, de surveiller l'operation, de conserver les logs automatiques sous leur controle et d'agir en cas de risque ou d'incident grave. L'article 27 peut ajouter une evaluation d'impact sur les droits fondamentaux. L'article 13 compte parce que les instructions du fournisseur sont l'une des bases de l'utilisation correcte.

Erreur 1: Ne penser qu'aux clients

Une societe SaaS peut etre fournisseur pour une fonctionnalite client et deployeur pour un workflow interne. Support, RH, scoring de risque, fraude, securite ou priorisation des tickets peuvent tous creer des questions de deployeur. L'analyse doit se faire par workflow.

Erreur 2: Confondre documentation fournisseur et controle

Un PDF fournisseur ne prouve pas que l'equipe respecte les instructions. Chaque instruction importante doit devenir une etape operationnelle: SOP, ticket, formation, monitoring, critere de release et preuve. Si une revue humaine est requise, le dossier doit montrer qui la fait, avec quels criteres et quelle autorite.

Erreur 3: Supervision humaine sans pouvoir reel

Un humain dans la boucle ne suffit pas si la personne n'a ni competence, ni temps, ni contexte, ni pouvoir d'escalade. Decrivez la tache comme un controle: role, formation, criteres, override, escalade, preuve et backup.

Erreur 4: Donnees d'entree et logs trop tard

Lorsque le deployeur controle les donnees d'entree, elles doivent etre pertinentes et suffisamment representatives pour la finalite. Definissez sources permises, champs interdits, controles qualite et approbation des changements avant lancement.

Les logs doivent aussi etre connus avant l'incident. Le dossier doit expliquer quels logs existent, qui les controle, leur retention, leur export, les droits d'acces et leur usage pour incidents ou reviews clients.

Erreur 5: Tout melanger dans une revue AI

Obligations de deployeur, fournisseur, transparence, privacy, securite, vendor risk et documentation commerciale sont connectees mais distinctes. Le dossier deployeur doit repondre a role, classification, instructions, supervision, donnees, monitoring, logs, incidents, notifications et reassessment.

Erreur 6: Improviser la suspension

Si l'utilisation peut presenter un risque meme avec les instructions, l'equipe doit savoir qui suspend, qui contacte le fournisseur, qui evalue le reporting et qui informe les equipes internes. Les declencheurs doivent etre connus avant la crise.

Que faire maintenant

Choisissez un workflow deja en production ou proche du lancement. Creez un dossier avec systeme, finalite, instructions fournisseur, decision de role, screening haut risque, supervision, donnees, logs, monitoring, route incident, impact assessment, lieu des preuves et declencheurs de reassessment.

Les obligations de deployeur deviennent gerables quand elles deviennent proprietaires, declencheurs et preuves. Elles deviennent couteuses quand elles restent une note juridique jusqu'a la question client ou l'incident.

FAQ

Que doivent comprendre les equipes?

Quand les obligations peuvent s'appliquer, quels changements operationnels sont necessaires et quelles preuves montrent que le workflow fonctionne.

Pourquoi est-ce important?

Parce que le deployeur controle l'utilisation reelle du systeme. La documentation fournisseur ne suffit pas a prouver l'execution.

Quelle est la plus grande erreur?

Traiter ces obligations comme une interpretation ponctuelle plutot qu'un workflow repetable avec responsables, declencheurs et preuves.

Sources

• Regulation (EU) 2024/1689 laying down harmonised rules on artificial intelligence.
• European Commission AI Act Service Desk, Article 26: Obligations of deployers of high-risk AI systems.
• European Commission AI Act Service Desk, Article 27: Fundamental rights impact assessment for high-risk AI systems.
• European Commission AI Act Service Desk, Article 13: Transparency and provision of information to deployers.