IA Act et modèles d'IA à usage général : ce que les fournisseurs doivent savoir (Articles 51–55)

L'AI Act ne dispense pas les modèles d'IA à usage général de toute obligation

Nombreux sont les fournisseurs de grands modèles de langage, de modèles de fondation et de systèmes multimodaux qui estiment que leur technologie échappe au champ d'application de l'AI Act européen. Ce n'est pas le cas. Le Chapitre V du règlement (Articles 51 à 56) établit un cadre réglementaire dédié aux modèles d'IA à usage général (GPAI). Les obligations sont entrées en vigueur le 2 août 2025.

Cet article explique précisément ce que la loi exige, quels modèles elle cible, et comment construire un programme de conformité — que vous soyez une entreprise américaine fournissant des modèles au marché européen ou un acteur européen.

Une source fréquente de confusion : certaines ressources citent « l'Article 25 » pour traiter des obligations GPAI. L'Article 25 est une disposition distincte qui régit les responsabilités dans la chaîne de valeur pour les systèmes d'IA à haut risque (par exemple, lorsqu'un distributeur rebaptise un produit ou y apporte une modification substantielle). Les obligations des fournisseurs de modèles GPAI se trouvent aux Articles 51 à 56.

Qu'est-ce qu'un modèle d'IA à usage général au sens de l'AI Act ?

L'AI Act définit un modèle d'IA à usage général comme un modèle entraîné sur de grandes quantités de données en utilisant l'apprentissage auto-supervisé, capable d'exécuter de manière compétente un large éventail de tâches distinctes, et pouvant être intégré dans diverses applications en aval.

Cette définition couvre :

Les grands modèles de langage (LLM) de type GPT ou Gemini
Les modèles de fondation utilisés comme base pour le fine-tuning
Les modèles multimodaux traitant du texte, de l'image, du son ou de la vidéo

La définition porte délibérément sur l'architecture et le mode d'utilisation, et non sur les sorties spécifiques du modèle. Si votre modèle peut être utilisé à des fins multiples et intégré dans des systèmes en aval, il entre probablement dans le champ d'application.

Deux niveaux d'obligations : GPAI standard vs. risque systémique

L'AI Act crée deux niveaux de conformité en fonction de l'impact sociétal potentiel du modèle.

Niveau 1 — Tous les fournisseurs de GPAI (Article 53)

Tout fournisseur d'un modèle GPAI mis sur le marché européen doit respecter quatre obligations fondamentales.

1. Documentation technique (Article 53(1)(a), Annexe XI)

Vous devez élaborer et maintenir à jour un dossier technique complet comprenant :

L'architecture, les choix de conception et les capacités du modèle
Les sources de données d'entraînement, les méthodes de filtrage et les volumes
Le calcul d'entraînement et la méthodologie
Les résultats d'évaluation, y compris les benchmarks et les résultats de red-teaming
Les limites connues et les scénarios de mauvaise utilisation prévisibles

Cette documentation doit être mise à la disposition de l'AI Office sur demande. Elle n'a pas à être rendue publique — sauf pour les modèles open-weight présentant un risque systémique.

2. Information des fournisseurs en aval (Article 53(1)(b), Annexe XII)

Vous devez produire et tenir à jour un ensemble d'informations destiné aux fournisseurs en aval — les entreprises et développeurs qui intègrent votre modèle dans leurs propres applications. Ce document doit leur permettre de comprendre ce que votre modèle peut et ne peut pas faire, afin qu'ils puissent eux-mêmes respecter leurs obligations au titre de l'AI Act.

Il doit inclure au minimum : les capacités et limites du modèle, les cas d'usage envisagés, les résultats des tests de sécurité, et les instructions d'utilisation appropriée. Les droits de propriété intellectuelle sont explicitement protégés : vous n'êtes pas tenu de divulguer l'intégralité de votre pipeline d'entraînement.

3. Politique de conformité au droit d'auteur (Article 53(1)(c))

Vous devez mettre en place une politique de conformité au droit d'auteur européen, en utilisant des mesures techniques à l'état de l'art pour identifier et respecter les réservations de droits des créateurs de contenu — y compris les opt-outs prévus à l'Article 4(3) de la directive sur le droit d'auteur dans le marché unique numérique (DSM).

4. Résumé public des données d'entraînement (Article 53(1)(d))

Vous devez publier un « résumé suffisamment détaillé » du contenu utilisé pour entraîner le modèle. Cela n'impose pas la divulgation complète des datasets propriétaires, mais le résumé doit être assez précis pour être significatif. L'AI Office a indiqué que des formulations vagues comme « données publiques d'internet » sont insuffisantes.

Exemption open source

Les fournisseurs qui publient leurs modèles sous des licences libres (permettant l'accès, l'utilisation, la modification et la distribution) sont exemptés des obligations 1 et 2 ci-dessus — sauf si le modèle est également classifié comme présentant un risque systémique.

Niveau 2 — Modèles GPAI à risque systémique (Articles 51 et 55)

Un modèle GPAI est présumé présenter un risque systémique lorsque le calcul d'entraînement cumulé dépasse 10²⁵ opérations en virgule flottante (FLOPs) (Article 51(1)(a)). Ce seuil capture actuellement les modèles frontier les plus puissants.

La classification peut également être déclenchée par une décision de la Commission fondée sur des indicateurs qualitatifs — notamment un grand nombre d'utilisateurs, une portée intersectorielle, ou des capacités d'autonomie élevées — même si le seuil de calcul n'est pas atteint (Article 51(1)(b), Annexe XIII).

Les fournisseurs doivent notifier la Commission européenne dans les deux semaines suivant le dépassement ou la connaissance imminente du dépassement de ce seuil (Article 52).

En plus de toutes les obligations de Niveau 1, les fournisseurs de Niveau 2 doivent se conformer à l'Article 55 :

Tests adversariaux et évaluation du modèle (Article 55(1)(a))

Vous devez conduire un red-teaming structuré et une évaluation du modèle selon des protocoles standardisés pour identifier les risques systémiques — notamment les risques pour la santé publique, la sécurité, les droits fondamentaux et les processus démocratiques — avant la mise sur le marché et de manière continue.

Évaluation et atténuation des risques systémiques (Article 55(1)(b))

Vous devez évaluer et atténuer les risques systémiques potentiels au niveau de l'Union découlant du développement, de la mise sur le marché ou de l'utilisation du modèle. Cela inclut l'identification des sources de risque dans les données d'entraînement, l'architecture du modèle et les contextes de déploiement prévisibles.

Signalement des incidents graves (Article 55(1)(c))

Vous devez suivre, documenter et signaler sans délai à l'AI Office tout incident grave impliquant votre modèle, ainsi que les mesures correctives prises. Un incident grave est tout incident entraînant un décès, un préjudice grave pour la santé, une perturbation significative d'infrastructures, ou une violation des droits fondamentaux à grande échelle.

Cybersécurité (Article 55(1)(d))

Vous devez assurer une protection adéquate en matière de cybersécurité pour le modèle et son infrastructure physique, incluant des mesures contre l'extraction de modèle, les attaques adversariales contournant les garde-fous, et l'empoisonnement de données.

Le Code de conduite GPAI : la voie la plus rapide vers la conformité

Le Code de conduite GPAI a été publié le 10 juillet 2025 et approuvé par la Commission européenne. Il est volontaire, mais son poids pratique est considérable :

Son adoption crée une présomption de conformité avec les Articles 53 et 55
Les non-signataires font l'objet d'un contrôle accru, de plus nombreuses demandes d'information, et d'un traitement moins favorable lors de la fixation des amendes
Le Code fournit des orientations opérationnelles détaillées là où la législation est intentionnellement ouverte

Signer le Code de conduite n'est pas une obligation légale, mais pour la plupart des fournisseurs, c'est la voie la plus efficace pour démontrer leur conformité.

Sanctions en cas de non-conformité

Les amendes pour infractions liées au GPAI sont calculées sur la base du chiffre d'affaires annuel mondial :

Infraction	Amende maximale
Violations des obligations des Articles 53 ou 55	3 % du chiffre d'affaires annuel mondial ou 15 millions d'euros, le montant le plus élevé étant retenu
Fourniture d'informations incorrectes aux autorités	1 % du chiffre d'affaires annuel mondial ou 7,5 millions d'euros, le montant le plus élevé étant retenu
Violations présentant des risques inacceptables (Annexe I)	7 % du chiffre d'affaires annuel mondial ou 35 millions d'euros, le montant le plus élevé étant retenu

Le seuil de 7 % / 35 M€ s'applique aux pratiques d'IA interdites — pas aux obligations spécifiques au GPAI. Confondre ces deux niveaux revient à surestimer la sanction pour manquement aux obligations GPAI.

Calendrier de conformité en un coup d'œil

Date	Étape
2 août 2025	Entrée en vigueur des obligations GPAI pour tous les nouveaux modèles
2 août 2026	L'AI Office dispose de pouvoirs de contrôle complets
2 août 2027	Délai pour les modèles mis sur le marché avant août 2025

Cinq étapes concrètes pour construire un programme de conformité GPAI

Étape 1 — Déterminer votre niveau

Établissez si votre modèle dépasse le seuil de 10²⁵ FLOPs de calcul d'entraînement. En cas d'incertitude, examinez les indicateurs qualitatifs de l'Annexe XIII. Notifiez la Commission si vous êtes proche ou au-delà du seuil.

Étape 2 — Constituer votre dossier technique

Cartographiez tous les éléments requis par l'Annexe XI dans un processus de documentation interne. Désignez un responsable. Définissez des déclencheurs de révision liés aux mises à jour et aux événements de réentraînement du modèle.

Étape 3 — Créer votre package d'information pour les fournisseurs en aval

Rédigez le document de divulgation prévu par l'Annexe XII à destination des fournisseurs en aval. Maintenez-le à jour — il doit refléter les capacités du modèle tel qu'il est déployé, et non tel qu'il a été conçu.

Étape 4 — Établir une politique de conformité au droit d'auteur

Auditez votre pipeline de données d'entraînement pour identifier les contenus couverts par le droit d'auteur européen. Mettez en place des mesures techniques pour honorer les opt-outs. Documentez votre politique et rendez-la accessible.

Étape 5 — Publier votre résumé des données d'entraînement

Rédigez un résumé public allant au-delà des étiquettes génériques. Décrivez les catégories de sources, les critères de filtrage et les volumes approximatifs. Consultez les orientations publiées par l'AI Office sur ce qui est considéré comme suffisant.

Pour les fournisseurs de Niveau 2, ajoutez : des protocoles de red-teaming, un registre des risques systémiques, une procédure de signalement des incidents, et un cadre de cybersécurité pour l'infrastructure du modèle.

Comment DilAIg accompagne la conformité GPAI

Traduire les obligations légales en processus opérationnels adaptés à votre architecture de modèle et à votre contexte de déploiement n'est pas un exercice ponctuel. Cela requiert une documentation continue, des évaluations structurées, et un processus clair de signalement.

DilAIg est construit pour cela. Notre plateforme guide les fournisseurs de GPAI à travers chaque obligation des Articles 53 et 55, génère les documents requis, et maintient votre posture de conformité à jour à mesure que le modèle et la réglementation évoluent.

Démarrer votre audit de conformité →

Réserver une démo →

FAQ : Obligations GPAI au titre de l'AI Act

Quels articles de l'AI Act couvrent les obligations des modèles GPAI ?

Les Articles 51 à 56 du Chapitre V. L'Article 25 est une disposition distincte sur les responsabilités dans la chaîne de valeur pour les systèmes d'IA à haut risque et ne régit pas les obligations des modèles GPAI.

L'AI Act s'applique-t-il aux entreprises non européennes ?

Oui. Si votre modèle est mis sur le marché européen ou utilisé dans l'UE, l'AI Act s'applique quelle que soit votre localisation. L'Article 54 impose aux fournisseurs non établis dans l'UE de désigner un représentant autorisé en Europe.

Qu'est-ce que le seuil de 10²⁵ FLOPs ?

C'est le seuil de calcul d'entraînement au-delà duquel un modèle GPAI est présumé présenter un risque systémique et doit se conformer à l'Article 55 en plus de l'Article 53. Il s'agit d'une présomption réfutable — les fournisseurs peuvent contester la classification auprès de l'AI Office.

Les modèles GPAI open source sont-ils exemptés ?

Partiellement. Les modèles open-weight sous licences libres sont exemptés des exigences de documentation technique et d'information des fournisseurs en aval au titre de l'Article 53(1)(a) et (b). Ils ne sont pas exemptés s'ils sont également classifiés comme présentant un risque systémique.

Qu'est-ce que le Code de conduite GPAI ?

Un cadre de conformité volontaire publié le 10 juillet 2025 et approuvé par la Commission européenne. Son adoption crée une présomption de conformité avec les Articles 53 et 55 et réduit le contrôle réglementaire.

Quand les obligations GPAI sont-elles exécutoires ?

Depuis le 2 août 2025 pour les nouveaux modèles. Les pouvoirs de contrôle complets de l'AI Office s'appliquent à partir du 2 août 2026. Les modèles existants bénéficient d'un délai jusqu'au 2 août 2027.

Points clés à retenir

Les obligations GPAI se trouvent aux Articles 51–56, et non à l'Article 25
Tous les fournisseurs de GPAI doivent se conformer à l'Article 53 : documentation technique, information en aval, politique de droit d'auteur, résumé des données d'entraînement
Les modèles dont le calcul d'entraînement dépasse 10²⁵ FLOPs font face à des obligations supplémentaires au titre de l'Article 55 : red-teaming, évaluation des risques, signalement d'incidents, cybersécurité
Le Code de conduite GPAI (juillet 2025) est la voie la plus efficace pour démontrer la conformité
Les amendes spécifiques au GPAI sont plafonnées à 3 % du chiffre d'affaires mondial — et non à 7 %
Les fournisseurs non européens doivent désigner un représentant autorisé dans l'UE