Vous fournissez une brique d'IA à un donneur d'ordre, et il lance une due diligence : il veut savoir ce que contient votre système, d'où viennent vos modèles, et qui répond de quoi dans la chaîne. Le statut de « sous-traitant » ne vous met pas hors champ · il déplace simplement la charge de la preuve vers vous.
Pourquoi la due diligence remonte la chaîne
L'AI Act répartit les obligations selon le rôle : le déployeur doit documenter ses fournisseurs (Art.25), l'importateur engage sa responsabilité sur ce qu'il met sur le marché (Art.26). Pour tenir ces obligations, le donneur d'ordre doit cartographier sa chaîne de valeur IA · et donc vous demander des comptes. Pour la logique générale du questionnaire qui en découle, voir notre guide pilier.
Lire le guide pilier : répondre à un questionnaire IA d'un clientCe qu'une due diligence IA examine
Cartographie de la chaîne IA
Quels systèmes, modèles et fournisseurs interviennent du donneur d'ordre jusqu'au sous-traitant ?
AI-BOM
Une nomenclature traçant chaque composant, modèle et fournisseur · l'équivalent IA d'un SBOM.
Rôles AI Act
Qui est fournisseur, déployeur, importateur ? Les obligations diffèrent (Art.25, Art.26).
Classification du risque
Le système sous-traité relève-t-il du haut risque (Annexe III) ? De la transparence (Art.50) ?
Documentation technique
Le sous-traitant fournit-il la documentation Annexe IV, et une AIPD / FRIA quand elle s'applique ?
Surveillance continue
Gestion des risques (Art.9), supervision humaine (Art.14), formation des équipes (Art.4).
Preuve vérifiable
Les documents transmis sont-ils datés, horodatés et vérifiables par le donneur d'ordre ?
Les 5 erreurs qui bloquent une due diligence
- 1Croire que le statut de « sous-traitant » exonère de l'AI Act · le donneur d'ordre reporte ses obligations sur vous.
- 2Ne pas savoir qui est fournisseur, déployeur ou importateur dans la chaîne · les obligations diffèrent (Art.25, Art.26).
- 3Documenter le produit fini mais pas les modèles et composants tiers qu'il embarque (l'AI-BOM manque).
- 4Transmettre des documents non datés ou impossibles à vérifier par le donneur d'ordre.
- 5Annoncer une certification que vous n'avez pas (dites « en préparation », pas « certifié »).
Comment documenter votre chaîne de valeur IA
Un donneur d'ordre suit une chaîne logique : un inventaire → une classification justifiée → des documents → une preuve qu'ils n'ont pas été fabriqués pour l'occasion. C'est exactement la chaîne qu'un outil de conformité structure. Avec EuroAIGuard :
- •Inventaire guidé des systèmes d'IA (8 étapes), y compris les modèles et outils SaaS tiers de la chaîne.
- •Classification automatique selon l'Annexe III (haut risque / limité / minimal), avec justification.
- •Documents prêts à transmettre : FRIA (Art.27), Registre (Art.49) PDF et Excel, documentation technique Annexe IV.
- •Score 0-100 par système et par référentiel, pour situer chaque maillon de la chaîne.
- •Preuve d'intégrité SHA-256 : chaque document horodaté, vérifiable publiquement sur /verify sans compte.
Et si la due diligence dépasse l'AI Act (NIS2 pour un secteur critique, DORA en finance, CRA pour le produit), le même inventaire alimente ces réponses · sans ressaisie. La localisation est claire : hébergé en France sur OVH.
Questions fréquentes
Qu'est-ce qu'un AI-BOM exactement ?
Une nomenclature qui trace les composants, modèles et fournisseurs d'un système d'IA · l'équivalent d'un SBOM logiciel.
Mon donneur d'ordre exige une AIPD : suis-je obligé de la fournir ?
Selon votre rôle dans la chaîne (Art.25, Art.26) et l'application de l'Art.27 (FRIA), une documentation structurée est attendue.
Comment prouver que mes documents n'ont pas été modifiés ?
Chaque document est horodaté avec une preuve SHA-256, vérifiable publiquement sur /verify sans compte.