Les modèles d’IA à usage général (GPAI) jouent un rôle central dans l’innovation, en raison de leur capacité à réaliser une multitude de tâches et à s’intégrer facilement dans divers systèmes en aval. Cependant, cette généralité impose des responsabilités réglementaires particulières à leurs fournisseurs. Le Règlement européen sur l’IA (AI Act) établit un cadre clair.
Les obligations pour les fournisseurs de modèles d’IA à usage général sont entrées en application le 2 août 2025. Êtes-vous prêt à naviguer dans ce nouveau paysage de conformité ?
Cet article décrypte les obligations clés, les seuils critiques, les dates butoirs, et les pistes de mise en œuvre, y compris via l’adhésion aux codes de bonnes pratiques.
Qu’est-ce qu’un modèle d’IA à usage général (GPAI) ?
Le Règlement (AI Act), dans son Article 3, point 63, énumère de manière générale les facteurs qui déterminent si un modèle est un modèle d’IA à usage général :
- Est entraîné à l’aide d’un grand nombre de données utilisant l’auto-supervision à grande échelle.
- Présente une généralité significative.
- Est capable d’exécuter de manière compétente un large éventail de tâches distinctes.
- Peut être intégré dans une variété de systèmes ou d’applications en aval.
Les modèles utilisés pour des activités de recherche, de développement ou de prototypage avant leur mise sur le marché sont exclus de cette définition.
La Commission européenne, dans ses lignes directrices adopte plutôt une approche basée sur la quantité de ressources informatiques utilisées pour entraîner le modèle. Elle propose un critère indicatif où, à titre de repère, un modèle peut être considéré comme GPAI si son calcul de formation dépasse 10²³ FLOP (opérations en virgule flottante) et s’il est capable de générer du langage (texte ou audio), du texte vers l’image, ou du texte vers la vidéo.
Il ne s’agit toutefois pas d’une règle absolue :
- Des modèles en dessous de ce seuil peuvent être inclus s’ils présentent une généralité significative ;
- À l’inverse, des modèles dépassant ce seuil peuvent être exclus s’ils ne répondent pas à ce critère de généralité.
Le calendrier de conformité : quelles sont les échéances clés ?
Les obligations pour les fournisseurs de GPAI sont entrées en vigueur le 2 août 2025.
- Pour les modèles mis sur le marché après le 2 août 2025 : Les fournisseurs doivent se conformer immédiatement aux obligations de transparence et d’adaptation des politiques.
- Pour les modèles mis sur le marché avant le 2 août 2025 : Un délai de mise en conformité est accordé jusqu’au 2 août 2027. Les fournisseurs n’ont pas l’obligation de réentraîner ou de supprimer des données d’entraînement si cela s’avère techniquement impossible ou disproportionné.
Bien que les obligations soient applicables dès le 2 août 2025, la Commission ne disposera pas de pouvoirs de contrôle avant le 2 août 2026.
Les obligations incombant aux fournisseurs de GPAI
Tous les fournisseurs de modèles d’IA à usage général sont soumis à une série d’obligations essentielles définies principalement à l’Article 53 de l’AI Act.
Transparence et documentation
Les fournisseurs doivent élaborer et maintenir une documentation technique à destination des autorités, décrivant le fonctionnement et les caractéristiques principales du modèle.
Ils doivent également fournir une documentation adaptée aux fournisseurs en aval, afin de leur permettre d’intégrer le modèle en connaissance de cause et de respecter leurs propres obligations réglementaires.
Enfin, un résumé du contenu d’entraînement doit être mis à la disposition du public.
Droit d’auteur et transparence du contenu d’entraînement
Comment garantir la conformité en matière de propriété intellectuelle ?
Les fournisseurs doivent mettre en œuvre une politique de respect du droit d’auteur, garantissant que les données utilisées pour l’entraînement du modèle respectent la législation en vigueur.
Le Code de bonnes pratiques de l’IA à usage général fournit d’ailleurs des orientations détaillées sur la manière de satisfaire à cette obligation.
Mandataires pour les fournisseurs établis dans des Pays Tiers
Les fournisseurs de GPAI établis dans des pays tiers doivent désigner, par mandat écrit, un mandataire établi dans l’Union (Article 54) avant de mettre leur modèle sur le marché de l’Union. Ce mandataire est habilité à vérifier la documentation technique, à la tenir à disposition des autorités pendant dix ans et à coopérer avec le Bureau de l’IA.
Les obligations renforcées pour les GPAI à risque systémique (Articles 51 et 55)
Les modèles d’intelligence artificielle à usage général présentant un risque systémique sont soumis à des obligations supplémentaires, même lorsqu’ils sont diffusés sous licence libre. Ces modèles se distinguent par leurs capacités à fort impact, susceptibles d’entraîner des effets significatifs sur la sécurité, les droits fondamentaux ou la société dans son ensemble.
Un modèle peut être reconnu comme présentant un risque systémique en raison de sa capacité à fort impact (la quantité cumulée de calcul utilisée pour son entraînement est supérieure à 10^25 FLOP) ou sur décision de la Commission européenne.
Les fournisseurs concernés doivent notamment :
- Évaluer et documenter les risques associés au modèle ;
- Mettre en place des mesures d’atténuation et de suivi pour limiter les impacts potentiels ;
- Signaler sans délai les incidents graves aux autorités compétentes ;
- Assurer un haut niveau de cybersécurité pour protéger le modèle et son infrastructure.
Exemptions pour les modèles open source : une nuance essentielle
Les fournisseurs de modèles open source peuvent être exemptés de certaines obligations si :
- La licence autorise l’accès, l’usage, la modification et la distribution.
- Le modèle n’est pas monétisé directement (pas de double licence ou d’hébergement payant exclusif).
- Les poids, l’architecture et les données d’usage sont publics.
- Le modèle ne présente pas de risque systémique.
Obligations restantes :
- Mettre en place une politique de respect du droit d’auteur de l’UE.
- Publier un résumé des données d’entraînement.
Conformité Volontaire : Le Code de Bonnes Pratiques
Les fournisseurs de GPAI peuvent s’appuyer sur le code de bonnes pratiques publié le 10 juillet 2025 couvrant au moins les obligations prévues aux articles 53 et 55 de l’AI Act. L’adhésion à ce code est volontaire.
Respecter l’AI Act : une gestion sans compromis des obligations GPAI
Respecter les obligations GPAI imposées par l’AI Act n’est pas une simple formalité : cela exige une gestion proactive, structurée et sans compromis pour naviguer efficacement dans un cadre complexe.