Modèles d’IA à usage général (GPAI) : publication du code de bonnes pratiques et des lignes directrices

Modèles d’IA à usage général (GPAI) : publication du code de bonnes pratiques et des lignes directrices

Ce qu’il faut retenir

Préalablement à l’entrée en application des dispositions relatives aux modèles d’IA à usage général (GPAI), la Commission européenne a publié, courant juillet 2025, le code de bonnes pratiques et les lignes directrices pour les modèles d’IA à usage général.


La Commission européenne a publié, courant juillet 2025, le code de bonnes pratiques et les lignes directrices pour les modèles d’IA à usage général, comme prévu par le règlement sur l’IA (RIA ou AI Act). Ces deux textes viennent à point nommé avant l’entrée en application des dispositions du AI Act sur les modèles d’IA à usage général le 2 août.

Pour rappel, la notion de “modèle d’IA à usage général” (ou modèle de GPAI) est définie à l’article 3 comme “un modèle d’IA (…) qui présente une généralité significative et est capable d’exécuter de manière compétente un large éventail de tâches distinctes, indépendamment de la manière dont le modèle est mis sur le marché, et qui peut être intégré dans une variété de systèmes ou d’applications en aval (…).”

Le présent article propose une synthèse du contenu du code de bonnes pratiques et des lignes directrices pour les modèles d’IA à usage général.


1. Le code de bonnes pratiques en matière d’IA à usage général

Le code de bonnes pratiques en matière d’IA à usage général, prévu à l’article 56 de l’AI Act, a été publié par la Commission européenne le 10 juillet 2025. (1)

Ce document définit les obligations que les fournisseurs de modèles de GPAI doivent remplir pour être en conformité avec l’AI Act. Il comprend trois chapitres. 

Les deux premiers chapitres, relatifs à la transparence et au droit d’auteur, concernent tous les fournisseurs de modèles de GPAI. Ils couvrent les obligations suivantes :

    - fournir la documentation technique au Bureau de l’IA et aux autorités nationales compétentes à leur demande,
    - fournir des informations pertinentes aux fournisseurs en aval qui souhaitent intégrer un modèle de GPAI dans leur système d’IA ou de GPAI,
    - établir un résumé des données d’entraînement utilisées, 
    - établir une politique conforme à la réglementation sur le droit d’auteur

Le troisième chapitre est relatif à la sûreté et la sécurité et ne s’applique qu’aux modèles de GPAI présentant un risque systémique. Ils couvrent les obligations supplémentaires suivantes :
    - évaluer des modèles de l’état de l’art, 
    - évaluer et atténuer les risques tout au long du cycle de vie du modèle,
    - établir des rapports en cas d’incidents graves, comprenant également les mesures correctives,
    - établir des mesures de cybersécurité robustes.

Les modèles de GPAI présentant un risque systémique sont présumés avoir un impact significatif sur la santé publique, la sûreté, la sécurité publique, les droits fondamentaux ou la société dans son ensemble. Il s’agit, par principe, des modèles de GPAI dont la capacité de calcul est supérieure à 10^25FLOPS. A ce jour, on estime qu’une dizaine de fournisseurs dans le monde proposent des modèles de GPAI représentant un risque systémique. 

L’adhésion au code de bonnes pratiques n’est pas obligatoire. Comme pour tous les codes de bonnes pratiques, l’adhésion est une démarche volontaires de la part des fournisseurs d’IA et leur permet de démontrer leur conformité à l’AI Act. Les fournisseurs qui ne souhaitent pas adhérer au code de bonne pratique devront se soumettre à une procédure plus lourde pour démontrer leur conformité au règlement, et plus particulièrement aux articles 53 et 55.

A ce jour, une vingtaine de fournisseurs de modèles de GPAI ont déclaré adhérer au code de bonnes pratiques pour les modèles d’IA à usage général, dont les sociétés Amazon, Anthropic, Google, IBM, Microsoft, Mistral AI et Open AI.


2. Les lignes directrices pour les modèles d’IA à usage général

Le 18 juillet 2025, la Commission a publié des “Lignes directrices sur la portée des obligations incombant aux fournisseurs de modèles d’IA à usage général en vertu de la législation sur l’IA.” (2) L’objet de ces lignes directrices, dont l’application par les fournisseurs concernés est obligatoire, est de clarifier les définitions et les obligations leur incombant en vertu de l’AI Act. Ces obligations sont entrées en application le 2 août 2025.

La définition de la notion de modèle de GPAI est précisée par des seuils et des critères permettant de déterminer si le système d’IA est, ou non, classé comme modèle de GPAI et le cas échéant, si les dispositions de l’AI Act relatives aux modèles de GPAI lui sont applicables.

Ainsi, les systèmes utilisant plus de 10^23 FLOPS capables de générer des sorties linguistiques (sous la forme de texte ou audio), de texte vers de l’image, ou de texte vers de la vidéo, sont considérés comme des modèles de GPAI. Sont pris en compte la taille du modèle (paramètres) et le volume de données d’apprentissage. 

Les modèles dépassant ce seuil mais qui sont spécialisés (par exemple, modèle de jeux ou de prévision météorologique) sont exclus de cette définition s’ils ne permettent pas de réaliser un large éventail de tâches distinctes.

Si le système est qualifié de modèle de GPAI, les obligations liées au cycle de vie définies dans l’AI Act s’appliquent depuis la phase de pré-entraînement, et pour toutes les phases ultérieures. Ces obligations sont les mêmes que celles listées dans le code de bonnes pratiques. A noter que les modèles de GPAI open source, publiés sous une licence libre et gratuite, ne sont pas tenus de fournir la documentation technique au Bureau de l’IA, aux autorités nationales compétentes, ni aux fournisseurs en aval.

Les modèles de GPAI dont la capacité de calcul est supérieure à 10^25 FLOPS sont en principe classés comme modèles de GPAI à risque systémique. Les obligations supplémentaires applicables aux modèles de GPAI à risque systémique sont les mêmes que celles listées dans le code de bonnes pratiques.

Les fournisseurs doivent informer la Commission dans un délai de deux semaines s’ils prévoient d’atteindre ou atteignent le seuil de 10^25 FLOPS. 

Le mode de calcul pour déterminer si un modèles de GPAI relève de la catégorie des modèles à risque systémique est détaillé en annexe aux lignes directrices.

Il est précisé que les modèles d’IA utilisés pour des activités de recherche, de développement ou de prototypage avant leur mise sur le marché ne sont pas concernés par ces obligations.

Les lignes directrices fournissent par ailleurs les critères permettant d’identifier le fournisseur du modèle de GPAI. 

Le fournisseur est défini comme “une personne physique ou morale, une autorité publique, une agence ou tout autre organisme qui développe ou fait développer un système d’IA ou un modèle d’IA à usage général et le met sur le marché ou met le système d’IA en service sous son propre nom ou sa propre marque, à titre onéreux ou gratuit.”

Ainsi, la société qui développe et commercialise un modèle de GPAI sur le marché européen est considérée comme le fournisseur du modèle. 

Au cas où plusieurs sociétés interviennent, par exemple une société développe pour le compte d’un donneur d’ordre, le donneur commercialisant ensuite le modèle sur le marché européen, celui-ci est le fournisseur du modèle. En cas de développement d’un modèle par ou pour un groupe de sociétés, ou consortium, le fournisseur peut être le coordinateur ou le consortium.

* * * * * * * * * * *


(1) The General-Purpose AI Code of Practice

(2) Guidelines on the scope of the obligations for general-purpose AI models established by Regulation (EU) 2024/1689 (AI Act). Pour le moment, les lignes directrices ne sont disponibles qu’en anglais.

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Juillet 2025 

Retourner à la page des Actualités et Publications

Mots clés :

accessibilité numérique (7) adwords (3) ai (24) arcep (3) arcom (12) audiovisuel (3) base de données (3) bitcoin (1) blockchain (6) cbpr (3) cgv (1) chine (1) cloud computing (2) cnil (15) commerce (4) communication (8) compliance (29) confidentialité (2) conformité (17) consommateurs (3) contrat (8) contrefaçon (10) cookies (6) copyright (5) csa (1) cybercriminalité (5) cybersquatting (3) data (1) data privacy framework (2) dma (4) données à caractère personnel (17) données personnelles (29) dpf (2) droit d'auteur (11) dsa (6) e-commerce (13) e-consommateurs (1) enfance (5) etats-unis (5) eu (15) europe (14) formation (1) fraude (2) gdpr (28) google (4) hébergeur (5) ia (16) ico (1) informatique (10) informatique et libertés (4) intelligence artificielle (15) internet (32) jeu vidéo (3) liberté d'expression (3) logiciel (9) loi informatique et libertés (5) loi sren (6) marque (3) métavers (3) méthode agile (2) monnaie électronique (1) moteur de recherche (7) nft (4) nom de domaine (1) numérique (10) originalité (4) privacy shield (2) propriété intellectuelle (12) protection des données (9) publicité (6) référencement (4) réglementation (12) réseau (1) réseaux sociaux (10) responsabilité (9) responsable du traitement (10) rgpd (21) robotique (7) rpa (6) salariés (4) santé publique (1) sécurité (7) singapour (4) site web (2) us (3) vie privée (19)