FR
EN
Nous rejoindre
Accueil Capstan News IA Act : entrée en vigueur des règles sur l’IA à usage général, quels enjeux pour l’employeur ?...
Analyses

IA Act : entrée en vigueur des règles sur l’IA à usage général, quels enjeux pour l’employeur ?

Mélina Bouroutsis
Publié le 09/09/2025
IA Act : entrée en vigueur des règles sur l’IA à usage général, quels enjeux pour l’employeur ?
Conditions de travail

Le règlement européen sur l’intelligence artificielle — communément appelé « IA Act » — marque une étape majeure dans la régulation des technologies d’IA en Europe. Publié au Journal officiel de l’Union européenne le 12 juillet 2024, il prévoit une entrée en vigueur progressive de ses mesures jusquen 2030.

Sur L’IA Act, voir également « Intelligence artificielle au travail : n’attendez pas pour vous emparer du sujet ! »

Après un premier volet entré en vigueur le 2 février 2025, qui instaurait des interdictions pour certains usages jugés contraires aux droits fondamentaux (comme le « scoring social » par exemple), ainsi que l’obligation pour les employeurs de garantir un niveau suffisant de connaissances en matière d’IA de leur personnel (voir « Formation des salariés à l’IA : 5 questions sur vos obligations d’employeur »), un deuxième volet, applicable depuis le 2 août 2025, introduit pour la première fois de véritables obligations pour les acteurs de l’IA.

Il concerne les modèles d’IA à usage général (General Purpose AI, ou GPAI), qui constituent aujourd’hui la majorité des systèmes d’IA déployés en Europe, notamment dans les entreprises. Retour sur ce 2e volet en 6 questions.

1. Qu’est-ce qu’un modèle d’IA à usage général (GPAI) ?

On entend par GPAI un « modèle d'IA, y compris lorsqu'il est entraîné à l'aide d'une grande quantité de données en utilisant l'autosupervision à grande échelle, qui fait preuve d'une grande généralité et qui est capable d'exécuter avec compétence un large éventail de tâches distinctes, quelle que soit la manière dont le modèle est mis sur le marché, et qui peut être intégré dans une variété de systèmes ou d'applications en aval » (AI Act, art. 33, 63).

En résumé, le GPAI se distingue par :

  • Sa capacité à accomplir de multiples tâches variées, et non une seule fonction ;
  • La possibilité d’être intégré dans de nombreux systèmes ou applications ;
  • Un entraînement sur de vastes ensembles de données ;
  • Une architecture flexible et adaptable à de nouveaux usages.

Les grands modèles de langage (LLM), tels que Chat GPT, Claude ou encore Gemini sont aujourd’hui les exemples les plus emblématiques de GPAI, utilisés pour l’assistance, la génération de contenu, la traduction ou le support.

2. Qui est concerné ?

Les obligations prévues par l’AI Act en matière de GPAI concernent les fournisseurs de GPAI, définis par le règlement comme toute personne ou entité qui développe ou fait développer un GPAI et le met sur le marché ou en service sous son propre nom ou sa propre marque, à titre onéreux ou gratuit (art. 3, 3).

Sont ainsi considérés comme fournisseurs au sens du règlement, aussi bien les développeurs de systèmes d’IA que les entreprises qui développeraient ou feraient développer pour leur propre compte un GPAI interne (ex : Chatbot RH, générateur interne de contenu…).

3. Comment distinguer GPAI standard et GPAI à risque systémique ?

L’AI Act distingue les GPAI standards des GPAI présentant un risque systémique, qui doivent satisfaire à des obligations renforcées.

Le risque systémique est défini comme « une incidence significative sur le marché de l’Union en raison de leur portée ou d’effets négatifs réels ou raisonnablement prévisibles sur la santé publique, la sûreté, la sécurité publique, les droits fondamentaux ou la société dans son   ensemble, pouvant être propagé à grande échelle tout au long de la chaîne de valeur » (AI Act, art. 3, 65).

En effet, si les GPAI ouvrent des opportunités considérables, ils peuvent aussi engendrer des risques importants qui proviennent de leur puissance de calcul, de leur polyvalence et de leur potentiel d’utilisation dans de nombreux domaines impactant la société, parmi lesquels :

  • Risques de sécurité : possibilité d’utilisation malveillante, cyberattaques ou propagation de contenus nuisibles,
  • Risques pour les droits fondamentaux : biais discriminatoires, atteintes à la vie privée et à la confidentialité,
  • Désinformation et manipulation : génération de contenus faux, profonds truquages (deepfakes), ou manipulations à grande échelle.

A noter : au regard des dispositions du règlement, et des précisions techniques qu’il comporte, la majorité des LLM lancés ces trois dernières années sont présumées présenter un risque systémique.

4. Quelles obligations ?

Les fournisseurs de GPAI standards doivent notamment (art. 53) :

  • Rédiger la documentation technique, y compris le processus de formation et d'essai et les résultats de l'évaluation ;
  • Élaborer des informations et de la documentation à fournir aux fournisseurs en aval qui ont l'intention d'intégrer le modèle GPAI dans leur propre système d'IA, afin que ces derniers en comprennent les capacités et les limites et soient en mesure de s'y conformer ;
  • Établir une politique de respect de la directive sur le droit d'auteur ;
  • Publier un résumé suffisamment détaillé du contenu utilisé pour la formation du modèle GPAI.

Outre les 4 obligations susmentionnées, les fournisseurs de modèles GPAI présentant un risque systémique doivent également (art. 55) :

  • Effectuer des évaluations de modèles, y compris mener et documenter des tests contradictoires afin d'identifier et d'atténuer le risque systémique ;
  • Évaluer et atténuer les risques systémiques éventuels, y compris leurs sources ;
  • Repérer, documenter et signaler les incidents graves et les éventuelles mesures correctives à l'Office AI et aux autorités nationales compétentes dans les meilleurs délais ;
  • Assurer un niveau adéquat de protection de la cybersécurité.

5. Faut-il adopter un code de bonnes pratiques ?

Tous les fournisseurs de modèles GPAI peuvent prouver qu'ils respectent leurs obligations en adhérant volontairement à un code de bonnes pratiques jusqu'à la publication de normes européennes harmonisées, dont le respect entraînera une présomption de conformité. Les fournisseurs qui n'adhèrent pas à des codes de bonnes pratiques doivent démontrer qu'ils disposent d'autres moyens adéquats pour se conformer à leurs obligations, afin d'obtenir l'approbation de la Commission.

Le premier Code de bonnes pratiques GPAI a été publié par la Commission le 10 juillet 2025, et plusieurs grands acteurs du secteur, comme Google, OpenAI ou Anthropic, y ont déjà adhéré volontairement.

6. Quelles sanctions ?

Si les sanctions sont moins fortes que la transgression des pratiques interdites (jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires annuel mondial), le non-respect des obligations applicables aux fournisseurs de GPAI est puni d’une amende administrative pouvant aller jusqu’à 15 millions d’euros ou 3 % du chiffre d’affaires annuel.

Sur l’IA, voir aussi : « Consultation du CSE et IA : un juge des référés ordonne la suspension du projet !

Crédit photo : iStock.com

Mélina Bouroutsis
Publié le 09/09/2025
← Retour aux actualités

Vous pourriez également lire...

Transparence salariale : que contient l’avant-projet de loi ?
Transparence salariale : que contient l’avant-projet de loi ?
Conditions de travail Salaire

Un avant-projet de loi visant à transposer la directive européenne sur la transparence salariale a été transmis aux partenaires sociaux. Il prévoit plusieurs changements importants pour les entreprise...

Analyses
 — 
Publié le 06/03/2026
Salariés bloqués à l’étranger : quelles solutions pour l’employeur ? Entretien avec Aurélien Louvet
Salariés bloqués à l’étranger : quelles solutions pour l’employeur ? Entretien avec Aurélien Louvet
Conditions de travail Contrat de travail

Les tensions géopolitiques au Moyen-Orient et les perturbations du trafic aérien ont récemment conduit certaines entreprises à se retrouver confrontées à une situation inattendue : des salariés en dép...

Analyses
 — 
Publié le 06/03/2026
LFSS 2026 : l’étendue et la validité du gel des tarifs de complémentaire santé en question
LFSS 2026 : l’étendue et la validité du gel des tarifs de complémentaire santé en question
Protection sociale

La loi n° 2025-1403 du 30 décembre 2025 de financement de la sécurité sociale pour 2026 a instauré une taxe de 2,05 % à la charge des organismes assureurs, due au titre des cotisations d’assurance mal...

Analyses
 — 
Publié le 24/02/2026
Le RGPD ne saurait être instrumentalisé pour contourner les règles probatoires !
Le RGPD ne saurait être instrumentalisé pour contourner les règles probatoires !
Autres branches du droit Contentieux

La cour d’appel de Paris a récemment rendu une décision qui conjugue bon sens et rigueur juridique : le RGPD ne saurait être détourné pour éluder les règles probatoires (CA Paris, 18 décembre 2025, n°...

Analyses
 — 
Publié le 20/02/2026
Application Capstan News

Les actualités Capstan, toujours avec vous.

Télécharger notre application (iOS et Android)

Télécharger sur l'App Store Disponible sur Google Play
...
Ajouter à mes favoris Retirer de mes favoris