L’AI Act régule désormais les modèles d’IA à usage général

Qu’est-ce qu’un modèle d’IA à usage général ?

 Selon la définition portée par l’article 3 de l’AI Act, il s’agit d’un modèle d’IA, entraîné avec un grand volume de données et des techniques autosupervisées. Il « présente une généralité significative et est capable d’exécuter de manière compétente un large éventail de tâches distinctes ».

Une description sujette à interprétation. Le préambule du règlement suggère qu’un modèle d’au moins un milliard de paramètres entraîné dans de telles conditions répond à cette définition. Les acteurs de l’industrie et les entreprises attendaient tout de même des clarifications de la part du bureau européen de l’IA.

Ces lignes directrices ont été publiées sous la forme d’une annexe de 36 pages, le 18 juillet dernier. Ainsi, un modèle GPAI est entraîné avec plus de 10^23 FLOPS (opérations à virgule flottante) de puissance de calcul et est susceptible de produire du texte, de l’audio, des images (text-to-image) ou des vidéos (text-to-video).

Cette notion de multimodalité comporte des exceptions.

Les modèles spécialisés dans les tâches de « speech to text » (capables de retranscrire des fichiers audios en texte) dépassant ce seuil de puissance ne sont pas considérés comme à usage général. En revanche, un modèle de diffusion de taille similaire dont le rôle est de générer des images et des vidéos répond à cette définition.

« Les modèles de conversion de texte en image et de texte en vidéo sont capables de générer un large éventail de résultats visuels, qui permet une génération de contenu flexible pouvant facilement s’adapter à un large éventail de tâches distinctes », justifie la Commission européenne.

Concernant la puissance de calcul, le seuil avancé correspond à l’entraînement d’un modèle doté d’un milliard de paramètres avec un large volume de données. Selon les évaluations de l’institut de recherche EpochAI, cela inclut la majorité des LLM lancés ces trois dernières années.

La Commission continue de considérer que les modèles dont l’entraînement a nécessité plus de 10^25 FLOPS de puissance de calcul représentent un risque systémique. Ce seuil pourrait être modifié prochainement.

Qu’est-ce qu’un fournisseur au sens de l’AI Act ?

Les obligations relatives aux modèles à usage général concernent leurs fournisseurs. Un fournisseur est « une personne physique ou morale, une autorité publique, une agence ou tout autre organisme qui développe ou fait développer un système d’IA ou un modèle d’IA à usage général et le met sur le marché ou met le système d’IA en service sous son propre nom ou sa propre marque, à titre onéreux ou gratuit ».

L’AI Act ne régule pas en priorité des modèles, mais des produits. Ici, des acteurs tels Meta, Mistral AI, OpenAI, Google ou Anthropic sont considérés comme des fournisseurs dès lors qu’ils exposent sur le marché européen leurs modèles (via API, dans une librairie logicielle, dans un assistant, dans un système au sens large). Mais, dans certains cas précis, un distributeur peut devenir le fournisseur d’un modèle. De même, une entreprise qui affine un LLM avec un volume de données ou une puissance de calcul substantielle (environ le tiers de la puissance convoquée lors de l’entraînement originel) peut être identifiée comme un fournisseur.

Peu importe le modèle à usage général, le fournisseur doit livrer une description des tâches qu’il accomplit, les moyens de l’intégrer dans des systèmes IA cibles, les usages acceptables, la date de publication du modèle, les méthodes de distribution, l’architecture, le nombre de paramètres, les modalités et formats des entrées et des sorties ainsi que la licence.

Il doit par ailleurs produire un compte rendu détaillé des moyens techniques d’entraînement, les ressources informatiques employées, le temps d’entraînement et la consommation d’énergie estimée, les procédés utilisés (choix de conception, raisonnement, approche scientifique), ainsi que des informations sur les données sources (volume, provenance, caractéristiques, etc.).

Ces dispositions s’appliquent tout au long du cycle de vie des modèles, à chaque ajustement ou réentraînement.

Une protection limitée du droit d’auteur

Le fournisseur doit aussi instaurer une « politique visant à se conformer au droit de l’Union européenne en matière de droit d’auteur et droits voisins, et notamment à identifier et à respecter, y compris au moyen de technologies de pointe, une réservation de droits exprimée conformément à l’article 4, paragraphe 3, de la directive (UE) 2019/790 ».

Ce passage de la directive en question autorise la fouille de texte et de données disponibles en ligne tant que les ayants droit n’ont pas exprimé leur refus « par des procédés lisibles par machine ».

Il semble que les propriétaires des œuvres et des IP devront démontrer qu’ils ont déployé des mesures adéquates pour renseigner leur opposition au data mining. Les fournisseurs, eux, doivent s’assurer que leurs crawlers respecte ces instructions.

Pour les modèles dont la puissance de calcul excède 10^25 FLOPS, ils doivent notifier le Bureau de l’IA, effectuer une évaluation des risques et les moyens de le mitiger (notamment à travers un effort de red teaming), rapporter les incidents et prouver la mise en place de cyberprotections.

Des « allègements » plutôt que des exemptions pour les fournisseurs de modèles open source

Les modèles à usage général « libre et open source » peuvent être « exemptés » de certaines de ces exigences tant qu’ils n’entrent pas dans la catégorie du risque systémique.

Les fournisseurs de tels modèles autorisent leur accès, leur utilisation, leur modification et leur distribution. Les paramètres, les informations sur l’architecture et les informations sur l’usage du modèle doivent être publics.

Ceux-là n’ont pas l’obligation de tenir la documentation technique à jour ni d’énumérer en détail les données exploitées à l’entraînement. En revanche, ils doivent se conformer au fameux article 4 de la directive UE 2019/790 et produire un résumé des données sources.

Et la Commission de préciser que toute limitation de l’usage des modèles par des conditions supplémentaires (recherche uniquement, interdiction de distribution, tarification au-delà d’un certain nombre d’utilisateurs, etc.) « disqualifie » la licence de la notion de « libre et open source ». En clair, les LLM de Meta et certains modèles de Google DeepMind ne sont pas considérés comme ouverts par la CE.

Les différences d’obligations entre les fournisseurs de modèles propriétaires et open source semblent, sur le papier, minimes. En tout cas pour l’entraînement initial. L’allègement ne vaut que pour des acteurs dont la démarche est par nature plus transparente. Ces dispositions évitent, normalement, de considérer de petits collectifs qui réentraîneraient des modèles comme des fournisseurs. 

L’exposition au droit extraterritorial européen est-elle incontrôlable ?

L’IAPP (International Association of Privacy Professionals), une association à but non lucratif qui rassemble des professionnels du droit, indique que les acteurs distribuant leurs modèles en dehors des frontières de l’Union européenne sont exemptés de telles mesures. Mais elle rappelle la nature extraterritoriale de l’AI Act.

« Il reste à voir si ces exemptions deviendront pertinentes. Compte tenu de l’ampleur des modèles d’IA à usage général, il est difficile d’imaginer un cas où l’AI Act ne s’appliquerait pas », écrivent quelques-uns de ses membres.

« La portée extraterritoriale de la loi s’applique dès lors que “les résultats produits par le système d’IA sont utilisés dans l’Union”.[...] »

« Alors que le RGPD exige un ciblage ou une surveillance active des personnes, la portée extraterritoriale de la loi s’applique dès lors que “les résultats produits par le système d’IA sont utilisés dans l’Union”, soumettant ainsi les fournisseurs d’IA à usage général et de systèmes d’IA à ses règles, souvent sans leur implication directe ni leur intention », poursuivent-ils.

Les membres de l’IAPP considèrent ici que le fournisseur du modèle peut être différent du fournisseur du système d’IA. Si le fournisseur du système d’IA exploite un modèle propriétaire exposé au marché de l’UE, alors le fournisseur du modèle d’IA serait concerné par l’AI Act.

 Dans les faits, il existe des moyens de contrôle contractuel. Et il y a fort à parier que les deux catégories d’acteurs freinent l’exposition de leurs produits au marché européen, au moins le temps de s’assurer de la conformité à l’AI Act. Des géants comme Google, Meta ou Apple l’ont déjà fait en raison d’autres réglementations européennes.

La BSA dénonce un délai trop court pour se conformer

Pour autant, la Business Software Alliance (BSA), qui représente avant tout les intérêts des éditeurs américains, insiste sur le fait que les entreprises ont peu de temps pour se mettre en conformité.

« Nous encourageons la Commission à tenir compte du délai de mise en œuvre limité lorsqu’elle exercera ses pouvoirs d’exécution. »

« Les règles sont désormais en vigueur, mais la publication tardive du code et des lignes directrices a créé des difficultés inutiles pour de nombreuses entreprises qui souhaitent évaluer pleinement leur conformité », avance Hadrien Valembois, directeur des politiques pour la région EMEA chez BSA, dans un communiqué de presse. « Les fournisseurs de logiciels d’entreprise s’efforcent de bonne foi de respecter leurs obligations, mais lorsque les directives sont publiées quelques jours avant la date limite légale, sans période de grâce, cela crée une incertitude qui aurait pu être évitée. Nous encourageons la Commission à tenir compte du délai de mise en œuvre limité lorsqu’elle exercera ses pouvoirs d’exécution ».

Le code en question est un code de bonnes pratiques publié le 10 juillet. Il s’agit d’appliquer volontairement les volets de transparence, de respect des droits de propriété, de sûreté et de sécurité de l’AI Act. IBM, Microsoft, ServiceNow, OpenAI, Amazon, Anthropic, Aleph Alpha, Cohere ou encore Google sont quelques-uns des signataires. Meta a refusé de ratifier le document en raison « d’incertitudes juridiques », tandis que xAI a uniquement paraphé le volet sur la sécurité.

Le flou autour des autorités compétentes

L’existence de ce code de bonnes pratiques confirme l’idée que la réglementation européenne sur l’IA n’est pas encore appliquée. Le 2 août 2025, les 27 pays membres devaient également avoir nommé leurs autorités compétentes.

Selon le site de la Commission européenne, pour le volet des droits fondamentaux (risques inacceptables et élevés), la France a désigné la DGCCRF (Direction générale de la concurrence, de la consommation et de la répression des fraudes), le défenseur des droits et la CNIL. Mais l’affectation de l’autorité responsable de l’implémentation du texte et de son application n’est pas disponible. Seules la Hongrie, la Lituanie et Malte auraient déjà fait leur choix. Il faudra attendre le 2 août 2026 avant que le texte soit réellement contraignant. Reste à savoir si les autorités examineront des cas de non-conformité antérieurs à leur nomination.

Si les sanctions sont moins fortes que la transgression des pratiques interdites (jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires), le non-respect des règles de transparence est puni d’une amende administrative pouvant aller jusqu’à 15 millions d’euros ou jusqu’à 3 % du chiffre d’affaires annuel. La fourniture d’informations inexactes peut faire l’objet d’une pénalité jusqu’à 7,5 millions ou 1 % du CA d’une entreprise. Là où la somme la plus importante est retenue contre les grands fournisseurs, les PME et les jeunes pousses devront s’acquitter du montant le plus faible.