Aristotelis Zervos
Aristotelis Zervos, directeur de la rédaction de 2B Advice, allie expertise juridique et journalistique en Protection des données, la conformité informatique et la réglementation de l'IA.
Avec l'entrée en vigueur de la deuxième phase de mise en œuvre du règlement sur l'IA le 2 août 2025, les règles générales pour les fournisseurs d'IA à usage général (GPAI) seront armées. Nous donnons un aperçu des entreprises concernées et des exigences réglementaires qui leur sont imposées.
Règlement sur les IC : destinataires concernés
Les obligations du chapitre V du règlement IA concernent exclusivement les fournisseurs d'IA à usage général (IUG). Selon la définition légale figurant dans Article 3, point 44 du règlement sur les IC les modèles GPAI sont des modèles d'IA qui ont été entraînés avec une large base de données, sans être optimisés pour une application spécifique, et qui peuvent être utilisés dans différents contextes. Ils servent souvent de base à d'autres applications spécialisées grâce à Troisième (appelés utilisateurs en aval ou déployeurs).
Les acteurs concernés sont notamment les suivants :
- Développeurs de grands modèles de langage (LLM): des entreprises comme OpenAI, Google, Mistral ou Anthropic, qui développent des modèles de base comme GPT, Gemini ou Claude.
- Fournisseur open source de modèles de base performantsLes entreprises ou consortiums qui développent et diffusent des modèles tels que LLaMA ou Falcon peuvent également être soumis aux obligations de la GPAI, en particulier si le modèle est accessible au public et peut générer des risques systémiques.
- PME et start-upsLes entreprises peuvent également utiliser les modèles d'AMPI pour s'entraîner elles-mêmes ou pour les développer et les diffuser sur la base de modèles existants, par exemple dans le contexte B2B.
Les obligations incombent au "fournisseur" au sens de l'ordonnance sur l'IA. Il s'agit donc de la personne physique ou morale qui met pour la première fois un modèle d'IGP sur le marché ou en service (cf. art. 3, n° 7, AI Act). Les utilisateurs purs ou les déployeurs de systèmes d'AMPI sont, à ce niveau, les suivants pas directement concernés par le chapitre V, mais peuvent être soumis à d'autres règles (par exemple du chapitre III pour les applications à haut risque).
Le règlement sur l'IA impose de nouvelles obligations aux fournisseurs d'AMPI
Le règlement soumet dès à présent les fournisseurs de tels systèmes d'AMPI à des obligations spécifiques, qui découlent notamment de Chapitre V (articles 50 à 56 du règlement IC). Les principaux domaines de réglementation comprennent
technique Documentation (Art. 53 AI Act):
Les fournisseurs d'AMPI doivent fournir une documentation technique complète. Documentation qui contiennent, entre autres, des informations sur
- de l'architecture du modèle,
- les procédures de formation,
- de la composition et de l'origine des données de formation,
- les métriques d'évaluation et leurs résultats,
- ainsi que sur la performance du modèle dans différents contextes. Ces Documentation doit être conçu de manière à permettre l'évaluation de la conformité par les autorités de contrôle compétentes.
Obligations de transparence et de rapport (art. 50 & 56 du règlement IC):
Les fournisseurs d'AMPI sont tenus de publier régulièrement des rapports sur les caractéristiques et le fonctionnement de leurs modèles. Cela comprend notamment
- Descriptions de scénarios d'utilisation typiques,
- les limites fonctionnelles et les limitations,
- les risques systémiques connus ou les dysfonctionnements potentiels
- ainsi que les limites d'utilisation recommandées et les indications pour Troisième (appelés "déployeurs").
Obligations relatives au matériel protégé par des droits d'auteur (article 52, paragraphe 1, point c) du règlement IC):
Les fournisseurs doivent indiquer si des contenus protégés par des droits d'auteur ont été utilisés pour la formation aux modèles AMPI. Ils doivent également indiquer les mesures qu'ils ont prises pour permettre aux titulaires de droits de faire valoir leurs droits (par exemple, par des possibilités d'opposition ou des mécanismes de transparence).
Risques systémiques et modèles performants (art. 51 AI Act):
Les modèles considérés comme potentiellement importants pour le système en raison de leur taille et de leur puissance de calcul (par exemple avec une puissance de calcul d'au moins 10^25 FLOPs) sont soumis à des exigences plus strictes :
- Réalisation d'analyses de risques afin d'identifier les effets systémiques potentiels,
- Mise en œuvre de mesures de gestion des risques appropriées,
- mettre en place un système de notification des incidents graves et des vulnérabilités
- coopérer avec la future agence de l'IA au niveau de l'UE pour la surveillance des risques.
Les fournisseurs d'AMPI seront confrontés à des exigences réglementaires importantes à partir d'août 2025, qui nécessiteront une infrastructure de documentation et de rapports approfondie ainsi que des stratégies claires en matière de droits d'auteur et de gestion des risques.
Gouvernance et surveillance
La mise en œuvre et l'application du règlement sur l'IA nécessitent une interaction à plusieurs niveaux entre les institutions nationales et européennes, avec la participation active des fournisseurs et des utilisateurs de systèmes d'IA. Les dispositions centrales en matière de gouvernance et de surveillance sont définies dans Chapitre VII Règlement sur les IC (art. 59-69) et entrent également en vigueur progressivement.
Autorités nationales de surveillance (art. 59, 60 du règlement IC)
Chaque État membre est tenu de désigner une ou plusieurs autorités nationales compétentes chargées de contrôler l'application du règlement. Ces autorités se voient confier, entre autres, les tâches et les compétences suivantes :
- Surveillance du marché et contrôles de conformité pour les GPAI et les systèmes d'IA à haut risque,
- Réalisation d'audits ainsi qu'un accès à la documentation technique,
- Imposition d'injonctions, d'interdictions ou d'amendes en cas d'infraction,
- Coopération avec les autorités des autres États membres et la Commission européenne.
Les autorités de contrôle peuvent agir de manière réactive (par exemple, en cas de plainte) ou proactive (par exemple, en effectuant des contrôles aléatoires).
Mise en place de bacs à sable de régulation de l'IA (art. 61 du règlement IA)
D'ici août 2026 au plus tard, les États membres devront avoir mis en place au moins ce que l'on appelle un "système d'alerte précoce". sandbox réglementaire ont mis en place. Ceux-ci servent à tester de manière contrôlée les applications innovantes de l'IA sous la supervision de l'autorité compétente.
L'objectif des sandboxes est de favoriser l'innovation et la Conformité de concilier les deux. Ils offrent
- Les entreprises disposent d'un cadre sûr pour développer et tester de nouvelles solutions d'IA,
- contrôle simultané de la conformité légale par les autorités,
- des indicateurs précoces potentiels pour les adaptations nécessaires de l'interprétation des normes ou de la pratique réglementaire.
Les PME bénéficient d'un accès privilégié à ces installations.
Évaluation de la conformité et organismes notifiés (art. 43 du règlement IC)
Pour Systèmes d'IA à haut risque une évaluation de la conformité doit être effectuée avant la mise sur le marché ou la mise en service. Celle-ci peut être effectuée
- par Auto-évaluation sur la base de normes techniques (par exemple, en cas de développement interne selon des instructions claires), ou
- en faisant appel à une organisme notifié ("notified body"), par exemple pour les systèmes d'IA complexes ou critiques en termes de sécurité.
La déclaration de conformité doit être documentée et doit pouvoir être présentée à l'autorité de surveillance du marché à tout moment sur demande. Les modèles AMPI ne sont en principe pas soumis à une évaluation formelle de la conformité selon le chapitre III, sauf s'ils sont ensuite transformés en applications à haut risque.
Sanctions et application (art. 99 du règlement IC)
Le règlement prévoit des amendes importantes en cas d'infraction. Celles-ci vont - en fonction de la gravité et de la partie de la réglementation concernée - jusqu'à :
- 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial pour les infractions graves (par exemple les interdictions de l'article 5 ou les obligations de l'AMPI des articles 52-56),
- 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial pour les infractions à d'autres dispositions,
- 7,5 millions d'euros ou 1 % du chiffre d'affaires pour fausse déclaration ou non-coopération.
Les sanctions doivent être calculées au cas par cas, en tenant compte de la gravité, du risque de récidive, de la situation économique et de la coopération.
Importance des codes de pratique volontaires (CoP)
Le 10 juillet 2025, la Commission européenne a adopté le "Code de pratique AI à usage général" qui fournit aux entreprises des modèles concrets et des bonnes pratiques pour la mise en œuvre de la stratégie de Lisbonne. TransparenceLa sécurité et les droits d'auteur.
De grands fournisseurs comme Google et OpenAI ont annoncé qu'ils signeraient le code afin de démontrer leurs normes de conformité. D'autres, à commencer par Meta et xAILes utilisateurs ont rejeté une partie ou la totalité du code.
Bien que le code ne soit pas juridiquement contraignant, sa signature peut être considérée comme un indicateur de fiabilité réglementaire, notamment en cas d'audit ou de contrôle des autorités.
Conseil de lecture : General-Purpose AI Code of Practice - L'UE présente son nouveau code de l'IA
Recommandations pour les entreprises
Gouvernance et gestion des risques :
- Mettre en place un cadre de gouvernance avec des structures de risque et de conformité.
- Désigner clairement les responsabilités en matière d'analyse Documentation et la gestion des incidents.
Transparence & documentation :
- Développez des documents techniques compréhensibles et des rapports de transparence.
- Divulgation raisonnable pour Troisième y compris des explications sur le but du modèle, les ensembles de données et les limitations.
Conformité des données et des droits d'auteur :
- Présentez des informations vérifiables sur les données, y compris les droits.
- Mettre en place des procédures pour traiter les plaintes relatives aux violations des droits d'auteur.
Formation et sensibilisation :
- Poursuite du programme de formation Art. 4 sur les compétences en matière d'IA pour les collaborateurs et les intervenants externes, en vigueur depuis le 2 février 2025
Conclusion
Avec le 2 août 2025 commence pour de nombreuses entreprises une phase opérationnelle du règlement sur l'IA : en particulier pour les fournisseurs et les utilisateurs d'IA à usage général. Il s'agit maintenant de définir les obligations de transparence, les DocumentationIl est important de mettre en œuvre les déclarations de risques et les programmes de formation conformément à la loi afin d'éviter les amendes et les risques de réputation. La signature volontaire du code de pratique de l'UE peut servir de garantie stratégique et renforcer la culture de la conformité. Dès à présent, anticipez jusqu'à la prochaine échéance importante d'août 2026.
Conseil de lien : Le code de pratique AI à usage général
Vous êtes sur le point de mettre en œuvre le règlement sur l'intelligence artificielle ?
Nous vous conseillons en détail sur le règlement de l'UE sur l'IA, le code de pratique général de l'IA et la mise en œuvre pratique dans votre entreprise. Qu'il s'agisse d'obligations de documentation, de gestion des risques ou de conformité aux droits d'auteur, nous vous aidons à intégrer l'IA de manière juridiquement sûre et stratégique.
Aristotelis Zervos est directeur éditorial chez 2B Advice, juriste et journaliste avec un savoir-faire approfondi en matière de protection des données, RGPD, la conformité IT et la gouvernance de l'IA. Il publie régulièrement des articles approfondis sur la réglementation de l'IA, la conformité au RGPD et la gestion des risques. Pour en savoir plus sur lui, consultez son Page du profil de l'auteur.
German 
English 
Italian 
French