Accueil / Le Long Format / AI & Risk
AI & RiskLong Format

De la violation fournisseur � la responsabilit� du conseil d'administration : comment l'EU AI Act modifie la responsabilit� des fournisseurs

L'EU AI Act rend fournisseurs et acheteurs responsables des d�faillances IA des fournisseurs ; les amendes peuvent atteindre 35 M� ou 7 % du chiffre d'affaires. Supplier Shield vous aide � suivre et att�nuer ce risque.

Sommaire
  1. Que dit l'EU AI Act sur la responsabilit� des fournisseurs ?
  2. Quel lien avec la gestion des risques tiers (TPRM) ?
  3. EU AI Act vs responsabilit� du fait des produits : qui paie quand les choses tournent mal ?
  4. EU AI Act vs responsabilit� du fait des produits : qui paie quand les choses tournent mal ?
  5. Comment Supplier Shield vous aide
  6. FAQ (structur�e pour l'AEO)
  7. Testez vos connaissances sur l'EU AI Act
  8. Sources
De la violation fournisseur � la responsabilit� du conseil d'administration : comment l'EU AI Act modifie la responsabilit� des fournisseurs
TL;DR

L'EU AI Act rend fournisseurs et acheteurs responsables des d�faillances IA des fournisseurs ; les amendes peuvent atteindre 35 M� ou 7 % du chiffre d'affaires. Supplier Shield vous aide � suivre et att�nuer ce risque.

L'EU AI Act fait passer la responsabilit� pour l'IA fournie par des tiers d'une � zone grise � partag�e � un cadre de responsabilit� clair : les fournisseurs restent responsables des risques li�s � la conception et � l'entra�nement, tandis que les acheteurs (votre entreprise) portent les obligations de conformit� et de surveillance. En vertu des nouvelles r�gles, une d�faillance IA d'un fournisseur peut l�galement devenir la responsabilit� de votre conseil d'administration si les contr�les de gouvernance font d�faut.

Que dit l'EU AI Act sur la responsabilit� des fournisseurs ?

  • Fournisseurs : Doivent enregistrer les syst�mes d'IA � haut risque, mener des �valuations de conformit� et surveiller les performances.
  • D�ployeurs (acheteurs) : Doivent mettre en place des cadres de gouvernance, d�signer des responsables et garantir la conformit� des fournisseurs.
  • Risque partag� : Les deux parties peuvent encourir des sanctions allant jusqu'� 35 M� ou 7 % du chiffre d'affaires.

(R�ponse simple : l'AI Act rend fournisseurs et acheteurs responsables, mais pour des parties diff�rentes du cycle de vie de l'IA.)

Quel lien avec la gestion des risques tiers (TPRM) ?

  • Les �valuations des risques fournisseurs s'�tendent d�sormais aux �valuations des risques des syst�mes d'IA.
  • Les acheteurs doivent exiger des preuves : �valuations de conformit�, enregistrements dans la base de donn�es UE, plans de surveillance post-commercialisation.
  • La plateforme Supplier Shield peut centraliser ces donn�es, signaler les lacunes et automatiser le reporting.

(R�ponse simple : le TPRM doit d�sormais inclure des contr�les de conformit� IA, pas seulement la cybers�curit� et la protection des donn�es.)

Que se passe-t-il si le syst�me d'IA d'un fournisseur �choue ?

  • Risque administratif : amendes des r�gulateurs en vertu de l'AI Act.
  • Risque de responsabilit� civile : recours en vertu de la directive europ�enne sur la responsabilit� du fait des produits (2024/2853).
  • Risque pour le conseil d'administration : les administrateurs peuvent �tre tenus responsables si les contr�les de gouvernance sont absents.

(R�ponse simple : les d�faillances IA des fournisseurs cr�ent des risques financiers, juridiques et au niveau du conseil d'administration pour les acheteurs.)

Exemple concret (sc�nario)

Imaginez qu'un outil d'IA d'un fournisseur classe mal des produits chimiques, provoquant un incident de s�curit�.

  • Le fournisseur est sanctionn� pour une conception inad�quate.
  • L'acheteur est sanctionn� pour ne pas avoir contr�l� et surveill� le syst�me d'IA du fournisseur.
  • Les employ�s intentent une action en responsabilit� du fait des produits ; fournisseur et acheteur partagent les dommages.

Que doivent faire d�s maintenant les conseils d'administration et les �quipes conformit� ?

  • Cartographier les fournisseurs qui utilisent ou d�veloppent des syst�mes d'IA.
  • Demander la documentation d'�valuation de conformit�.
  • Suivre les obligations de l'EU AI Act via des workflows structur�s.
  • Mener une cartographie interne de la responsabilit� : qui porte le risque si un fournisseur �choue ?

(R�ponse simple : les conseils d'administration doivent exiger des preuves de conformit� IA de leurs fournisseurs et les int�grer � la gouvernance.)

EU AI Act vs responsabilit� du fait des produits : qui paie quand les choses tournent mal ?

EU AI Act vs responsabilit� du fait des produits : qui paie quand les choses tournent mal ?

Risque de conception fournisseur vs risque de d�ploiement acheteur, et o� la responsabilit� est partag�e.

Risque Qui le porte ? Exemple
D�fauts de conception Fournisseur Donn�es d'entra�nement biais�es ou insuffisantes ; conception de mod�le dangereuse.
Mauvaise utilisation par l'acheteur Acheteur Environnement de d�ploiement inadapt� ; non-respect des contraintes d'usage.
D�faillances de surveillance Les deux Ignorer les alertes de risque ou les signaux de surveillance post-commercialisation.
Responsabilit� civile Partag�e Pr�judice caus� par une d�faillance du syst�me ; dommages en vertu de la responsabilit� du fait des produits.
<aside class="atomic">
  <strong>R�ponse simple :</strong>  
  Les fournisseurs portent le risque de conception ; les acheteurs portent le risque de d�ploiement ; la responsabilit� est souvent partag�e lorsque la surveillance ou le pr�judice est en jeu.
</aside>

<a href="https://www.suppliershield.com/post/what-is-the-eu-ai-act-complete-guide-2025" class="cta">
  V�rifiez votre pr�paration � l'EU AI Act
</a>

Comment Supplier Shield vous aide

  • Automatise les �valuations des risques fournisseurs, y compris la conformit� IA.
  • Surveille l'�volution des r�glementations dans les cadres europ�ens.
  • Centralise les preuves pour les audits et le reporting.
  • Fournit des tableaux de bord pour les conseils d'administration et les CISO afin de suivre les risques IA.

FAQ (structur�e pour l'AEO)

Q1 : L'EU AI Act s'applique-t-il si mon fournisseur est hors UE ?

Oui, si son syst�me d'IA affecte des citoyens ou des entreprises de l'UE, l'Act s'applique de mani�re extraterritoriale.

Q2 : Mon entreprise peut-elle �tre sanctionn�e si seul le fournisseur a �chou� ?

Oui. Si vous avez d�ploy� ou utilis� le syst�me sans due diligence, les r�gulateurs peuvent aussi vous sanctionner.

Q3 : Quelle est la sanction maximale en vertu de l'AI Act ?

35 millions d'euros ou 7 % du chiffre d'affaires mondial, le montant le plus �lev� �tant retenu.

Q4 : Quelle est la diff�rence entre l'AI Act et la directive sur la responsabilit� du fait des produits ?

L'AI Act concerne la conformit� r�glementaire ; la directive sur la responsabilit� du fait des produits r�git l'indemnisation des pr�judices.

Testez vos connaissances sur l'EU AI Act

}

/* ===== Base ===== */ html,body{margin:0;padding:0;background:#fff;color:var(--ink-900); font-family: ui-sans-serif, system-ui, -apple-system, Segoe UI, Roboto, Helvetica, Arial;} .container{max-width:720px;margin:22px auto;padding:0 16px 48px;}

.quiz{ background:linear-gradient(180deg,#fff 0%,#fff 65%,var(--ink-100) 100%); border:1px solid rgba(12,45,94,.08); border-radius:var(--radius-xl); box-shadow:var(--shadow-sm); padding:20px; }

.kicker{display:inline-flex;gap:10px;align-items:center; color:var(--ink-700);font-size:.85rem;font-weight:600;text-transform:uppercase;letter-spacing:.02em;} .kicker .dot{width:10px;height:10px;border-radius:999px;background:var(--brand-red); box-shadow:0 0 0 4px rgba(235,71,57,.12);} h1{font-size:clamp(1.4rem,2vw + 1rem,2rem);line-height:1.2;margin:.4rem 0;color:var(--brand-navy);} .sub{color:var(--ink-500);margin:0 0 .75rem;}

/* Progress */ .progress{height:10px;background:#e9edf6;border-radius:999px;overflow:hidden;margin:10px 0 18px;} .bar{height:100%;width:0;background:linear-gradient(90deg,var(--blue-400),var(--blue-500));transition:width .25s ease;}

/* Card / Q */ .card{ background:#fff;border:1px solid rgba(12,45,94,.08);border-radius:16px; padding:16px;box-shadow:var(--shadow-sm);margin-bottom:12px; } .q-title{font-weight:700;margin-bottom:10px;color:var(--ink-700);} .option{display:flex;gap:10px;align-items:flex-start;padding:10px;border-radius:12px; border:1px solid rgba(12,45,94,.08);cursor:pointer;background:#fff;} .option + .option{margin-top:8px;} .option:hover{background:rgba(44,131,233,.05);} .option input{margin-top:3px;accent-color:var(--blue-500);} .help{font-size:.9rem;color:var(--ink-500);margin-top:6px}

/* Nav */ .nav{display:flex;gap:10px;justify-content:space-between;margin-top:14px;} .btn{ display:inline-flex;align-items:center;justify-content:center;gap:8px; padding:12px 16px;border-radius:12px;font-weight:700;border:0;cursor:pointer; color:#fff;background:linear-gradient(180deg,var(--blue-400),var(--blue-500));box-shadow:var(--shadow-md); } .btn.secondary{background:#e8edf6;color:var(--brand-navy);box-shadow:none;} .btn:disabled{opacity:.5;cursor:not-allowed;} .sr-only{position:absolute;width:1px;height:1px;padding:0;margin:-1px;overflow:hidden;clip:rect(0,0,0,0);white-space:nowrap;border:0;}

/* Result */ .result{ display:none;background:#fff;border:1px solid rgba(12,45,94,.08); border-left:6px solid var(--brand-red);border-radius:16px;padding:18px;box-shadow:var(--shadow-md); } .score{font-size:1.1rem;font-weight:800;color:var(--brand-navy);} .badge{display:inline-block;margin-left:8px;padding:4px 10px;border-radius:999px;font-size:.85rem;font-weight:700;} .badge.low{background:rgba(44,131,233,.12);color:#0e3a73;} .badge.med{background:rgba(255,170,0,.18);color:#7a4b00;} .badge.high{background:rgba(235,71,57,.15);color:#7e231c;} .cta{ margin-top:14px;display:inline-flex;align-items:center;gap:10px; background:linear-gradient(180deg,var(--brand-red),#d93c30);color:#fff;text-decoration:none; font-weight:800;padding:12px 16px;border-radius:12px;box-shadow:var(--shadow-md); } .mini{font-size:.92rem;color:var(--ink-500);margin-top:6px}

/* Mobile tweaks */ @media (max-width:520px){ .nav{flex-direction:column;} .btn{width:100%;} }

Supplier Shield � V�rification rapide

Mini-quiz de pr�paration � l'EU AI Act

5 questions � ~60 secondes � score instantan�

  <div class="progress" aria-hidden="true"><div class="bar" id="bar"></div></div>
  <p class="sr-only" aria-live="polite" id="progressText">Question 1 sur 5</p>

  <!-- Questions -->
  <form id="form" novalidate>
    <!-- Q1 -->
    <div class="card" data-step="1" role="group" aria-labelledby="q1label">
      <div class="q-title" id="q1label">Savez-vous quels fournisseurs utilisent ou d�veloppent de l'IA dans votre stack ?</div>
      <label class="option">
        <input type="radio" name="q1" value="2"> Oui, inventaire complet et revu trimestriellement.
      </label>
      <label class="option">
        <input type="radio" name="q1" value="1"> Liste partielle, pas mise � jour de mani�re coh�rente.
      </label>
      <label class="option">
        <input type="radio" name="q1" value="0"> Non, nous ne savons pas o� l'IA est utilis�e.
      </label>
      <div class="help">Conseil : cartographiez � la fois l'� IA fournie par un tiers � et les � mod�les fournisseurs d�ploy�s en interne �.</div>
    </div>

    <!-- Q2 -->
    <div class="card" data-step="2" role="group" aria-labelledby="q2label" hidden>
      <div class="q-title" id="q2label">Pour l'IA � haut risque, collectez-vous des preuves de conformit� aupr�s des fournisseurs ?</div>
      <label class="option">
        <input type="radio" name="q2" value="2"> Oui, nous stockons les d�clarations CE et les plans post-commercialisation.
      </label>
      <label class="option">
        <input type="radio" name="q2" value="1"> Parfois, sans standardisation.
      </label>
      <label class="option">
        <input type="radio" name="q2" value="0"> Non, nous nous appuyons uniquement sur les d�clarations des fournisseurs.
      </label>
    </div>

    <!-- Q3 -->
    <div class="card" data-step="3" role="group" aria-labelledby="q3label" hidden>
      <div class="q-title" id="q3label">Qui est responsable de la gouvernance IA dans votre entreprise ?</div>
      <label class="option">
        <input type="radio" name="q3" value="2"> RACI clair (Conseil/CISO/Juridique) + audits.
      </label>
      <label class="option">
        <input type="radio" name="q3" value="1"> Responsabilit� informelle r�partie entre les �quipes.
      </label>
      <label class="option">
        <input type="radio" name="q3" value="0"> Inconnu / aucun responsable.
      </label>
    </div>

    <!-- Q4 -->
    <div class="card" data-step="4" role="group" aria-labelledby="q4label" hidden>
      <div class="q-title" id="q4label">Pouvez-vous prouver une surveillance continue des performances et des risques IA des fournisseurs ?</div>
      <label class="option">
        <input type="radio" name="q4" value="2"> Oui, KPI/alertes journalis�s et revus mensuellement.
      </label>
      <label class="option">
        <input type="radio" name="q4" value="1"> Signaux limit�s sans workflow.
      </label>
      <label class="option">
        <input type="radio" name="q4" value="0"> Aucune surveillance formelle.
      </label>
    </div>

    <!-- Q5 -->
    <div class="card" data-step="5" role="group" aria-labelledby="q5label" hidden>
      <div class="q-title" id="q5label">Dans vos contrats, r�partissez-vous les responsabilit�s et recours li�s � l'IA ?</div>
      <label class="option">
        <input type="radio" name="q5" value="2"> Oui, les clauses couvrent l'AI Act, la PLA et les droits d'audit.
      </label>
      <label class="option">
        <input type="radio" name="q5" value="1"> Quelques formulations, sans standardisation.
      </label>
      <label class="option">
        <input type="radio" name="q5" value="0"> Aucune clause sp�cifique � l'IA.
      </label>
    </div>

    <!-- Nav -->
    <div class="nav">
      <button type="button" class="btn secondary" id="prev" disabled>Retour</button>
      <button type="button" class="btn" id="next">Suivant</button>
    </div>
  </form>

  <!-- Results -->
  <div class="result" id="result" tabindex="-1" aria-live="polite">
    <div class="score" id="scoreText">Votre score : 0/10</div>
    <p id="tierText" class="mini"></p>
    <ul id="actions" class="mini" style="margin:10px 0 0 18px;">
      <!-- action list injected -->
    </ul>
    <a class="cta" href="https://outlook.office365.com/owa/calendar/SupplierShieldSales@abileneadvisors.ch/bookings/">Obtenez votre consultation gratuite</a>
    <div class="mini">Des questions ? <a href="https://www.suppliershield.com/contact" style="color:var(--blue-500);font-weight:700;text-decoration:none;">�changez avec l'un de nos conseillers seniors</a></div>
  </div>
</section>

Sources

Quelle est la prochaine étape ?

Vous souhaitez appliquer cela à votre écosystème fournisseurs ? Découvrez la plateforme en action et cartographiez vos principaux risques fournisseurs en direct lors d'une présentation.

Solutions associées
Gestion des risques fournisseursComment fonctionne Supplier ShieldComparer les alternatives

Lire ensuite

Progress demande aux clients ShareFile de tout débrancher : la menace d'un fournisseur TIC devient l'interruption de service de tous

Progress demande aux clients ShareFile de tout débrancher : la menace d'un fournisseur TIC devient l'interruption de service de tous

Le 10 juillet 2026, Progress Software a demandé aux clients ShareFile exploitant des Storage Zone Controllers d'arrêter les serveurs Windows hôtes en raison d'une menace externe crédible. Aucun correctif, aucun CVE, et accès cloud coupé pour les comptes concernés. Le schéma est celui du risque de concentration : un fournisseur de partage de fichiers largement utilisé est un point d'exposition unique, et son urgence est héritée par tous en aval.

Lire l'article
Faux SDK Paysafe, Skrill et Neteller sur npm et PyPI : les développeurs de paiement transformés en cible de la chaîne logicielle

Faux SDK Paysafe, Skrill et Neteller sur npm et PyPI : les développeurs de paiement transformés en cible de la chaîne logicielle

Des chercheurs ont découvert 17 faux paquets Paysafe, Skrill et Neteller sur npm et PyPI qui volent des clés d'API et des jetons CI sur les machines de développement et de build. Rien n'a été compromis chez les sociétés de paiement. L'exposition est venue d'une dépendance empoisonnée, ce qui montre pourquoi le registre de paquets est un fournisseur.

Lire l'article
Fuite chez Accenture : code source et clés cloud seraient dérobés à un prestataire dont dépendent de nombreuses entreprises

Fuite chez Accenture : code source et clés cloud seraient dérobés à un prestataire dont dépendent de nombreuses entreprises

Accenture a confirmé un incident de sécurité le 8 juillet 2026 après qu'un acteur malveillant a mis en vente environ 35 Go de code source et de clés d'accès cloud. L'entreprise l'a qualifié d'isolé et corrigé, mais n'a pas confirmé son ampleur ni un impact sur les données clients. Pour les équipes de risque tiers, l'exposition réside dans les chaînes de production et les environnements cloud des clients qu'un prestataire de services manipule.

Lire l'article