Techonologie

AI Act : Les fournisseurs de modèles d’IA à usage général entrent sous contrôle

salwa

Le 2 août 2025 marque une nouvelle étape dans l’entrée en application du règlement européen sur l’intelligence artificielle. Après l’interdiction des systèmes d’IA à risque inacceptable, ce sont les fournisseurs de modèles d’IA à usage général qui sont concernés par de nouvelles obligations. L’Usine Digitale fait le point sur ce qui change pour ces entreprises, alors que s’ouvre une période clé de mise en conformité avant l’entrée en vigueur des sanctions en août 2026.

A quelques heures de l’entrée en application d’une nouvelle salve d’obligations issue du règlement européen sur l’intelligence artificielle (RIA), ou Artificial Intelligence Act, L’Usine Digitale propose de faire le point. A partir du 2 août 2025, les fournisseurs de modèles d’IA à usage général, dits « GPAI », devront répondre à de nouvelles règles lorsqu’ils commercialisent leurs technologies au sein de l’Union européenne.

Les pratiques inacceptables bannies

Depuis août 2024, date d’entrée en vigueur du texte, plusieurs dispositions du RIA sont déjà en vigueur. Les pratiques inacceptables sont interdites, depuis février 2025. L’Union européenne bannit les systèmes jugés comme contraires à ses valeurs fondamentales, comme la notation sociale, les techniques de manipulation cognitive exploitant la vulnérabilité des individus ou certaines formes de surveillance biométrique en temps réel dans les espaces publics.

Les entreprises ont également été invitées à cartographier leurs usages d’IA à haut risque pour préparer la mise en conformité, même si les obligations complètes pour ces systèmes n’entreront en application que plus tard. Le calendrier échelonné de mise en application du RIA a pour objectif d’aider les organisations à s’approprier le texte avant les échéances les plus lourdes.

Une variété d’entreprises concernées

La nouvelle étape concerne les fournisseurs de modèles d’IA à usage général. Ces modèles, capables d’accomplir une large gamme de tâches, peuvent être utilisés directement ou intégrés dans d’autres systèmes. Il s’agit par exemple de chatbot, d’outils de traduction ou encore de grands modèles de langage comme ceux développés par Mistral AI ou OpenAI à l’origine de ChatGPT, mais également Meta ou Microsoft.

« Les obligations consistent à maintenir une documentation technique sur le modèle, mettre en oeuvre une politique de protection du droit d’auteur, publier un résumé des données d’entraînement suffisamment détaillé et désigner un représentant dans l’Union européenne si le fournisseur est basé hors de l’UE », résume Caroline Lyannaz, associée au sein du cabinet d’avocats Eversheds Sutherland.

Les modèles à risque systémique, susceptibles de causer des dommages à grande échelle, sont soumis à des règles supplémentaires, comme la notification obligatoire au Bureau européen de l’intelligence artificielle, des évaluations des risques renforcées et une collaboration technique avec les autorités.

De son côté, Mahasti Razavi, managing partner du cabinet August Debouzy et spécialiste des sujets technologiques, rappelle que le nombre d’acteurs concernés par ces nouvelles obligations est limité. Selon elle, « les entreprises qui sont des fournisseurs de modèles à usage général, il y en a mille fois moins que des utilisateurs de systèmes d’IA au sens global ».

Pour les utilisateurs de GPAI, aucune nouvelle obligation directe ne s’applique à ce stade. Les entreprises utilisatrices devront surtout s’assurer que leurs fournisseurs respectent la réglementation, notamment par leurs contrats.

La France doit encore désigner son autorité

Parallèlement, le RIA impose de nouvelles obligations en matière de gouvernance à l’échelle des Etats membres. Chacun doit désigner une autorité nationale chargée de la surveillance. En France, cette désignation reste incertaine à la veille du 2 août. Selon Tony Baudot, avocat associé chez Deloitte Société d’Avocats, constate qu' »en France, on ne sait toujours pas qui sera l’autorité ». « Ce qui est important, c’est de mettre de la cohérence entre les différentes autorités françaises », poursuit-il.

Sans grande surprise, la Commission nationale de l’informatique et des libertés (Cnil) est pressentie pour jouer un rôle central. Caroline Lyannaz confirme que l’autorité de protection des données « veut prendre sa part dans la régulation ». Une gouvernance à plusieurs têtes – impliquant la Cnil, l’Autorité de régulation de la communication audiovisuelle et numérique (Arcom) et la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) – semble la plus probable, même si les moyens budgétaires restent une question ouverte.

Jusqu’à 15 millions d’euros d’amende

Le régime de sanction du règlement suit la logique du Règlement général sur la protection des données, avec des amendes proportionnées au chiffre d’affaires mondial des entreprises. Les fournisseurs de GPAI sont exposés à des sanctions pouvant atteindre 15 millions d’euros ou 3% de leur chiffre d’affaires mondial. Le calendrier est là encore échelonné : les pouvoirs de sanction du Bureau seront effectifs à partir du 2 août 2026.

Pour les grandes entreprises technologiques, comme Meta ou OpenAI, cette conformité repose sur des équipes et des moyens conséquents, mobilisables sans difficulté. Pour les jeunes pousses européennes, l’impact est plus lourd. Tony Baudot explique que « la difficulté pour les start-up est de penser à la conformité dès la conception ».

Un casse-tête réglementaire

Au-delà de ces obligations, les directions juridiques font face à un empilement réglementaire avec le RGPD, Dora dans le secteur financier ou encore NIS2 dans la sécurité informatique. Caroline Lyannaz observe que « la fragmentation des référentiels devient un casse-tête réglementaire. Nos clients ne savent pas trop par quel bout prendre ».

Enfin, la conformité devient aussi un enjeu commercial et réputationnel. Mahasti Razavi résume cette dimension en expliquant que « le sujet est essentiellement économique (…) Est-ce que vous avez envie de recourir au service d’un fournisseur qui vous dit : moi, je m’en fiche de la réglementation ? ». Rappelons sur ce point que Meta a annoncé refuser de signer le Code de bonnes pratiques, rassemblant des engagements volontaires complétant l’AI Act.

Se conformer au RIA, un avantage concurrentiel ?

A l’instar du RGPD, le RIA pourrait rapidement s’imposer comme un standard mondial. Tony Baudot considère que « l’AI Act est très cohérent avec les valeurs de l’Union européenne (…) A moyen et long terme, ce sera une très bonne chose ». Egalement, comme le RGPD, la contrainte réglementaire pourrait rapidement se transformer en avantage compétitif et en standard du marché international.

Source : usine-digitale.fr

 

Vous pourrez aussi aimer

Microsoft dépose un brevet pour un smartphone à triple écran

salwa

Le verrou d’Apple saute : voici comment un app « pour adultes » arrive sur iPhone

salwa

Oracle prévoit d’ouvrir deux régions cloud au Maroc

salwa