AI Act : obligations clés pour les modèles à usage général

L’adoption du règlement européen sur l’intelligence artificielle (UE) 2024/1689, dit AI Act, marque un tournant dans la gouvernance technologique. Il ne s’agit pas simplement d’une réponse aux dérives potentielles de l’IA, mais bien d’un cadre stratégique visant à structurer l’innovation dans le respect de l’état de droit. Au cœur de cette régulation : les modèles d’IA à usage général (general-purpose AI models ou GPAI), notamment les modèles génératifs comme les LLM.

Un régime juridique différencié pour les GPAI

Le législateur européen a identifié un point de rupture : la généralisation de modèles entraînés sur des volumes massifs de données, capables de réaliser des tâches variées sans supervision humaine directe. Ces GPAI sont désormais encadrés par une série d’obligations propres, qu’ils soient intégrés dans des produits finaux ou distribués comme modèles à part entière.

Dès lors qu’un modèle d’IA dépasse le seuil de puissance défini par la réglementation (ex. calcul en exaflops), il peut être classé comme présentant un risque systémique (voir ci-dessous), ce qui déclenche une cascade d’exigences renforcées : documentation détaillée, tests contradictoires, plans de gestion des risques, cybersécurité renforcée, obligations de transparence sur les contenus d’entraînement.

La chaîne de valeur IA sous haute surveillance

L’AI Act ne se contente pas de réguler les fournisseurs de systèmes d’IA : il impose des obligations à tous les opérateurs économiques intervenant dans la chaîne de valeur, y compris les déployeurs, importateurs, distributeurs et mandataires. Les responsabilités ne s’arrêtent donc pas à la frontière technologique.

Ce cadre exige une clarté contractuelle, notamment sur la conformité des composants réutilisés ou des API d’IA intégrées. Des clauses types pourront être proposées par la Commission pour assurer la coopération entre fournisseurs amont et intégrateurs aval. Cette dynamique impose une vigilance juridique dès la conception des solutions.

Enjeux de conformité et anticipation stratégique

Pour les entreprises européennes, la conformité à l’AI Act ne doit pas être réduite à un exercice défensif. Elle représente au contraire un levier stratégique pour sécuriser l’innovation, accéder aux marchés publics, et renforcer la confiance des parties prenantes.

La maîtrise juridique des exigences du règlement — gouvernance des données, robustesse technique, transparence algorithmique, analyse d’impact sur les droits fondamentaux — devient un avantage compétitif. Elle invite à anticiper les obligations à travers une approche par les risques, intégrée dès les phases de R&D.

Une expertise juridique ancrée dans la régulation numérique européenne

En tant que spécialiste du droit et de l’éthique de l’intelligence artificielle, j’accompagne depuis plusieurs années les acteurs publics et privés dans la mise en œuvre concrète des exigences de conformité numérique. Mes travaux récents s’articulent autour des modèles d’IA générative, de l’audit des risques systémiques et de la construction de politiques IA responsables.

Je propose une approche intégrée, fondée sur la régulation européenne, le droit des données et les impératifs de responsabilité numérique. Cette expertise s’inscrit dans une logique de co-construction entre juristes, ingénieurs et décideurs.

➡️ Pour découvrir mes analyses et publications, je vous invite à consulter mon site professionnel.

 

Définition juridique du risque systémique

Dans le contexte du règlement (UE) 2024/1689 sur l’intelligence artificielle, un risque systémique désigne une catégorie spécifique de danger posée par certains modèles d’IA à usage général, notamment ceux dont les capacités sont si étendues qu’ils peuvent affecter l’ensemble de la société, la sécurité publique ou les processus démocratiques, même lorsqu’ils ne sont pas liés à un usage particulier.

Le texte du règlement précise qu’un modèle d’IA à usage général est considéré comme présentant un risque systémique lorsqu’il remplit au moins une des conditions suivantes :

« […] un modèle d’IA à usage général devrait être considéré comme présentant des risques systémiques s’il a des capacités à fort impact, évaluées sur la base de méthodologies et d’outils techniques appropriés, ou une incidence significative sur le marché intérieur en raison de sa portée. »
(Article 51, paragraphe 1, et considérant 111 du Règlement (UE) 2024/1689).

Le règlement donne ensuite des exemples de risques systémiques potentiels :

• Effets négatifs graves ou raisonnablement prévisibles sur :
  • la santé publique ;
  • la sécurité ;
  • les processus démocratiques, notamment via la désinformation ;
  • la sécurité économique ;
  • les infrastructures critiques ;
  • ou encore la diffusion de contenus illicites ou discriminatoires.

Ces risques systémiques peuvent survenir tout au long du cycle de vie du modèle, à travers :

• des usages malveillants,
• une mauvaise gouvernance des accès et des données,
• ou une perte de contrôle du comportement du système.

Un seuil déclencheur : les modèles très puissants

L’article 51 instaure également un seuil technique de calcul (en exaflops) au-delà duquel un modèle est présumé à risque systémique (sauf preuve contraire fournie par le fournisseur). Ce mécanisme vise les modèles de fondation, tels que les grands modèles de langage (LLMs) entraînés à très grande échelle.

Pour en savoir plus: General-Purpose AI Models in the AI Act – Questions & Answers | Shaping Europe’s digital future