Le règlement européen sur l’intelligence artificielle — communément appelé « IA Act » — marque une étape majeure dans la régulation des technologies d’IA en Europe. Publié au Journal officiel de l’Union européenne le 12 juillet 2024, il prévoit une entrée en vigueur progressive de ses mesures jusqu’en 2030.
Sur L’IA Act, voir également « Intelligence artificielle au travail : n’attendez pas pour vous emparer du sujet ! »
Après un premier volet entré en vigueur le 2 février 2025, qui instaurait des interdictions pour certains usages jugés contraires aux droits fondamentaux (comme le « scoring social » par exemple), ainsi que l’obligation pour les employeurs de garantir un niveau suffisant de connaissances en matière d’IA de leur personnel (voir « Formation des salariés à l’IA : 5 questions sur vos obligations d’employeur »), un deuxième volet, applicable depuis le 2 août 2025, introduit pour la première fois de véritables obligations pour les acteurs de l’IA.
Il concerne les modèles d’IA à usage général (General Purpose AI, ou GPAI), qui constituent aujourd’hui la majorité des systèmes d’IA déployés en Europe, notamment dans les entreprises. Retour sur ce 2e volet en 6 questions.
1. Qu’est-ce qu’un modèle d’IA à usage général (GPAI) ?
On entend par GPAI un « modèle d’IA, y compris lorsqu’il est entraĂ®nĂ© Ă l’aide d’une grande quantitĂ© de donnĂ©es en utilisant l’autosupervision Ă grande Ă©chelle, qui fait preuve d’une grande gĂ©nĂ©ralitĂ© et qui est capable d’exĂ©cuter avec compĂ©tence un large Ă©ventail de tâches distinctes, quelle que soit la manière dont le modèle est mis sur le marchĂ©, et qui peut ĂŞtre intĂ©grĂ© dans une variĂ©tĂ© de systèmes ou d’applications en aval » (AI Act, art. 33, 63).
En résumé, le GPAI se distingue par :
- Sa capacité à accomplir de multiples tâches variées, et non une seule fonction ;
- La possibilité d’être intégré dans de nombreux systèmes ou applications ;
- Un entraînement sur de vastes ensembles de données ;
- Une architecture flexible et adaptable Ă de nouveaux usages.
Les grands modèles de langage (LLM), tels que Chat GPT, Claude ou encore Gemini sont aujourd’hui les exemples les plus emblématiques de GPAI, utilisés pour l’assistance, la génération de contenu, la traduction ou le support.
2. Qui est concerné ?
Les obligations prévues par l’AI Act en matière de GPAI concernent les fournisseurs de GPAI, définis par le règlement comme toute personne ou entité qui développe ou fait développer un GPAI et le met sur le marché ou en service sous son propre nom ou sa propre marque, à titre onéreux ou gratuit (art. 3, 3).
Sont ainsi considérés comme fournisseurs au sens du règlement, aussi bien les développeurs de systèmes d’IA que les entreprises qui développeraient ou feraient développer pour leur propre compte un GPAI interne (ex : Chatbot RH, générateur interne de contenu…).
3. Comment distinguer GPAI standard et GPAI à risque systémique ?
L’AI Act distingue les GPAI standards des GPAI présentant un risque systémique, qui doivent satisfaire à des obligations renforcées.
Le risque systémique est défini comme « une incidence significative sur le marché de l’Union en raison de leur portée ou d’effets négatifs réels ou raisonnablement prévisibles sur la santé publique, la sûreté, la sécurité publique, les droits fondamentaux ou la société dans son ensemble, pouvant être propagé à grande échelle tout au long de la chaîne de valeur » (AI Act, art. 3, 65).
En effet, si les GPAI ouvrent des opportunités considérables, ils peuvent aussi engendrer des risques importants qui proviennent de leur puissance de calcul, de leur polyvalence et de leur potentiel d’utilisation dans de nombreux domaines impactant la société, parmi lesquels :
- Risques de sécurité : possibilité d’utilisation malveillante, cyberattaques ou propagation de contenus nuisibles,
- Risques pour les droits fondamentaux : biais discriminatoires, atteintes à la vie privée et à la confidentialité,
- Désinformation et manipulation : génération de contenus faux, profonds truquages (deepfakes), ou manipulations à grande échelle.
A noter : au regard des dispositions du règlement, et des précisions techniques qu’il comporte, la majorité des LLM lancés ces trois dernières années sont présumées présenter un risque systémique.
4. Quelles obligations ?
Les fournisseurs de GPAI standards doivent notamment (art. 53) :
- RĂ©diger la documentation technique, y compris le processus de formation et d’essai et les rĂ©sultats de l’Ă©valuation ;
- Élaborer des informations et de la documentation Ă fournir aux fournisseurs en aval qui ont l’intention d’intĂ©grer le modèle GPAI dans leur propre système d’IA, afin que ces derniers en comprennent les capacitĂ©s et les limites et soient en mesure de s’y conformer ;
- Établir une politique de respect de la directive sur le droit d’auteur ;
- Publier un résumé suffisamment détaillé du contenu utilisé pour la formation du modèle GPAI.
Outre les 4 obligations susmentionnées, les fournisseurs de modèles GPAI présentant un risque systémique doivent également (art. 55) :
- Effectuer des Ă©valuations de modèles, y compris mener et documenter des tests contradictoires afin d’identifier et d’attĂ©nuer le risque systĂ©mique ;
- Évaluer et atténuer les risques systémiques éventuels, y compris leurs sources ;
- RepĂ©rer, documenter et signaler les incidents graves et les Ă©ventuelles mesures correctives Ă l’Office AI et aux autoritĂ©s nationales compĂ©tentes dans les meilleurs dĂ©lais ;
- Assurer un niveau adéquat de protection de la cybersécurité.
5. Faut-il adopter un code de bonnes pratiques ?
Tous les fournisseurs de modèles GPAI peuvent prouver qu’ils respectent leurs obligations en adhĂ©rant volontairement Ă un code de bonnes pratiques jusqu’Ă la publication de normes europĂ©ennes harmonisĂ©es, dont le respect entraĂ®nera une prĂ©somption de conformitĂ©. Les fournisseurs qui n’adhèrent pas Ă des codes de bonnes pratiques doivent dĂ©montrer qu’ils disposent d’autres moyens adĂ©quats pour se conformer Ă leurs obligations, afin d’obtenir l’approbation de la Commission.
Le premier Code de bonnes pratiques GPAI a été publié par la Commission le 10 juillet 2025, et plusieurs grands acteurs du secteur, comme Google, OpenAI ou Anthropic, y ont déjà adhéré volontairement.
6. Quelles sanctions ?
Si les sanctions sont moins fortes que la transgression des pratiques interdites (jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires annuel mondial), le non-respect des obligations applicables aux fournisseurs de GPAI est puni d’une amende administrative pouvant aller jusqu’à 15 millions d’euros ou 3 % du chiffre d’affaires annuel.
Sur l’IA, voir aussi : « Consultation du CSE et IA : un juge des référés ordonne la suspension du projet !
Crédit photo : iStock.com
