← Retour au blog

Code de pratique GPAI : ce que les signataires doivent faire concrètement

Ce que le code de pratique GPAI impose aux fournisseurs de modèles d'IA : statut juridique, quatre mesures, seuil 10²⁵ FLOPs et implications de la signature.

19 mai 2026DILAIG

Le code de pratique GPAI a été publié le 10 juillet 2025. Pour les entreprises qui développent ou déploient des grands modèles de langage et des modèles fondamentaux dans l'UE, il a transformé le paysage de la conformité presque du jour au lendemain. Si vous fournissez un modèle d'IA à usage général, ce code est désormais votre référence principale. Si votre entreprise l'a signé, vous bénéficiez d'une présomption de conformité avec l'AI Act. Si vous ne l'avez pas signé, vous devez démontrer votre conformité par d'autres voies.

Cet article explique ce que le code exige concrètement, ce que la signature signifie juridiquement, et quelles obligations pratiques les signataires ont acceptées à travers les quatre mesures du code.

Qu'est-ce que le code de pratique GPAI ?

Le code de pratique GPAI est un cadre technique et de gouvernance volontaire élaboré en application de l'article 56 du règlement (UE) 2024/1689 sur l'IA. Il a été coordonné par le Bureau européen de l'IA et produit à travers un processus multi-parties prenantes réunissant plus de 1 000 organisations : fournisseurs de modèles, chercheurs, organisations de la société civile, déployeurs en aval et autorités publiques.

L'objectif juridique central du code est de créer une présomption de conformité. Lorsqu'un fournisseur de modèle GPAI suit le code, il est présumé se conformer aux articles 53 et 55 de l'AI Act, qui régissent respectivement les obligations standard des fournisseurs GPAI et les obligations supplémentaires pour les modèles présentant un risque systémique. Cette présomption est réfragable : une autorité nationale ou le Bureau européen de l'IA peut toujours contester la conformité, mais la charge de la preuve pèse sur l'autorité de contrôle, non sur le fournisseur.

Il ne s'agit pas d'un refuge légal au sens strict. Mais en pratique, c'est ce qui s'en rapproche le plus pour les fournisseurs GPAI dans le cadre de l'AI Act.

Base juridique : articles 53, 55 et 56

Avant d'examiner ce que le code exige, il est utile de comprendre les trois articles qu'il relie.

L'article 53 fixe les obligations standard pour tous les fournisseurs de modèles GPAI. Elles incluent la tenue d'une documentation technique, la fourniture d'informations aux fournisseurs en aval, la publication d'un résumé des données d'entraînement utilisées, et le respect du droit d'auteur de l'UE.

L'article 55 impose une couche supplémentaire d'obligations aux modèles GPAI présentant un risque systémique. Ces fournisseurs doivent réaliser des évaluations du modèle et des tests adversariaux, signaler les incidents graves au Bureau européen de l'IA, assurer des protections en matière de cybersécurité proportionnées au risque, et rendre compte de leur consommation énergétique.

L'article 56 confère au Bureau européen de l'IA le pouvoir de faciliter l'élaboration des codes de pratique, et prévoit que le respect d'un code crée la présomption de conformité. L'article 56(9) précise que les fournisseurs qui ne suivent pas le code doivent démontrer leur conformité par d'autres voies, notamment via des normes techniques harmonisées une fois celles-ci adoptées, ou par une documentation directe de leur conformité au règlement.

Les quatre mesures du code

Le code organise ses obligations en quatre mesures thématiques. Chaque mesure s'applique différemment selon que le fournisseur se situe au-dessus ou en dessous du seuil de risque systémique.

Mesure 1 : Transparence et droits d'auteur

Tous les fournisseurs de modèles GPAI, quelle que soit leur taille ou leur classification de risque, doivent mettre en œuvre la mesure de transparence et de droits d'auteur.

Concrètement, cela signifie :

  • Fournir aux fournisseurs en aval et aux utilisateurs des informations suffisantes pour comprendre les capacités et les limites du modèle
  • Publier un résumé suffisamment détaillé des données d'entraînement, incluant les types de sources utilisées et, dans la mesure du possible, la portée géographique et temporelle
  • Disposer d'une politique documentée de conformité au droit d'auteur couvrant l'approche du fournisseur concernant les exceptions de fouille de textes et de données au titre du droit d'auteur européen
  • Maintenir et rendre disponible un résumé général du contenu des données d'entraînement pour chaque version du modèle

La documentation attendue ici n'est pas une simple liste à cocher. Le Bureau européen de l'IA attend des fournisseurs qu'ils produisent des résumés véritablement informatifs, et non des déclarations génériques indiquant que les données d'entraînement ont été « extraites d'internet ». Le code précise que le résumé doit permettre aux fournisseurs en aval de prendre des décisions éclairées sur l'intégration du modèle dans leurs produits.

Mesure 2 : Cadre de sécurité et de sûreté

La mesure de sécurité et de sûreté s'applique à tous les signataires et porte à la fois sur la sécurité du modèle et les protections en matière de cybersécurité.

Les obligations concrètes de cette mesure comprennent :

  • Mettre en place des procédures de gouvernance interne pour identifier, évaluer et atténuer les risques de sécurité tout au long du cycle de développement du modèle
  • Mettre en œuvre des mesures de cybersécurité adaptées à la nature et au profil de risque du modèle
  • Conserver les registres des résultats des tests de sécurité internes
  • S'assurer que les modèles déployés intègrent des protections contre les utilisations abusives visant à générer des contenus dangereux selon les catégories définies dans le code

Les fournisseurs doivent être en mesure de démontrer ces mesures par la documentation. Le Bureau européen de l'IA peut demander cette documentation en vertu de l'article 88 de l'AI Act, et le code exige qu'elle soit tenue de manière à faciliter le contrôle réglementaire.

Mesure 3 : Cadre de risque systémique

Cette mesure s'applique uniquement aux modèles qui dépassent le seuil de risque systémique : 10²⁵ opérations en virgule flottante (FLOPs) utilisées lors de l'entraînement. Ce seuil est défini à l'article 51(2) de l'AI Act et s'applique indépendamment d'une éventuelle désignation formelle comme risque systémique par le Bureau européen de l'IA.

Pour les signataires au-dessus de ce seuil, les obligations supplémentaires comprennent :

  • Réaliser des évaluations du modèle selon un ensemble défini de catégories de capacités, incluant l'évaluation du potentiel d'utilisation pour des armes de destruction massive, des attaques contre des infrastructures critiques à grande échelle, et des capacités offensives en cybersécurité
  • Effectuer des tests adversariaux (red-teaming) avant le déploiement et à intervalles définis après le lancement
  • Signaler les incidents graves au Bureau européen de l'IA dans les délais fixés
  • Publier des rapports annuels de sécurité couvrant les résultats des évaluations, les conclusions des tests et les incidents significatifs
  • Rendre compte de la consommation énergétique pour l'entraînement et l'inférence

Le seuil en FLOPs constitue la ligne de démarcation essentielle. La plupart des modèles actuellement en production chez les startups et entreprises d'IA de taille intermédiaire se situent en dessous de 10²⁵ FLOPs et ne sont donc soumis qu'aux obligations des mesures 1, 2 et 4. Les modèles frontières des plus grands fournisseurs, y compris ceux des principaux laboratoires américains opérant dans l'UE, sont les principales cibles de la mesure 3.

Mesure 4 : Mesures de gouvernance

La mesure de gouvernance s'applique à tous les signataires et porte sur la responsabilité organisationnelle plutôt que sur des exigences techniques propres au modèle.

Les exigences comprennent :

  • Désigner une fonction responsable ou un individu chargé de superviser la conformité GPAI
  • Établir des politiques internes et des procédures d'examen pour les mises en production des modèles
  • Maintenir un point de contact pour le Bureau européen de l'IA et les autorités nationales
  • Participer aux activités de surveillance et d'évaluation du Bureau européen de l'IA, notamment en répondant aux demandes d'information dans les délais précisés dans le code

Cette mesure est souvent sous-estimée. Elle exige des fournisseurs qu'ils mettent en place des processus institutionnels durables : non seulement documenter les modèles actuels, mais construire l'infrastructure permettant d'assurer la conformité en continu à mesure que les modèles évoluent.

Ce que la signature signifie concrètement

La signature du code crée une présomption juridique en votre faveur, mais elle n'élimine pas vos obligations de conformité. Les signataires sont tenus de mettre en œuvre les mesures dans leur intégralité, et non de se contenter de déclarer leur adhésion.

Le Bureau européen de l'IA a indiqué qu'il suivrait la mise en œuvre via une combinaison d'auto-déclarations, d'audits indépendants et de demandes directes d'information en vertu de l'article 88. Les fournisseurs qui signent sans mettre en œuvre s'exposent à des mesures d'exécution, et le Bureau peut retirer la présomption de conformité pour les fournisseurs jugés non conformes.

Pour les fournisseurs qui envisagent de signer, le calcul stratégique est relativement clair. La signature offre un cadre structuré avec des obligations précises, la présomption de conformité, et une participation au processus d'orientation continue du Bureau européen de l'IA. Ne pas signer signifie devoir démontrer la conformité de manière indépendante, via des normes techniques harmonisées, une documentation directe de la conformité aux articles 53 et 55, ou un autre code reconnu.

Qui a signé, et qui ne l'a pas fait

À la date de publication, un nombre important de fournisseurs majeurs de modèles GPAI ont adhéré au code, notamment plusieurs grandes entreprises américaines de modèles fondamentaux opérant sur le marché européen. Plusieurs fournisseurs ont signé avec des réserves sur certaines dispositions, notamment les délais de déclaration obligatoire d'incidents et le niveau de précision requis pour les résumés de données d'entraînement.

Certains fournisseurs ont publiquement indiqué évaluer le code avant de signer, invoquant des préoccupations relatives à la sensibilité commerciale des informations sur les données d'entraînement et à la portée des exigences documentaires en matière de cybersécurité.

L'implication stratégique de la non-signature mérite d'être soulignée : les non-signataires ne sont pas exemptés des obligations des articles 53 et 55. Ils doivent simplement démontrer leur conformité par d'autres moyens, ce qui exige en pratique un travail documentaire encore plus important, puisqu'ils ne peuvent pas s'appuyer sur le cadre structuré du code comme preuve de conformité.

Calendrier

Les obligations GPAI des articles 53 et 55 sont entrées en vigueur le 2 août 2025. Le code a été publié le 10 juillet 2025, laissant aux fournisseurs une fenêtre étroite pour aligner leurs pratiques avant que les obligations légales deviennent applicables.

Le Bureau européen de l'IA conduit des examens continus de la mise en œuvre du code et a indiqué qu'il publierait des orientations actualisées au fur et à mesure du développement des normes techniques harmonisées pour les modèles GPAI.

Comment DilAIg accompagne la documentation de conformité GPAI

La conformité GPAI dans le cadre du code est très exigeante en matière de documentation. Les mesures 1 à 4 requièrent toutes des registres structurés : des résumés de données d'entraînement aux journaux de tests de sécurité, en passant par les procédures de gouvernance.

L'audit en 50 questions de DilAIg génère la documentation technique dont votre organisation a besoin pour démontrer sa conformité, structurée autour des exigences spécifiques de l'AI Act et du code de pratique GPAI. Que vous vous prépariez à une demande d'information du Bureau européen de l'IA, que vous réalisiez un audit de conformité interne, ou que vous embarquiez des fournisseurs en aval qui ont besoin d'informations de transparence, DilAIg vous fournit une documentation prête pour l'audit à partir d'un processus unique et structuré.

Démarrez votre audit de conformité sur dilaig.com ou contactez-nous pour discuter de vos besoins en conformité GPAI.

FAQ : Code de pratique GPAI

La signature du code de pratique GPAI signifie-t-elle que je suis automatiquement conforme à l'AI Act ? Non. La signature crée une présomption réfragable de conformité avec les articles 53 et 55, à condition que vous mettiez réellement en œuvre les mesures du code. Elle ne couvre pas les autres parties de l'AI Act qui peuvent s'appliquer à votre activité.

Que se passe-t-il si mon modèle dépasse le seuil de 10²⁵ FLOPs après que j'ai signé ? Vous devenez soumis aux obligations de la mesure 3, incluant les évaluations de risque systémique et la déclaration d'incidents. Le code exige que les fournisseurs notifient le Bureau européen de l'IA lorsque leur calcul d'entraînement dépasse ce seuil.

Puis-je me conformer à l'AI Act sans signer le code ? Oui. L'article 56(9) préserve explicitement cette option. Vous devez démontrer votre conformité aux articles 53 et 55 par d'autres moyens : normes techniques documentées, évaluations internes de conformité, ou un autre code reconnu.

Quel niveau de détail est requis pour le résumé des données d'entraînement ? Le code ne spécifie pas de nombre de mots, mais exige que le résumé soit véritablement informatif pour les fournisseurs en aval. Les déclarations génériques sur la provenance des données ne satisferont probablement pas cette exigence. Le Bureau européen de l'IA a indiqué qu'il examinerait attentivement la qualité des résumés de données d'entraînement.

Quel est le rôle du Bureau européen de l'IA dans l'application du code ? Le Bureau peut demander des documents aux signataires en vertu de l'article 88, réaliser des évaluations de modèles en vertu de l'article 89, et prendre des mesures contre les modèles à risque systémique en vertu de l'article 91. Il peut également infliger des amendes directement aux fournisseurs GPAI en vertu de l'article 93.

Le code est-il juridiquement contraignant une fois signé ? Le code est un instrument volontaire, mais son respect crée des présomptions légales en vertu de l'AI Act. Ne pas mettre en œuvre les mesures après avoir signé expose le fournisseur à des mesures d'exécution et à la perte de la présomption de conformité.

Principaux points à retenir

  • Le code de pratique GPAI a été publié le 10 juillet 2025 et crée une présomption de conformité avec les articles 53 et 55 de l'AI Act pour les signataires
  • Le code comporte quatre mesures : transparence et droits d'auteur ; sécurité et sûreté ; cadre de risque systémique ; gouvernance. Les première, deuxième et quatrième s'appliquent à tous les fournisseurs ; la mesure 3 s'applique uniquement aux modèles dépassant 10²⁵ FLOPs
  • La signature n'est pas une conformité automatique : les fournisseurs doivent effectivement mettre en œuvre chaque mesure et maintenir la documentation requise
  • Les non-signataires doivent démontrer leur conformité de manière indépendante, ce qui exige généralement un travail documentaire plus important que le suivi du cadre structuré du code
  • Les obligations GPAI sont applicables depuis le 2 août 2025
  • Le Bureau européen de l'IA dispose de pouvoirs d'exécution en vertu des articles 88 à 93 et peut demander des documents, réaliser des évaluations et infliger des amendes directement aux fournisseurs GPAI

Pour aller plus loin

Votre système IA est-il conforme ?

Audit gratuit en 20 minutes.

Démarrer l'audit