Quand les règles GPAI de l'EU AI Act deviennent-elles réellement exécutoires ?

Les obligations substantielles pour fournisseurs de modèles d'IA à usage général au titre du chapitre V de l'EU AI Act sont entrées en application le 2 août 2025. Cependant, les pouvoirs d'exécution de la Commission européenne — autorité de demander des informations, conduire des évaluations, ordonner des mesures correctives et imposer des amendes au titre de l'article 101 — ne deviennent exerçables que le 2 août 2026. Les fournisseurs de modèles GPAI placés sur le marché avant le 2 août 2025 disposent d'un calendrier de conformité plus long et doivent être mis en conformité d'ici le 2 août 2027.

Quel est le seuil de risque systémique pour les modèles GPAI ?

Au titre de l'article 51(2) de l'EU AI Act, un modèle d'IA à usage général est présumé avoir des capacités à fort impact, et donc présenter un risque systémique, lorsque le compute cumulé utilisé pour son entraînement dépasse 10^25 opérations en virgule flottante (FLOPs). La présomption est réfragable : un fournisseur au-dessus du seuil peut soumettre au titre de l'article 52(2) des arguments étayés que le modèle ne pose pas en fait de risque systémique. La Commission peut aussi désigner des modèles sous le seuil et mettre à jour le seuil lui-même par acte délégué à mesure que l'état de l'art évolue.

Faut-il signer le Code de bonne pratique GPAI ?

Non. Le Code de bonne pratique, publié le 10 juillet 2025, est volontaire. Le signer confère une présomption de conformité avec les obligations pertinentes de l'article 53 et (pour fournisseurs à risque systémique) de l'article 55, ce qui réduit la friction administrative durant les évaluations de l'AI Office. À la mi-2025, 26 organisations avaient signé, dont Anthropic, Google, Microsoft et OpenAI. Meta a refusé. Les non-signataires doivent démontrer la conformité par d'autres moyens adéquats et peuvent s'attendre à un examen plus serré lorsque l'exécution de l'article 101 commencera.

Quelles sont les amendes maximales en cas de non-conformité GPAI ?

Au titre de l'article 101 de l'EU AI Act, la Commission européenne peut amender les fournisseurs de modèles GPAI jusqu'à 3 % de leur chiffre d'affaires annuel mondial ou 15 M EUR, le montant le plus élevé étant retenu, pour infractions intentionnelles ou négligentes aux obligations GPAI ou pour défaut de fournir les informations demandées. Cela se distingue des paliers plus larges de l'article 99, qui incluent jusqu'à 35 M EUR ou 7 % du chiffre d'affaires pour les pratiques d'IA interdites. PME et start-ups sont plafonnées au plus bas des deux montants.

← News

ANNOUNCEMENT · 2026-05-07

EU AI Act : les pouvoirs d'exécution GPAI prennent effet en août 2026

Le 2 août 2026, l'AI Office de la Commission européenne acquiert les pleins pouvoirs d'exécution sur les fournisseurs de modèles d'IA à usage général (GPAI), avec des amendes pouvant atteindre 3 % du chiffre d'affaires mondial ou 15 M EUR. Les modèles antérieurs à 2025 ont jusqu'au 2 août 2027 pour se conformer.

Ce que débloque réellement le jalon du 2 août 2026

Les obligations GPAI sont entrées en application le **2 août 2025**, mais une fenêtre d'ajustement d'un an a été accordée aux fournisseurs avant que la Commission européenne ne puisse commencer à exercer supervision et exécution. Cette fenêtre se ferme le **2 août 2026**, date à laquelle les pouvoirs d'exécution de l'AI Office au titre du chapitre V prennent effet.

*Cet article est une orientation générale, pas un avis juridique. Consultez un conseil EU qualifié pour toute décision de conformité.*

À partir de cette date, l'AI Office peut formellement demander documentation et informations, conduire des évaluations de modèles, exiger des mesures de mise en conformité (atténuation de risque, restriction de marché, rappel ou retrait inclus), et imposer des amendes au titre de l'**article 101** du règlement. Les pénalités maximales pour fournisseurs GPAI s'élèvent à **3 % du chiffre d'affaires annuel mondial ou 15 M EUR, le montant le plus élevé étant retenu**, pour infractions intentionnelles ou négligentes. Le niveau plus étroit de l'article 99 (jusqu'à 35 M EUR ou 7 % du chiffre d'affaires) s'applique aux pratiques d'IA interdites, pas aux obligations GPAI. Le 2 août 2026 n'est donc pas une nouvelle date d'obligation ; c'est la date à laquelle les obligations existantes deviennent directement exécutoires par la Commission.

Qui compte comme fournisseur GPAI (et le seuil de risque systémique)

Un modèle d'IA à usage général se définit comme un modèle entraîné sur de larges données, présentant une généralité significative, et capable d'accomplir avec compétence un large éventail de tâches distinctes quel que soit son mode de mise sur le marché. Le fournisseur est l'entité qui développe ou fait développer le modèle et le place sur le marché EU sous son nom ou sa marque.

Une seconde catégorie plus étroite, les **modèles GPAI à risque systémique**, déclenche les obligations plus lourdes des articles 55 et 56. Au titre de l'**article 51**, un modèle est présumé avoir des capacités à fort impact lorsque le compute cumulé utilisé pour son entraînement dépasse **10^25 opérations en virgule flottante (FLOPs)**. C'est une présomption réfragable : au titre de l'article 52(2), un fournisseur au-dessus du seuil peut soumettre des arguments étayés montrant que le modèle ne présente pas, en fait, de risque systémique, et la Commission peut aussi désigner des modèles sous le seuil sur d'autres critères. La Commission peut mettre à jour le seuil par acte délégué.

De façon critique, les lignes directrices de la Commission de juillet 2025 ont précisé qu'un **acteur en aval devient le nouveau fournisseur GPAI quand le compute d'entraînement utilisé pour la modification dépasse un tiers du compute d'entraînement initial**. Un fine-tuning mineur ne fait pas basculer le rôle ; un continued pretraining à grande échelle, oui.

Transparence, copyright et devoirs de documentation en aval

Tous les fournisseurs GPAI, quel que soit leur statut au regard du risque systémique, doivent quatre devoirs de base au titre de l'**article 53** :

1. **Documentation technique (Annexe XI)** décrivant la conception du modèle, le processus d'entraînement, les datasets, la consommation énergétique, les tâches visées, l'architecture et le licensing, maintenue et mise à disposition de l'AI Office sur demande. 2. **Documentation aval (Annexe XII)** fournissant aux intégrateurs les informations nécessaires pour comprendre capacités et limites du modèle, usages prévus et contraintes d'intégration. 3. **Politique de copyright** conforme au droit d'auteur EU, incluant les opt-outs text-and-data-mining de la directive 2019/790. Cela signifie respecter les réserves de droits lisibles par machine (comme robots.txt) lors du crawling web et éviter les sources légalement inaccessibles. 4. **Résumé public du contenu d'entraînement** suivant le modèle obligatoire de l'AI Office, suffisamment large pour permettre aux ayants droit et au public de comprendre quelles catégories de contenu ont été utilisées.

Les modèles entièrement libres et open source ne présentant pas de risque systémique sont exemptés des devoirs 1 et 2 mais **pas** de la politique de copyright ni du résumé public d'entraînement.

Échéances de tolérance pour modèles antérieurs à 2025

Le règlement distingue entre les modèles mis sur le marché après le 2 août 2025 (qui devaient être conformes dès le premier jour) et les **modèles historiques mis sur le marché avant le 2 août 2025**, qui ont jusqu'au **2 août 2027** pour aligner documentation et politiques.

Cette période de tolérance est étroite à deux égards. D'abord, elle ne retarde pas l'exécution contre les modèles post-août 2025, que l'AI Office peut poursuivre immédiatement une fois ses pouvoirs activés en août 2026. Ensuite, elle s'applique au *modèle* tel qu'il existait avant la bascule. Une modification substantielle post-bascule, en particulier tout réentraînement dépassant le déclencheur d'un tiers de compute décrit plus haut, peut tirer un modèle historique dans le régime post-2025 et remettre le compteur à zéro.

Les fournisseurs s'appuyant sur la fenêtre historique doivent tout de même s'attendre à un dialogue informel avec l'AI Office en 2025-2027. La Commission a signalé que la collaboration de bonne foi durant la période d'ajustement est un facteur dans l'exercice de la discrétion d'exécution une fois l'article 101 disponible.

Code de bonne pratique GPAI : bénéfices et risques de l'opt-in

Le **Code de bonne pratique GPAI**, publié le **10 juillet 2025**, est un instrument volontaire rédigé par des experts indépendants dans un processus multi-stakeholder. Il comporte trois chapitres : **Transparence** et **Copyright** s'appliquent à tous les fournisseurs GPAI ; **Sûreté et Sécurité** ne s'applique qu'aux fournisseurs à risque systémique.

Signer le Code confère une **présomption de conformité** avec les obligations correspondantes de l'AI Act : les signataires bénéficient d'une charge administrative allégée dans les évaluations et d'une plus grande sécurité juridique. À la mi-2025, **26 organisations** avaient signé, dont Amazon, Anthropic, Cohere, Google, IBM, Microsoft, Mistral AI et OpenAI. **Meta a refusé de signer.** xAI n'a signé que le chapitre Sûreté et Sécurité, ce qui implique de démontrer la conformité transparence et copyright par d'autres moyens soumis à évaluation de l'AI Office.

Le risque est réel. Les signataires acceptent des engagements structurés tels que le formulaire standardisé Model Documentation Form, des points de contact copyright désignés, et une cadence de reporting continue. Les non-signataires ne portent pas d'obligations supplémentaires, mais perdent la présomption de conformité et peuvent faire l'objet d'un examen plus serré quand la Commission commencera à exercer les pouvoirs de l'article 101 en août 2026.

Checklist pratique de conformité pour déployeurs en aval

Utiliser un modèle GPAI conforme **ne décharge pas** des obligations aval. Les fournisseurs de *systèmes* IA bâtis sur un modèle GPAI portent leurs propres devoirs, en particulier si le système résultant est à haut risque au titre des annexes I ou III, ou si les obligations de transparence de l'article 50 s'appliquent (par exemple aux chatbots, deepfakes ou systèmes de reconnaissance d'émotions).

Une checklist réaliste pour déployeur :

**Demandez et archivez le paquet d'information Annexe XII** auprès de chaque modèle GPAI que vous intégrez ; vérifiez la posture de conformité chapitre V du fournisseur amont.
**Mappez les cas d'usage prévus contre l'annexe III** pour déterminer si votre système est à haut risque ; si oui, préparez les preuves d'évaluation de conformité au titre du chapitre III.
**Incorporez la fiche modèle amont et ses limites dans votre propre documentation technique**, l'analyse de risque et le plan de surveillance post-marché.
**Implémentez les notifications de transparence de l'article 50** là où des sorties génératives ou interactives sont user-facing.
**Maintenez journaux d'audit et contrôles de supervision humaine** proportionnels au risque système ; les obligations d'AI literacy de l'article 4 s'appliquent depuis février 2025.

Les obligations déployeur sont indépendantes du statut du fournisseur de modèle ; une fiche modèle amont incomplète ou vague reste *votre* problème à escalader, pas une raison de retarder votre propre documentation.

Pourquoi l'auto-hébergement et le BYOK simplifient la piste d'audit

Les devoirs déployeur présupposent que vous puissiez répondre à deux questions sur demande : *quel modèle a produit cette sortie, sous quelle configuration et sur quelle infrastructure*, et *quelles données ont quitté votre environnement pour y arriver*. Les endpoints d'inférence multi-locataires partagés rendent les deux questions plus difficiles, parce que la surface de logging, de rétention et de routage est possédée par un tiers dont les déclarations peuvent ou non correspondre à votre paquet Annexe XII.

L'inférence auto-hébergée et les patterns de déploiement bring-your-own-key (BYOK) rétrécissent la surface utilement. Quand le modèle tourne dans une infrastructure que vous contrôlez, vous possédez les journaux d'inférence, la posture de résidence des données et la piste d'audit qu'une demande d'exécution finira par réclamer. Quand le BYOK route les appels directement de votre tenant vers le fournisseur amont sous vos termes contractuels, le chemin des metadata est auditable de bout en bout. Les plateformes conçues autour de ce pattern, comme **osFoundry**, traitent journaux d'audit, contrôles de résidence et défauts privacy-first comme partie de la couche d'orchestration plutôt que comme add-ons.

Rien de tout cela ne se substitue aux obligations substantielles de l'article 53 sur le fournisseur amont, mais cela raccourcit matériellement la chaîne de preuves à assembler quand les régulateurs demanderont.

Frequently asked questions

Quand les règles GPAI de l'EU AI Act deviennent-elles réellement exécutoires ?: Les obligations substantielles pour fournisseurs de modèles d'IA à usage général au titre du chapitre V de l'EU AI Act sont entrées en application le 2 août 2025. Cependant, les pouvoirs d'exécution de la Commission européenne — autorité de demander des informations, conduire des évaluations, ordonner des mesures correctives et imposer des amendes au titre de l'article 101 — ne deviennent exerçables que le 2 août 2026. Les fournisseurs de modèles GPAI placés sur le marché avant le 2 août 2025 disposent d'un calendrier de conformité plus long et doivent être mis en conformité d'ici le 2 août 2027.
Quel est le seuil de risque systémique pour les modèles GPAI ?: Au titre de l'article 51(2) de l'EU AI Act, un modèle d'IA à usage général est présumé avoir des capacités à fort impact, et donc présenter un risque systémique, lorsque le compute cumulé utilisé pour son entraînement dépasse 10^25 opérations en virgule flottante (FLOPs). La présomption est réfragable : un fournisseur au-dessus du seuil peut soumettre au titre de l'article 52(2) des arguments étayés que le modèle ne pose pas en fait de risque systémique. La Commission peut aussi désigner des modèles sous le seuil et mettre à jour le seuil lui-même par acte délégué à mesure que l'état de l'art évolue.
Faut-il signer le Code de bonne pratique GPAI ?: Non. Le Code de bonne pratique, publié le 10 juillet 2025, est volontaire. Le signer confère une présomption de conformité avec les obligations pertinentes de l'article 53 et (pour fournisseurs à risque systémique) de l'article 55, ce qui réduit la friction administrative durant les évaluations de l'AI Office. À la mi-2025, 26 organisations avaient signé, dont Anthropic, Google, Microsoft et OpenAI. Meta a refusé. Les non-signataires doivent démontrer la conformité par d'autres moyens adéquats et peuvent s'attendre à un examen plus serré lorsque l'exécution de l'article 101 commencera.
Quelles sont les amendes maximales en cas de non-conformité GPAI ?: Au titre de l'article 101 de l'EU AI Act, la Commission européenne peut amender les fournisseurs de modèles GPAI jusqu'à 3 % de leur chiffre d'affaires annuel mondial ou 15 M EUR, le montant le plus élevé étant retenu, pour infractions intentionnelles ou négligentes aux obligations GPAI ou pour défaut de fournir les informations demandées. Cela se distingue des paliers plus larges de l'article 99, qui incluent jusqu'à 35 M EUR ou 7 % du chiffre d'affaires pour les pratiques d'IA interdites. PME et start-ups sont plafonnées au plus bas des deux montants.