AI Act : quelles obligations pour les fournisseurs de modèles d’IA à usage général (GPAI) ?

AI Act : quelles obligations pour les fournisseurs de modèles d’IA à usage général (GPAI) ?

Ce qu’il faut retenir

Le Règlement européen sur l’intelligence artificielle (ou “AI Act”), adopté le 13 juin 2024, marque une avancée déterminante dans l’encadrement des technologies d’IA dans l’UE. Les fournisseurs de systèmes d’IA sont soumis à des obligations particulières en matière de conformité, de gouvernance, de sécurité et de transparence concernant le développement et la mise sur le marché de systèmes d’IA. Ce second article est une synthèse sur les obligations concernant les fournisseurs de modèles d’IA à usage général (GPAI).


Le Règlement européen sur l’intelligence artificielle (“AI Act”), adopté le 13 juin 2024, marque une avancée déterminante dans l’encadrement des technologies d’IA dans l’UE. (1) Le règlement vise à concilier innovation technologique, protection des droits fondamentaux et sécurité juridique pour les acteurs économiques.

Le règlement repose sur une approche graduée fondée sur les risques, depuis les systèmes d’IA interdits, puis les systèmes d’IA à haut risque, les systèmes à risque limité, et les systèmes à risque minimal. Quant aux modèles d’intelligence artificielle à usage général (ou “GPAI”), ils relèvent d’une catégorie à part. (Pour une présentation de l’AI Act, voir notre précédent article : Adoption de l’AI Act : une première étape vers un encadrement juridique de l’IA)

Les fournisseurs de systèmes d’IA, y compris de systèmes d’IA à usage général, sont soumis à des obligations particulières en matière de conformité, de gouvernance, de sécurité et de transparence concernant le développement et la mise sur le marché de systèmes d’IA (SIA). En conséquence, ils doivent d’ores et déjà se préparer à la mise en conformité de leurs opérations.

Dans cet article, nous nous focalisons sur les obligations applicables aux fournisseurs de modèles d’IA à usage général (GPAI). Cet article fait suite à notre article sur les obligations concernant les fournisseurs de systèmes d’IA à haut risque.


1. Les obligations applicables à tous les fournisseurs de systèmes d’IA

Le fournisseur d’IA est défini comme “une personne physique ou morale, une autorité publique, une agence ou tout autre organisme, qui développe ou fait développer un système d’IA ou un modèle d’IA à usage général, et le met sur le marché ou met le système d’IA en service sous son propre nom ou sa propre marque, à titre onéreux ou gratuit.” (art. 3 AI Act).

Indépendamment du niveau de risque du système, tous les fournisseurs sont tenus de respecter un socle commun d’exigences, articulé autour de trois piliers principaux : la formation, la transparence et le respect des interdictions absolues.

    1.1 Former les acteurs impliqués dans l’IA

Les fournisseurs doivent garantir un niveau suffisant de maîtrise de l’IA pour les personnes impliquées dans la conception, le déploiement et l’exploitation des systèmes. Cette exigence est proportionnée au contexte d’utilisation, aux publics visés et aux compétences techniques des équipes concernées (art. 4).

Il est donc recommandé aux fournisseurs de formaliser un plan de formation incluant notamment des modules sur les usages, les droits fondamentaux, les risques et les limites des systèmes d’IA.

    1.2 Assurer la transparence dans les interactions homme-machine

Tout utilisateur doit être informé qu’il est en contact avec un système d’IA, sauf si cela est évident pour une personne normalement informée et raisonnablement avisée (art. 50.1). Cette obligation d’information ne s’applique pas aux systèmes d’IA autorisés par la loi pour la prévention et la détection d’infractions pénales ou d’enquêtes.

Lorsque les systèmes génèrent des contenus de synthèse (texte, audio, image, vidéo), ces contenus doivent être marqués de façon lisible par machine et identifiables comme ayant été créés ou manipulés par une IA. (art. 50.2).

Il convient donc de développer une politique d’étiquetage et une documentation utilisateur claire, en particulier pour les systèmes embarqués dans des produits interactifs (chatbots, IA générative, etc.).

    1.3 Respecter les interdictions posées par l’AI Act

L’article 5 du règlement dresse une liste de pratiques interdites en matière d’IA, quel que soit le niveau de risque du système concerné. Parmi les interdictions de mise sur le marché, mise en service ou utilisation, on relève :
    

     - l’usage de techniques subliminales pour altérer le comportement ;
     - l’exploitation de vulnérabilités psychologiques liées à l’âge (enfants, personnes âgées), au handicap ou à la situation sociale ou économique des personnes ;
     - les systèmes de notation sociale ;
     - la catégorisation biométrique sur la base de caractéristiques sensibles ;
     - le profilage pour évaluer ou prédire le risque pour une personne physique de commettre une infraction pénale ;
     - l’identification biométrique dans l’espace public à des fins répressives (hors exceptions).

Il est recommandé de procéder à des audits de conformité en amont du développement de tout nouveau système d’IA pour exclure les usages prohibés par le règlement.


2. Les obligations des fournisseurs de modèles d’IA à usage général (GPAI)

Un modèle d’IA à usage général (GPAI, ou General Purpose AI) est défini comme “un modèle d’IA, y compris lorsque ce modèle d’IA est entraîné à l’aide d’un grand nombre de données utilisant l’auto-supervision à grande échelle, qui présente une généralité significative et est capable d’exécuter de manière compétente un large éventail de tâches distinctes, indépendamment de la manière dont le modèle est mis sur le marché, et qui peut être intégré dans une variété de systèmes ou d’applications en aval, à l’exception des modèles d’IA utilisés pour des activités de recherche, de développement ou de prototypage avant leur mise sur le marché.” (art. 3)

Les modèles d’IA à usage général sont des systèmes d’IA polyvalents, pouvant être intégrés dans différents systèmes ou applications. Par exemple, les IA génératives sont des modèles d’IA à usage général car elles permettent de créer des contenus de diverses natures : texte, images, contenus audio ou vidéo, traductions, code informatique, etc. Ces contenus peuvent ensuite être utilisés pour une large gamme d’applications.

Dans le cadre de leur apprentissage, les GPAI sont entraînés sur de vastes ensembles de données, collectés sur internet. Cette collecte peut poser des problèmes juridiques pour les données protégées par le droit d’auteur ou les données à caractère personnel.

L’AI Act distingue deux catégories de modèles d’IA à usage général : les GPAI standards, soumis à un socle commun d’obligations et les GPAI présentant un risque systémique, soumis à des exigences renforcées.

    2.1 Les obligations communes à tous les fournisseurs de modèles d’IA à usage général

Les fournisseurs de modèles GPAI doivent respecter des exigences de transparence et de traçabilité spécifiques, à savoir (art. 52) :
    

     - fournir une documentation technique du modèle, comprenant son processus d’entraînement et d’essai et les résultats de son évaluation. Cette documentation doit intégrer a minima la liste des informations énoncées à l’annexe XI du règlement (telles que les tâches que le modèle est censé accomplir ainsi que le type et la nature des systèmes d'IA dans lesquels il peut être intégré, les politiques applicables en matière d'utilisation acceptable, le format des entrées et des sorties, la licence applicable au modèle, etc.) ;
     - fournir cette documentation au Bureau européen de l’IA et aux autorités nationales compétentes, à leur demande ;
     - fournir des informations et une documentation à l’intention des fournisseurs de systèmes d’IA qui envisagent d’intégrer le modèle GPAI dans leur système d’IA. Cette documentation contient a minima la liste des informations énoncées à l’annexe XII ;
     - mettre en place une politique visant à se conformer à la réglementation en matière de droit d’auteur et droits voisins ;
     - mettre à la disposition du public un résumé du contenu utilisé pour entraîner le modèle GPAI ; et
     - coopérer avec la Commission et les autorités nationales compétentes.

Il est donc recommandé aux fournisseurs de modèles de GPAI concernés de documenter l’intégralité du cycle de développement du modèle, notamment les sources de données, leur nettoyage, le respect du droit d’auteur et les choix algorithmiques réalisés.

    2.2 Les obligations renforcées pour les GPAI présentant un risque systémique

Les modèles d’IA à usage général présentant un risque systémique sont ceux dont l’impact potentiel est jugé particulièrement significatif à l’échelle européenne, en raison de leur puissance de calcul, de leur échelle de déploiement ou de leur capacité à générer des usages à haut risque. (art. 51)

Les critères permettant de déterminer si un modèle d’IA à usage général présente un risque systémique sont énoncés à l’annexe XIII du règlement. Parmi ces critères, on relève notamment :

    - le nombre de paramètres du modèle ;
    - la qualité ou la taille du jeu de données ;
    - la puissance de calcul utilisée pour l'entraînement du modèle, mesurée en nombre d'opérations en virgule flottante par exemple ;
    - les modalités d'entrée et de sortie du modèle, telles que l’utilisation de grands modèles de langage (LLM) ;
    - sa capacité d’apprentissage, son niveau d'autonomie et d'extensibilité, ainsi que les outils auxquels il a accès ;
    - l’impact du modèle sur le marché européen, par exemple s’il a été mis à la disposition d'au moins 10.000 utilisateurs professionnels européens enregistrés et le nombre d'utilisateurs finaux inscrits.

Cette classification est décidée par la Commission, fait suite à une alerte du groupe scientifique ou résulte d’office des caractéristiques de GPAI. Une liste des modèles d’IA à usage général présentant un risque systémique doit être publiée par la Commission. (art. 52)

Les fournisseurs de modèles de GPAI présentant un risque systémique devront notamment (art. 55) :
procéder à une évaluation des modèles afin d’identifier et d’atténuer les risques systémiques ;
documenter et communiquer au Bureau de l’IA et le cas échéant, aux autorités compétentes, les informations relatives aux incidents graves liés à l’utilisation du modèle et les mesures correctives éventuelles ;
garantir un niveau approprié de protection du modèle en matière de cybersécurité.

    2.3 Exclusions et cas particuliers

Les fournisseurs de certains types de modèles d’IA à usage général sont exempts de tout ou partie des obligations prévues aux articles 51 et suivants : les modèles publiés en mode open source (sauf les GPAI présentant un risque systémique) ne sont pas soumis à l’obligation de fourniture des documentations prévue à l’article 52 ; les modèles utilisés exclusivement à des fins de recherche, développement ou prototypage, avant leur mise sur le marché ; et les modèles mis sur le marché ou mis en service exclusivement à des fins militaires, de défense ou de sécurité nationale.


Pour rappel, les fournisseurs de GPAI situés en dehors de l’Union européenne doivent désigner un mandataire établi dans l’Union (art. 54). Le mandataire agira en qualité de point de contact et de représentant du fournisseur auprès des autorités compétentes.

La date d’entrée en application des obligations applicables aux modèles d’IA à usage général est fixée au 2 août 2025.


Vous êtes fournisseur (développeur) ou déployeur de systèmes d’IA : le Cabinet se tient à votre disposition pour vous accompagner dans la procédure de mise en conformité à l’AI Act.

* * * * * * * * * * *


(1) Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Avril 2025

Retourner à la page des Actualités et Publications

Mots clés :

accessibilité numérique (7) adwords (1) ai (19) arcep (3) arcom (10) audiovisuel (3) base de données (3) bitcoin (1) blockchain (5) cbpr (3) cgv (1) chine (1) cloud computing (2) cnil (15) commerce (2) communication (8) compliance (22) confidentialité (2) conformité (13) consommateurs (3) contrat (8) contrefaçon (9) cookies (4) copyright (3) csa (1) cybercriminalité (5) data (1) data privacy framework (2) dma (4) données à caractère personnel (16) données personnelles (29) dpf (2) droit d'auteur (9) dsa (5) e-commerce (12) e-consommateurs (1) enfance (4) etats-unis (4) eu (11) europe (9) formation (1) fraude (2) gdpr (26) google (4) hébergeur (5) ia (13) ico (1) informatique (10) informatique et libertés (4) intelligence artificielle (12) internet (30) jeu vidéo (2) liberté d'expression (3) logiciel (7) loi informatique et libertés (5) loi sren (5) marque (3) métavers (2) méthode agile (2) monnaie électronique (1) moteur de recherche (7) nft (3) nom de domaine (1) numérique (8) originalité (4) privacy shield (2) propriété intellectuelle (11) protection des données (7) publicité (6) référencement (4) réglementation (12) réseau (1) réseaux sociaux (10) responsabilité (8) responsable du traitement (10) rgpd (20) robotique (7) rpa (6) salariés (4) santé publique (1) sécurité (7) singapour (3) site web (1) us (2) vie privée (19)