Évaluer un fournisseur d'IA ne se résume plus à un audit sécurité classique. L'AI Act ajoute une dimension : le rôle du fournisseur, la classification de ses systèmes, et la preuve qu'il peut produire. Un vendor assessment sérieux structure ces points en un cadre reproductible.
Pourquoi l'évaluation vendor change avec l'AI Act
En tant que déployeur, vous devez documenter votre chaîne de valeur IA (Art.25, Art.26). Cela vous oblige à évaluer chaque fournisseur dont le produit embarque de l'IA : il entre dans votre périmètre. Le vendor assessment est l'instrument de cette diligence.
Vous êtes du côté fournisseur ? Voyez le guide pilier : répondre à un questionnaire IA d'un client.
Le cadre d'évaluation d'un fournisseur IA
Périmètre du fournisseur
Quels systèmes d'IA le fournisseur opère-t-il ? Modèles, sous-traitants, données.
Rôle sous AI Act
Fournisseur ou déployeur ? Le rôle conditionne les obligations applicables.
Classification du risque
Haut risque (Annexe III) ou transparence (Art.50), justifiée et documentée.
Documentation & impact
Documentation technique (Annexe IV), AIPD / FRIA (Art.27) le cas échéant.
Gouvernance & supervision
Supervision humaine (Art.14), formation des équipes (Art.4), gestion des risques (Art.9).
Sécurité & souveraineté
Hébergement, localisation des données, NIS2 / DORA / CRA si applicable.
Preuve d'intégrité
Documents datés et vérifiables, pas de simples déclarations.
Les 5 drapeaux rouges d'un vendor assessment
- 1Le fournisseur répond « oui » partout sans evidence pack joignable.
- 2« Conforme RGPD » présenté comme preuve de conformité AI Act : deux régimes distincts qui se cumulent.
- 3Systèmes d'IA adoptés par les métiers du fournisseur hors DSI, absents du périmètre déclaré.
- 4Certification annoncée mais non délivrée (exigez « en préparation » ou « certifié », sans ambiguïté).
- 5Documents non datés / non vérifiables versés au dossier d'évaluation.
L'evidence pack à constituer
La logique attendue d'un fournisseur évaluable : un inventaire → une classification justifiée → des documents → une preuve qu'ils n'ont pas été fabriqués pour l'occasion. C'est exactement la chaîne qu'un outil de conformité produit. Avec EuroAIGuard, le fournisseur constitue :
- •Dossier de conformité IA par système, exporté en PDF, prêt à joindre : classification, transparence Art.50, fournisseurs liés, incidents et référentiels couverts.
- •Inventaire guidé des systèmes d'IA (8 étapes), y compris les outils SaaS embarquant de l'IA.
- •Classification automatique selon l'Annexe III (haut risque / limité / minimal).
- •Documents prêts à joindre : FRIA (Art.27), Registre (Art.49) PDF et Excel, documentation technique Annexe IV.
- •Score 0-100 par système et par référentiel, exploitable dans une grille vendor risk.
- •Preuve d'intégrité SHA-256 : chaque document horodaté, vérifiable publiquement sur /verify sans compte.
Et si votre évaluation couvre plus que l'AI Act (NIS2 pour un secteur critique, DORA en finance, CRA pour le logiciel), le même inventaire alimente ces réponses · sans ressaisie.
Questions fréquentes
Qu'est-ce qu'un vendor assessment sous AI Act ?
L'évaluation du risque d'un fournisseur IA : rôle, classification, documentation et preuves opposables.
Que doit contenir l'evidence pack d'un fournisseur ?
Inventaire, classification justifiée, documentation Annexe IV, FRIA si applicable, et preuve d'intégrité.
Faut-il exiger une certification ISO 42001 du fournisseur ?
Non, mais une démarche structurée et documentée fait la différence dans l'évaluation.