L’AI Act établit un cadre juridique harmonisé applicable aux systèmes d’IA ainsi qu’aux modèles d’IA à usage général (General Purpose AI – GPAI), c’est-à-dire les modèles d’IA entraîné à l’aide d’un grand nombre de données utilisant l’auto-supervision à grande échelle, susceptibles d’être intégrés dans une grande diversité de systèmes et capables d’exécuter un large éventail de tâches distinctes.
Dans ce contexte, le législateur européen a prévu un régime spécifique pour certains modèles GPAI diffusés en open source. Ce régime repose sur des exemptions ciblées, destinées à tenir compte des caractéristiques particulières et des avantages de l’open source, tout en maintenant un socle minimal d’exigences en matière de transparence, de gouvernance et de responsabilité.
Ces exemptions ne sont toutefois ni générales ni automatiques : elles sont conditionnées au respect de conditions cumulatives prévues par le règlement, ce qui impose une analyse rigoureuse du régime applicable à chaque modèle.
I. Définition d’un modèle open source au sens de l’AI Act
Selon les considérants 102 et 104 de l’AI Act, les modèles open source désignent :
- Les modèles d’IA publiés sous une licence libre et open source
- Permettant l’accès, l’utilisation, la modification et la distribution du modèle,
- Et dont sont rendus publics :
- Les paramètres, y compris les poids du modèle,
- Les informations relatives à l’architecture du modèle,
- Les informations nécessaires à la compréhension de son utilisation.
Il ne s’agit donc pas uniquement d’un accès au code, mais bien d’une transparence technique et fonctionnelle complète.
II. Les conditions cumulatives d’exemption prévues par l’AI Act
Par principe, les modèles d’IA à usage général sont soumis à un ensemble d’exigences spécifiques prévues notamment aux articles 53 et 54 de l’AI Act, reflétant leur large champ d’application et leur potentiel d’impact transversal.
Toutefois, le règlement prévoit un régime spécifique d’exemptions ciblées pour certains modèles diffusés en open source, sous réserve du respect de conditions cumulatives strictement définies.
Pour bénéficier de ces exemptions, les modèles open source doivent remplir simultanément deux conditions, précisées par les lignes directrices relatives à la portée des obligations applicables aux modèles d’IA à usage général §72-§92.
1. Le critère déterminant : l’absence de risque systémique
Lorsqu’un modèle d’IA à usage général présente un risque systémique, le fait qu’il soit diffusé sous une licence libre et open source ne suffit pas à exonérer son fournisseur du respect des obligations prévues par l’AI Act.
Pour rappel, selon l’article 3 (65) de l’AI Act, un risque systémique désigne :
Un risque spécifique aux capacités à fort impact des modèles d’IA à usage général, ayant une incidence significative sur le marché de l’Union en raison de leur portée ou d’effets négatifs réels ou raisonnablement prévisibles sur la santé publique, la sûreté, la sécurité publique, les droits fondamentaux ou la société dans son ensemble, pouvant être propagé à grande échelle tout au long de la chaîne de valeur.
Ce critère conditionne donc l’accès même au régime d’exemption, indépendamment du respect des autres exigences.
2. Les conditions relatives à la qualification open source
Sous réserve de cette limite, les modèles open source peuvent bénéficier des exemptions prévues par le règlement s’ils remplissent cumulativement les 3 conditions suivantes, afin d’assurer leur qualification open source :
Une licence libre et open source effective
La licence doit permettre sans restriction injustifiée :
- L’accès au modèle,
- Son utilisation,
- Sa modification,
- Sa redistribution.
En présence d’une limitation substantielle de l’un de ces droits, le modèle ne peut prétendre au bénéfice de l’exemption prévue par l’AI Act.
L’absence de monétisation directe
Deux critères clés sont explicitement mentionnés :
- Pas de double licence commerciale,
- Pas d’hébergement payant exclusif du modèle.
Autrement dit, un modèle open source servant de base à une offre commerciale fermée ou conditionnée financièrement ne peut pas prétendre à l’exemption.
La transparence technique et fonctionnelle du modèle
Les paramètres doivent être rendus publics :
- Les paramètres, y compris les poids du modèle,
- Les informations relatives à l’architecture du modèle,
- Les informations nécessaires à la compréhension de son utilisation.
Et cela dans un format, et avec un degré de clarté et de précision, permettant l’accès, l’utilisation, la modification et la distribution du modèle.
III. Les exemptions accordées aux modèles open source éligibles
Une fois les conditions cumulatives remplies, les fournisseurs de modèles open source bénéficient d’un régime d’exemptions aux obligations prévues par le règlement :
- Exemption de documentation technique : les fournisseurs sont exemptés de l’obligation d’élaborer et de tenir à jour la documentation technique normalement exigée pour les modèles d’IA à usage général.
- Exemption de transmission de documentation aux intégrateurs (fournisseurs en aval intégrant dans leurs propres systèmes des modèles GPAI) : ils sont également exemptés de l’obligation d’élaborer, de maintenir et de mettre à disposition les informations et documentations à destination des fournisseurs de systèmes d’IA souhaitant intégrer le modèle d’IA à usage général dans leurs systèmes d’IA.
- Exemption de désignation d’un représentant dans l’Union : pour les fournisseurs établis dans des pays tiers, l’AI Act prévoit en principe la désignation d’un représentant autorisé dans l’Union européenne. Les modèles open source éligibles sont exemptés de cette obligation.
IV. Des obligations qui demeurent malgré les exemptions
Les exemptions prévues par l’AI Act en faveur de certains modèles d’IA open source à usage général ne signifient pas une exonération totale de responsabilité.
Le législateur européen a entendu maintenir un socle minimal d’obligations transversales, visant à garantir un niveau suffisant de transparence, de conformité juridique et de gouvernance, indépendamment du régime d’exemption applicable.
À ce titre, deux obligations majeures continuent de s’imposer aux fournisseurs de modèles d’IA open source éligibles aux exemptions :
1. La mise en place d’une politique de conformité au droit d’auteur de l’Union européenne
Les fournisseurs de modèles d’IA open source doivent établir et mettre en œuvre une politique formelle de conformité au droit d’auteur de l’Union européenne, couvrant l’ensemble du cycle de vie du modèle, et en particulier la constitution et l’exploitation des jeux de données d’entraînement.
Cette politique doit notamment permettre :
- D’identifier les contenus protégés par le droit d’auteur susceptibles d’être utilisés dans les données d’entraînement ;
- De prendre en compte et de respecter les réserves de droits exprimées par les titulaires, y compris les mécanismes d’opt-out, les droits voisins et les autres restrictions applicables ;
- D’assurer une traçabilité minimale des choix opérés en matière de collecte, de sélection et d’utilisation des données.
Cette obligation revêt une importance centrale, dans la mesure où elle engage directement la gouvernance des données d’entraînement et expose les fournisseurs à des risques juridiques significatifs en cas de non-conformité.
2. Produire un résumé du contenu utilisé pour l’entraînement
Les fournisseurs sont également tenus d’élaborer et mettre à la disposition du public un résumé du contenu utilisé pour l’entraînement du modèle. Cette exigence vise à renforcer la transparence des modèles d’IA à usage général, sans imposer la divulgation exhaustive ou sensible des jeux de données sous-jacents.
Ce résumé doit permettre :
- De fournir une vision d’ensemble des types de contenus mobilisés (sources, catégories, nature des données) ;
- De favoriser la compréhension des caractéristiques générales du modèle et de ses limites potentielles ;
- De concilier les exigences de transparence avec la protection des secrets d’affaires, des données sensibles et des intérêts légitimes des fournisseurs.
L’obligation de résumé s’inscrit ainsi dans une approche équilibrée, destinée à améliorer l’information des autorités, des intégrateurs et du public, tout en préservant les contraintes opérationnelles et économiques propres aux modèles open source.
V. Ce que cela implique concrètement pour les acteurs de l’IA
Les modèles d’IA diffusés en open source ne sont ni hors du champ de l’AI Act, ni automatiquement conformes du seul fait de leur mode de diffusion.
Le recours à une licence libre et open source ne dispense pas, en tant que tel, d’une analyse juridique approfondie du modèle et de ses conditions d’exploitation.
À ce titre, le développement, la mise à disposition ou l’intégration de modèles d’IA open source impliquent notamment :
- Une qualification juridique rigoureuse du modèle, afin de déterminer son statut au regard des catégories prévues par l’AI Act et d’apprécier l’existence éventuelle d’un risque systémique ;
- Une analyse des modalités de diffusion et de monétisation, portant sur les licences applicables, les conditions d’accès au modèle et les usages commerciaux susceptibles d’affecter le bénéfice des exemptions ;
- Une gouvernance claire des données d’entraînement, incluant le respect du droit d’auteur de l’Union européenne et la prise en compte des réserves de droits ;
- Une capacité à documenter la conformité résiduelle exigée par l’AI Act, notamment en ce qui concerne les obligations maintenues malgré les exemptions.
En pratique, ces exigences imposent aux acteurs de l’IA open source d’adopter une approche structurée et proactive de la conformité, intégrant les enjeux réglementaires dès les phases de conception, de publication et d’exploitation des modèles.
AI Act & open source : transformer la contrainte réglementaire en avantage maîtrisé
L’entrée en vigueur de l’AI Act impose aux organisations développant, publiant ou intégrant des modèles d’IA open source d’adopter une approche structurée de la conformité réglementaire.
L’open source ne constitue pas une exemption automatique : la qualification juridique des modèles, la gouvernance des données d’entraînement et le respect des obligations résiduelles deviennent des enjeux clés.
👉 Découvrez notre plateforme de management de l’IA, conçue pour transformer les exigences réglementaires en leviers de maîtrise, de transparence et de confiance.