Pourquoi Provigis ?
Nos solutions
Donneurs d'ordresOrganisations suivies
Partenaires
Tarifs
Ressources
BlogRessources téléchargeablesMédaillesCas clientsFormations
Se connecterRéserver une démo
BlogThird Party Risk ManagementIA et devoir de vigilance des entreprises : où en sommes-nous ?

IA et devoir de vigilance des entreprises : où en sommes-nous ?

L'utilisation de l'IA en entreprise est désormais encadrée par deux textes à l’échelle européenne :

  • Le Règlement IA impose des obligations aux entreprises qui déploient elles-mêmes des systèmes d'IA, en fonction du niveau de risque de ces systèmes ;
  • Le devoir de vigilance (loi française de 2017, élargie au niveau européen par la CSDDD), qui intègre de facto les risques de l’IA sur les droits humains, l’environnement et la sécurité des personnes.

Dans la mesure où ils portent sur des périmètres différents, la conformité à l’un ne garantit pas la conformité à l’autre.

Dans ce guide pratique, la rédaction de Provigis revient sur ces deux échéances et vous livre les bonnes pratiques pour évaluer le risque IA dans votre chaîne de valeur.

Règlement européen sur l'IA (AI Act) : encadrer l’utilisation de l’IA par les entreprises

Le Règlement européen sur l'intelligence artificielle (UE 2024/1689) est entré en vigueur le 1er août 2024. Il encadre la mise sur le marché, la mise en service et l'utilisation des systèmes d'IA au sein de l'Union européenne. Le texte distingue deux catégories d'acteurs :

  • Les « fournisseurs », qui développent ou commercialisent les systèmes d'IA ;
  • Les « déployeurs », c'est-à-dire les entreprises qui les utilisent dans leurs opérations.

Par exemple, une direction achats qui utilise un outil de scoring fournisseurs ou de détection de fraude alimenté par l'IA est un déployeur au sens du Règlement, avec des obligations propres en matière de surveillance humaine et de transparence.

En vertu de l’article 26, l’entreprise qui déploie un système d’IA jugé « à haut risque » doit aussi vérifier que l’éditeur de l’outil IA respecte les exigences du Règlement, notamment l’élaboration d’une documentation technique et le marquage CE.

💡 Quand le déployeur devient fournisseur au sens de l'AI Act

L’entreprise qui utilise un système IA est un « déployeur » au sens de l’AI Act… mais elle peut également être considérée comme un « fournisseur » dans trois situations : elle appose sa propre marque sur le système, elle apporte une modification substantielle au système (réentraînement du modèle par exemple), ou elle détourne le système de sa finalité initiale pour un usage classé à haut risque (par exemple, utiliser un chatbot de service client comme outil de scoring de crédit). Dans ce cas, les obligations du « fournisseur IA », définies à l’article 16, s’appliquent à l’entreprise : réalisation d’une documentation technique, évaluation de conformité, marquage CE, enregistrement dans la base de données européenne et surveillance post-commercialisation.

Les 4 niveaux de risque du règlement européen sur l’IA

Le Règlement européen sur l’IA repose sur une classification en quatre niveaux de risque.

Niveau de risque Régime applicable Exemples de systèmes concernés Sanctions maximales 1. Inacceptable Interdiction totale du système IA Notation sociale généralisée, manipulation subliminale causant un préjudice, reconnaissance biométrique en temps réel dans l'espace public (sauf exceptions policières encadrées), exploitation de vulnérabilités liées à l'âge ou au handicap, etc. Jusqu'à 35 M€ ou 7 % du CA mondial 2. Haut risque Obligations de conformité avant mise sur le marché (documentation technique, gestion des risques, gouvernance des données, supervision humaine, marquage CE) Tri de CV et scoring de candidats, notation de crédit, dispositifs médicaux intégrant de l'IA, systèmes de contrôle aux frontières et d'évaluation des preuves en justice. Jusqu'à 15 M€ ou 3 % du CA mondial 3. Risque limité Obligations de transparence Chatbots de service client, générateurs de deepfakes et de contenus de synthèse pour la publicité (texte, image, audio) Jusqu'à 7,5 M€ ou 1 % du CA mondial 4. Risque minimal Aucune obligation Filtres anti-spam pour les emails, jeux vidéo intégrant de l'IA Aucune

Les 4 échéances du règlement européen sur l’IA

L'application du Règlement européen sur l’IA est échelonnée sur trois ans :

  • Les pratiques interdites (risque inacceptable) sont entrées en vigueur le 2 février 2025 ;
  • Les obligations relatives aux modèles d'IA à usage général (GPT, Mistral, Claude, Gemini, etc.) s'appliquent depuis le 2 août 2025 ;
  • Les obligations relatives aux systèmes à haut risque listés à l'annexe III (biométrie, emploi, éducation, infrastructures critiques, justice et application de la loi) s'appliqueront à compter du 2 août 2026.
  • Les systèmes à haut risque intégrés dans des produits déjà réglementés par l'UE (dispositifs médicaux, jouets, véhicules, aviation) bénéficient d'un délai supplémentaire jusqu'au 2 août 2027.

Devoir de vigilance : l'IA, un nouveau risque à cartographier dans la chaîne de valeur

En France, la loi du 27 mars 2017, dite « devoir de vigilance », impose aux sociétés de plus de 5 000 salariés d'élaborer un plan de vigilance couvrant les risques d'atteintes aux droits humains, à l'environnement et à la sécurité des personnes sur l’ensemble de leur chaîne de valeur, fournisseurs, prestataires et sous-traitants inclus.

Le devoir de vigilance a été étendu à l’échelle européenne par la Corporate Sustainability Due Diligence Directive (CSDDD), adoptée en avril 2024 pour une entrée en vigueur en juillet 2029.

💡 L’IA dans les PME et ETI : une obligation indirecte

Les entreprises qui n’atteignent pas les seuils d’assujettissement au devoir de vigilance sont indirectement concernées si elles fournissent des prestations à un donneur d'ordres soumis, car ce dernier devra évaluer les risques liés à l'IA dans sa chaîne de valeur. Une PME qui utilise l'IA dans l'exécution de ses prestations sera potentiellement auditée par ses clients au titre de leur propre plan de vigilance.

Dans les deux textes, le périmètre du plan de vigilance englobe les moyens que les tiers mobilisent pour exécuter leurs prestations, notamment technologiques. Par sa capacité à automatiser des décisions et par son impact environnemental (consommation d’eau et d’électricité), l’IA entre pleinement dans le périmètre du devoir de vigilance.

💡 Cyber Resilience Act : le cas des fournisseurs de logiciels et d’objets connectés

Le Cyber Resilience Act (CRA) vise les logiciels, objets connectés et composants numériques commercialisés dans l’UE. Pour les donneurs d’ordre, le sujet concerne surtout les fournisseurs qui intègrent ces produits dans leurs prestations : éditeurs SaaS, intégrateurs, fabricants d’équipements connectés, prestataires IT ou fournisseurs industriels. Le texte impose des exigences sur la sécurité des produits, la gestion des failles, les mises à jour de sécurité, la notification des incidents et la documentation disponible en cas d’audit. Les obligations de notification s’appliqueront à partir du 11 septembre 2026, puis les principales obligations du règlement à partir du 11 décembre 2027.

IA et devoir de vigilance : quels risques évaluer chez vos fournisseurs et sous-traitants ?

Les trois piliers du devoir de vigilance (droits humains, environnement et sécurité des personnes) couvrent de facto l'IA que vos fournisseurs, prestataires et sous-traitants utilisent pour exécuter leurs prestations. Votre plan de vigilance doit donc logiquement instruire les risques à ce niveau.

1. Les risques d’atteinte aux droits humains liés à l'IA

Les algorithmes entraînés sur des données historiques peuvent reproduire les biais qui s’y trouvent. Par exemple, si un fournisseur utilise l'IA pour recruter, noter, trier ou évaluer des candidats dans le cadre de la prestation qu'il exécute pour le compte d’un donneur d'ordres, les éventuelles discriminations dont l’outil se rend coupable entrent dans le périmètre de son plan de vigilance.

En 2018, Amazon a dû abandonner un outil de recrutement automatisé qui défavorisait systématiquement les femmes. Entraîné sur 10 ans de candidatures dans le secteur technologique, l’outil avait en effet « appris » que les profils masculins étaient statistiquement plus souvent retenus.

En l’état actuel (2026) de l’usage de l’IA en France, il y a trois grands risques à évaluer chez vos fournisseurs, prestataires et sous-traitants.

Risque Cas d’usage de l’IA Comment la discrimination se produit-elle ? Discrimination dans le recrutement et la gestion RH Tri automatisé de CV, scoring de candidats, évaluation de performance, matching offre/profil L'IA utilise des critères apparemment neutres (code postal, école fréquentée, durée d'inactivité…) qui désavantagent systématiquement certains groupes (femmes ou seniors, par exemple). Scoring et notation de personnes Notation de crédit, évaluation de solvabilité, scoring d'assurance, détection de fraude Les modèles peuvent reproduire des inégalités structurelles liées à l'origine géographique ou au profil socio-économique en pondérant des variables corrélées à des critères sur lesquels il est interdit de fonder une décision (âge, sexe, origine, handicap, religion…). Décisions automatisées sans recours humain Acceptation ou rejet automatique de dossiers, attribution de prestations, filtrage de demandes Le RGPD interdit, sauf exceptions, les décisions entièrement automatisées ayant des effets significatifs sur la personne (augmentation salariale, licenciement, etc.).

2. Atteintes à l’environnement : l'empreinte énergétique de l'IA dans la chaîne de valeur

Selon l'Agence internationale de l'énergie, la consommation électrique mondiale des data centers pourrait passer de 460 TWh en 2022 à plus de 1 000 TWh en 2026, principalement sous l'effet de l'IA. Microsoft a reconnu une hausse de 30 % de ses émissions carbone liée à ses investissements dans l'IA.

💡 Le (très) lourd bilan carbone de l’IA

L'entraînement du modèle Llama 3.1 de Meta (2024) a généré près de 11 800 tonnes de CO₂, soit 20 fois plus que GPT-3, quatre ans plus tôt. C’est l'équivalent des émissions annuelles d'environ 2 600 voitures. Et la puissance de calcul nécessaire à l'entraînement des modèles est multipliée en moyenne par 4,6 chaque année, alors que les gains d'efficacité matérielle ne progressent que d'un facteur 1,4.

Le devoir de vigilance impose au donneur d'ordres de cartographier et de prévenir les atteintes graves à l'environnement dans sa chaîne de valeur. La consommation d’eau et d’électricité, ainsi que la pollution qui résultent de l’utilisation de l’IA par le donneur d’ordre et ses tiers doivent être instruites dans le plan de vigilance.

Voici les trois axes d'évaluation à intégrer dans vos due diligences à ce niveau.

Axe d'évaluation Intérêt Données de référence Localisation et mix énergétique des data centers Le bilan carbone d'une même charge de calcul varie d'un facteur 10 selon que les serveurs sont alimentés au charbon ou au nucléaire (source : MIT). En France, les data centers consomment 4 à 6 TWh par an, soit 1 à 1,5 % de la consommation électrique nationale. Volume d'inférence (exécution des requêtes) L'inférence pèse plus lourd que l'entraînement : elle représente environ 60 % de l'empreinte carbone totale d'un modèle d'IA, contre 40 % pour l'entraînement. Une requête envoyée à ChatGPT consomme environ 10 fois plus d'électricité qu'une recherche Google. Consommation d'eau de refroidissement Les data centers spécialisés dans l'IA consomment plusieurs centaines de milliers de mètres cubes d'eau par an pour le refroidissement des serveurs. En période de stress hydrique, cette consommation peut constituer une atteinte environnementale au sens du devoir de vigilance.

3. Sécurité des personnes : opacité et cybersécurité des systèmes d'IA

Le troisième pilier du devoir de vigilance couvre les atteintes à la santé et à la sécurité des personnes. L’IA peut être concernée à deux niveaux : l’opacité des modèles et la cybersécurité.

Concernant l'opacité, les modèles d'IA sont des « boîtes noires » : ils produisent un résultat sans que l'on puisse retracer le raisonnement, même pour les modèles open source. Le RGPD encadre ce risque à l'article 22 : sauf exceptions, les personnes ont le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé lorsque cette décision produit des effets juridiques ou les affecte de manière significative (refus de crédit, rejet de candidature…).

Concernant la cybersécurité, l'IA élargit la surface d'attaque des fournisseurs qui l'utilisent, avec un risque d’attaque par rebond sur le donneur d’ordre. L'ANSSI a publié un guide de 35 recommandations pour sécuriser les systèmes d'IA générative (ANSSI-PA-102) qui détaille les vulnérabilités propres à ces systèmes :

  • Empoisonnement des données d'entraînement ;
  • Injection de prompts ;
  • Attaques sur la chaîne d'approvisionnement logicielle.

En 2026, les fuites de données provenant d'outils d'IA générative représentent la première source d'incidents selon les responsables cybersécurité interrogés par Vectra AI (34 % des cas).

Risque Comment il se manifeste chez un fournisseur ? Quel impact pour le donneur d'ordres ? Opacité des décisions automatisées Le fournisseur utilise l'IA pour prendre ou préparer des décisions affectant des personnes sans être en mesure d’expliquer les critères de décision. Impossibilité de répondre à une demande d'explication ou de contestation au titre de l'article 22 du RGPD, défaut de traçabilité dans le plan de vigilance. Fuite de données via les outils d'IA Des salariés du fournisseur saisissent des données du donneur d'ordres dans des outils d'IA générative comme ChatGPT ou Copilot. Exfiltration de données sensibles vers des modèles tiers, perte de contrôle sur le périmètre de confidentialité. Vulnérabilités propres aux systèmes d'IA Le fournisseur déploie des modèles exposés à des attaques par empoisonnement de données, injection de prompts ou extraction de modèle (risques documentés par l'ANSSI). Compromission de la prestation, manipulation des résultats, atteinte à la fiabilité des données traitées pour le compte du donneur d'ordres.

Quelles clauses contractuelles pour encadrer l’usage de l’IA par vos fournisseurs ?

Après l’identification des risques IA dans la chaîne de valeur, le contrat fournisseur doit préciser les usages autorisés, les données traitées, les contrôles attendus et les responsabilités de chaque partie. Cette étape permet au donneur d’ordre de garder une trace exploitable des engagements pris par le fournisseur, en particulier lorsque l’IA intervient dans une prestation sensible.

Les clauses à prévoir dépendent de l’activité du fournisseur. Voici quelques exemples de clauses typiques :

  • Déclaration des usages IA. Le fournisseur indique s’il utilise des systèmes d’IA pour exécuter la prestation, avec leur finalité, leur éditeur, leur lieu d’hébergement…
  • Autorisation. Le ****contrat peut interdire l’usage d’un outil IA non déclaré ou soumettre certains usages à l’accord écrit du donneur d’ordre.
  • Confidentialité. Le fournisseur s’engage à ne pas saisir les données du donneur d’ordre dans un outil d’IA générative ouvert au public.
  • Conformité. Si le système d’IA entre dans le champ du Règlement IA ou traite des données personnelles, le fournisseur doit transmettre les informations nécessaires au donneur d’ordre : documentation technique, instructions d’usage, mesures de supervision humaine…
  • Cybersécurité. Le fournisseur décrit les mesures mises en place contre les risques liés à l’IA.
  • Droit de contrôle. Le donneur d’ordre peut demander les preuves de conformité utiles : rapports d’audit, attestations de sécurité, documentation de paramétrage…
  • Notification des incidents. Le fournisseur doit informer le donneur d’ordre en cas d’incident de sécurité, de fuite de données ou de dysfonctionnement du système d’IA.
  • Sous-traitance IA. Le contrat encadre le recours à des éditeurs, hébergeurs, API ou modèles tiers.

Évaluez et pilotez sereinement le risque IA chez vos tiers avec Provigis

Provigis accompagne depuis 2009 les donneurs d'ordres sur l'ensemble de leurs enjeux de conformité fournisseurs et de gestion des risques tiers : obligation de vigilance, devoir de vigilance, Sapin II, RSE, cybersécurité, fraude au virement...

Sur le volet IA, notre plateforme digitale vous permet :

  • De collecter les données sur l'utilisation de l'IA par vos fournisseurs via des questionnaires et documentations, qui recueillent des informations sur l'utilisation de l'IA, l'activité SaaS, la connexion au SI du donneur d'ordres, la classification automatisée et la segmentation des prestataires TIC & TIC Critiques au regard de DORA et de votre propre registre.
  • D’évaluer la robustesse de vos fournisseurs en matière de cybersécurité via screening et notation sans sollicitation du tiers grace à l'intégration de SecurityScore Card .
  • De segmenter et piloter le risque dans la durée via Provigis Risk Pilot (PRP), qui permet d'ajouter le risque IA comme catégorie dans la cartographie des risques tiers, de segmenter les fournisseurs par niveau d'exposition et de déclencher des actions proportionnées.

Vous souhaitez automatiser l’évaluation du risque IA dans votre chaîne de valeur ?

Nos équipes sont à votre écoute.

Temps de lecture
12 min
Nous suivre
L’actu de Provigis

Abonnez-vous à notre newsletter pour recevoir nos dernières actualités.