Juridique

L’AI Act, c’est maintenant

L'AI Act et le droit européen. - Photo DR

L’AI Act, c’est maintenant

Le règlement européen précisant les obligations des fournisseurs de modèles d’IA à usage général est entré en vigueur le 2 août 2025. L’occasion de se pencher sur la portée, les exemptions et les mécanismes de mise en œuvre de cette législation pionnière.

J’achète l’article 1.5 €

Par Alexandre Duval-Stalla
Créé le 04.09.2025 à 11h55

Première législation horizontale au monde encadrant l’intelligence artificielle, l’AI Act s’impose comme une étape décisive dans l’instauration d’une gouvernance juridique internationale du domaine. Ce règlement [(UE) 2024/1689 du 13 juin 2024] est entré en vigueur le 1er août 2024 et s’applique pleinement depuis le 2 août 2025.

Parmi les innovations majeures du texte figure l’instauration d’obligations spécifiques pour les fournisseurs de modèles d’intelligence artificielle à usage général, communément appelés General-Purpose AI Models (GPAI). Ces modèles, du fait de leur polyvalence et de leur intégration possible dans une multitude de systèmes, jouent un rôle structurant dans la chaîne de valeur de l’IA et soulèvent des enjeux particuliers de responsabilité et de transparence.

Modèle d’IA à usage général et risque systémique

Le GPAI est défini par l’article 3, point 63, de l’AI Act comme un modèle d’IA entraîné le plus souvent sur de vastes ensembles de données par auto-supervision, présentant une généralité significative et capable d’exécuter une large gamme de tâches distinctes, indépendamment de son mode de mise sur le marché. La Commission européenne a précisé dans ses lignes directrices que l’identification d’un GPAI repose notamment sur l’évaluation du volume de calcul utilisé lors de son entraînement, mesuré en FLOP (opérations en virgule flottante par seconde), sur le nombre de paramètres mobilisés et sur les capacités multimodales du modèle.

Une distinction fondamentale doit être opérée entre les GPAI ordinaires et ceux qualifiés de modèles à risque systémique. L’article 3, point 65, de l’AI Act définit ces derniers comme des modèles dont les capacités dites à fort impact sont susceptibles de produire des effets négatifs majeurs sur la santé, la sécurité, les droits fondamentaux ou la société dans son ensemble, effets qui peuvent se propager à grande échelle. L’article 51 retient deux voies de classification : soit le dépassement d’un seuil de puissance de calcul (10^25 FLOP,) qui emporte une présomption de capacités à fort impact, soit une désignation explicite par la Commission sur la base d’un avis du panel scientifique. Cette qualification entraîne l’application d’obligations renforcées en matière d’évaluation, de cybersécurité et de mitigation des risques.

Les obligations générales des fournisseurs de GPAI

Le chapitre V du règlement énonce les principales obligations pesant sur les fournisseurs.

En premier lieu, une exigence de transparence impose à ces derniers de constituer et de maintenir à jour une documentation technique complète du modèle, retraçant son processus d’entraînement, de test et les résultats de son évaluation, ainsi qu’une documentation spécifique destinée aux acteurs en aval afin de leur permettre d’intégrer et de comprendre le fonctionnement du modèle.

En second lieu, le législateur européen a entendu répondre aux préoccupations liées à l’utilisation de données protégées lors de l’entraînement des modèles. L’article 53 impose aux fournisseurs de mettre en œuvre une politique de conformité au droit d’auteur de l’Union, incluant notamment la reconnaissance des réserves de droits prévues [Directive (UE) 2019/790]. Cette obligation est complétée par la nécessité de publier une synthèse des données utilisées pour l’entraînement, mesure destinée à renforcer la traçabilité et la transparence.

Les fournisseurs établis hors de l’Union doivent, quant à eux, désigner un représentant autorisé dans l’Union avant toute mise sur le marché, conformément à l’article 54.

Enfin, lorsqu’un GPAI est qualifié de modèle à risque systémique, le régime juridique se durcit. Les articles 52 et 55 prévoient l’obligation de notification à la Commission, assortie de la mise en place de mesures continues d’évaluation et de gestion des risques systémiques, incluant des audits indépendants, la déclaration des incidents graves et un niveau élevé de cybersécurité.

Les exemptions pour les modèles open source

Le règlement prévoit des aménagements destinés à préserver l’innovation et la recherche. Ainsi, les GPAI publiés sous une licence libre et open source peuvent bénéficier d’exemptions, notamment à l’égard des obligations de documentation technique et de désignation de représentant. Toutefois, ces exemptions sont strictement encadrées.

Trois conditions doivent être réunies pour en bénéficier. La licence doit garantir l’accès, l’usage, la modification et la redistribution du modèle. Les paramètres du modèle, y compris les poids, l’architecture et les informations relatives à son utilisation, doivent être rendus publics. Enfin, aucune forme de monétisation dissimulée ne doit être associée à l’accès au modèle, ce qui exclut les licences duales ou les restrictions d’usage commercial.

Ces exemptions trouvent cependant leurs limites. Les obligations relatives à la politique de respect du droit d’auteur et à la publication d’un résumé des données d’entraînement demeurent applicables. En outre, les GPAI qualifiés de modèles à risque systémique ne bénéficient d’aucune exemption, même lorsqu’ils sont distribués en open source.

La mise en œuvre et l’exécution des obligations

La compétence exclusive de supervision et d’exécution des obligations repose sur la Commission européenne, agissant par l’intermédiaire de l’AI Office. Celui-ci dispose de pouvoirs étendus d’enquête, de demande d’informations, d’évaluation technique des modèles et de sanction. L’approche annoncée est graduée, privilégiant dans un premier temps la coopération et l’incitation à travers l’élaboration et l’adhésion à des codes de pratique.

L’article 56 permet aux fournisseurs de démontrer leur conformité en adhérant à un code de pratique reconnu comme adéquat par la Commission et le Conseil européen de l’IA. Cette adhésion constitue un facteur atténuant en cas de sanction et facilite les échanges avec l’autorité de supervision. À défaut, les fournisseurs doivent justifier par d’autres moyens la conformité de leurs pratiques, ce qui expose à un contrôle plus intrusif et à une charge administrative accrue.

Enfin, le calendrier d’application prévoit une entrée en vigueur des obligations dès le 2 août 2025, avec une montée en puissance progressive des mécanismes de sanction. Cette phase transitoire vise à permettre aux acteurs du marché de s’adapter à un cadre juridique exigeant mais nécessaire à la sécurisation de l’écosystème de l’IA.

Un contrôle effectif et proportionné

Le régime juridique applicable aux fournisseurs de modèles d’IA à usage général illustre la volonté européenne de concilier promotion de l’innovation et protection des droits fondamentaux. Fondé sur la transparence, la responsabilité et la gestion des risques, il établit un équilibre délicat entre flexibilité et encadrement, en ménageant des exemptions limitées pour l’open source tout en renforçant le contrôle des modèles les plus puissants et les plus risqués.

L’efficacité du dispositif dépendra en grande partie de la capacité de l’AI Office à exercer un contrôle effectif et proportionné, mais également de l’adhésion volontaire des fournisseurs à des pratiques de conformité exigeantes.

 

Alexandre Duval-Stalla

Olivier Dion - Alexandre Duval-Stalla

Les dernières
actualités