L'IA a usage general (GPAI) au titre du Reglement sur l'IA de l'UE
Guide complet des obligations relatives aux modeles GPAI au titre du Reglement sur l'IA de l'UE -- exigences de transparence, evaluation du risque systemique et ce que les fournisseurs de modeles de fondation doivent faire.
Les modeles d'IA a usage general -- les grands modeles de langage, les systemes multimodaux et les modeles de fondation qui alimentent un eventail de plus en plus large d'applications -- ont fait l'objet d'un traitement dedie dans le Reglement sur l'IA de l'UE. Le chapitre V et les articles 51 a 56 du Reglement 2024/1689 etablissent un cadre reglementaire specifique pour ces modeles, reconnaissant qu'ils presentent des defis uniques que le systeme de classification des risques seul ne peut pas traiter.
La question fondamentale est simple : lorsqu'un modele peut etre utilise pour pratiquement toute application en aval, il est impossible de classifier son niveau de risque en examinant le modele lui-meme. Un grand modele de langage pourrait alimenter un generateur de poesie inoffensif ou un outil de diagnostic medical a haut risque. Le Reglement sur l'IA traite cette question en reglementant les modeles GPAI au niveau du modele, separement et en plus des regles fondees sur les risques qui s'appliquent aux deploiements specifiques de systemes d'IA.
Les obligations relatives aux GPAI s'appliquent a compter du 2 aout 2025, ce qui en fait l'une des dispositions les plus precoces a entrer en vigueur.
Ce qui constitue un modele d'IA a usage general
L'article 3, paragraphe 63, definit un modele d'IA a usage general comme « un modele d'IA, y compris lorsqu'un tel modele est entraine avec un grand volume de donnees en utilisant l'auto-supervision a grande echelle, qui fait preuve d'une generalite significative et est capable d'executer de maniere competente un large eventail de taches distinctes, independamment de la maniere dont le modele est mis sur le marche, et qui peut etre integre dans une variete de systemes ou d'applications en aval ».
Les caracteristiques cles sont :
- Generalite significative -- le modele n'est pas concu pour une seule tache etroite
- Large eventail de taches distinctes -- il peut executer de nombreuses fonctions differentes
- Integrabilite -- il peut etre integre dans divers systemes en aval
La definition est deliberement large. Elle couvre les grands modeles de langage (comme GPT-4, Claude, Gemini, Llama), les modeles multimodaux et d'autres modeles de fondation. Elle couvre egalement les variantes affinées de ces modeles si elles conservent une generalite significative.
Cela signifie que les suivants sont probablement des modeles GPAI au titre du reglement :
- Les grands modeles de langage proposes via API ou en open source
- Les modeles multimodaux qui traitent du texte, des images, de l'audio et de la video
- Les modeles de generation de code avec des capacites de programmation etendues
- Les modeles de generation d'images et de videos avec des capacites creatives generales
Les modeles etroitement specialises -- par exemple, un modele entraine exclusivement pour une seule tache d'imagerie medicale -- ne seraient generalement pas consideres comme des GPAI, meme s'ils utilisent des techniques d'entrainement a grande echelle.
Le cadre a deux niveaux
Le Reglement sur l'IA cree deux niveaux d'obligations pour les GPAI :
Niveau 1 : Tous les modeles GPAI
Tous les fournisseurs de modeles d'IA a usage general doivent respecter des obligations de base en matiere de transparence et de documentation. Celles-ci s'appliquent quel que soit le profil de capacites ou de risque du modele.
Niveau 2 : Modeles GPAI avec risque systemique
Les modeles GPAI qui presentent un risque systemique sont soumis a des obligations supplementaires plus exigeantes. Un modele est presume presenter un risque systemique lorsque le volume cumule de calcul utilise pour son entrainement, mesure en operations a virgule flottante (FLOP), depasse 10^25 FLOP.
High RiskLa Commission europeenne peut egalement designer un modele GPAI comme presentant un risque systemique sur la base de criteres autres que le calcul, notamment :
- Le nombre d'utilisateurs finaux enregistres
- Les capacites du modele, y compris sa capacite a executer des taches dans differentes modalites
- La portee du modele dans la chaine de valeur (le nombre d'applications en aval qui en dependent)
- Le degre d'autonomie que le modele permet
Le seuil de 10^25 FLOP est une presomption, pas une frontiere rigide. La Commission peut designer des modeles en dessous de ce seuil comme presentant un risque systemique, et les fournisseurs peuvent faire valoir que des modeles au-dessus du seuil ne presentent pas reellement de risque systemique. Toutefois, refuter la presomption necessite des preuves substantielles.
Obligations de niveau 1 : Ce que tous les fournisseurs de GPAI doivent faire
Documentation technique
Les fournisseurs doivent elaborer et maintenir a jour la documentation technique du modele, y compris son processus d'entrainement et de test et les resultats de son evaluation. Cette documentation doit contenir au minimum :
- Une description generale du modele GPAI, y compris les taches qu'il est destine a executer et le type et la nature des systemes d'IA dans lesquels il peut etre integre
- Une description des donnees utilisees pour l'entrainement, les tests et la validation, y compris le type et la provenance des donnees et les methodologies de curation utilisees
- Les ressources de calcul utilisees pour l'entrainement (type et volume de calcul, temps d'entrainement, autres details pertinents)
- La consommation energetique connue ou estimee du modele
- Les choix de conception et les methodologies d'entrainement, y compris les techniques de construction et d'optimisation du modele
- Une description des capacites et des limites du modele, y compris les taches qu'il execute bien et celles ou il est connu pour sous-performer
- Les procedures d'evaluation et de test, y compris les resultats
Les details de ce que cette documentation doit contenir sont davantage elabores a l'annexe XI du reglement et par des actes d'execution du Bureau de l'IA.
Conformite au droit d'auteur
Les fournisseurs de GPAI doivent mettre en place une politique de conformite au droit d'auteur de l'Union, en particulier la directive 2019/790 (directive sur le droit d'auteur dans le marche unique numerique). De maniere critique, cela inclut :
- L'identification et le respect des reserves de droits exprimees par les titulaires de droits en vertu de l'article 4, paragraphe 3, de la directive DSM (droit de refus de la fouille de textes et de donnees)
- L'elaboration et la mise a disposition du public d'un resume suffisamment detaille des donnees d'entrainement utilisees, selon un modele fourni par le Bureau de l'IA
L'exigence de resume des donnees d'entrainement est l'un des aspects les plus discutes du cadre GPAI. Les fournisseurs doivent mettre a disposition un resume qui est « suffisamment detaille » pour permettre aux titulaires de droits d'identifier si leurs oeuvres ont ete utilisees. Le Bureau de l'IA a publie un modele pour ce resume.
Information aux fournisseurs en aval
Les fournisseurs de modeles GPAI doivent mettre a la disposition des fournisseurs de systemes d'IA qui entendent integrer le modele des informations et une documentation suffisantes pour permettre a ces fournisseurs en aval de comprendre les capacites et les limites du modele et de se conformer a leurs propres obligations au titre du Reglement sur l'IA.
Cela est particulierement important car les fournisseurs en aval -- ceux qui construisent des systemes d'IA specifiques sur des modeles GPAI -- sont responsables de la classification des risques et de la conformite de leurs systemes. Ils ne peuvent pas remplir ces responsabilites sans des informations adequates sur le modele sous-jacent.
Politiques d'utilisation acceptable
Bien que cela ne soit pas explicitement prescrit de la meme maniere que d'autres exigences, le reglement attend des fournisseurs de GPAI qu'ils etablissent des politiques d'utilisation acceptable claires qui aident les deployers en aval a comprendre a quoi le modele devrait et ne devrait pas etre utilise.
Vous construisez sur des modeles GPAI ? Assurez la conformite en aval.
Ctrl AI fournit l'infrastructure de transparence et d'audit necessaire pour demontrer la conformite lors du deploiement de systemes construits sur des modeles d'IA a usage general.
Learn About Ctrl AIObligations de niveau 2 : Modeles GPAI avec risque systemique
Les fournisseurs de modeles GPAI classes comme presentant un risque systemique doivent se conformer a toutes les obligations de niveau 1 plus des exigences supplementaires concues pour identifier, evaluer et attenuer les risques au niveau systemique.
Evaluation du modele
Les fournisseurs doivent effectuer des evaluations de modeles, y compris des tests adverses, pour identifier et attenuer les risques systemiques. Ces evaluations doivent etre :
- Menees conformement a des protocoles et outils normalises, y compris ceux developpes dans le cadre de codes de bonnes pratiques ou de normes harmonisees
- Proportionnees aux risques systemiques identifies
- Documentees et communiquees au Bureau de l'IA
Les tests adverses (red-teaming) sont explicitement mentionnes comme une technique d'evaluation cle. Cela inclut les tests pour :
- La vulnerabilite a l'injection de prompts et autres techniques de manipulation
- La propension a generer du contenu nuisible, dangereux ou illegal
- La capacite a assister dans des activites pouvant poser des risques systemiques (par ex., cyber-attaques, developpement d'armes biologiques ou chimiques)
- La tendance a produire des resultats biaises ou discriminatoires a grande echelle
Evaluation et attenuation des risques systemiques
Au-dela de l'evaluation du modele, les fournisseurs doivent evaluer et attenuer les risques systemiques possibles, y compris leurs sources. Les risques systemiques peuvent provenir de :
- L'utilisation abusive des capacites du modele a grande echelle
- La concentration du pouvoir de marche si le modele est largement integre dans les infrastructures critiques
- Le potentiel de defaillances en cascade dans les systemes interconnectes qui dependent du modele
- L'influence du modele sur les ecosystemes d'information (par ex., generation a grande echelle de desinformation)
Suivi et signalement des incidents
Les fournisseurs doivent suivre, documenter et signaler les incidents graves et les mesures correctives possibles au Bureau de l'IA et, le cas echeant, aux autorites nationales competentes. Un « incident grave » comprend tout evenement qui entraine ou pourrait avoir entraine :
- La mort ou des dommages graves a la sante, a la propriete ou a l'environnement
- Une atteinte grave et irreversible aux droits fondamentaux
- Une perturbation grave des infrastructures critiques
Protections en matiere de cybersecurite
Les fournisseurs doivent assurer un niveau adequat de protection en matiere de cybersecurite pour le modele GPAI et l'infrastructure physique du modele. Cela inclut :
- La protection des poids et parametres du modele contre les acces non autorises
- La securisation des pipelines d'entrainement et des donnees
- La mise en oeuvre de garanties contre l'extraction ou le vol de modeles
- La protection de l'infrastructure d'inference contre les attaques
Modeles GPAI en open source
Le Reglement sur l'IA prevoit des exemptions partielles pour les modeles GPAI en open source. L'article 53, paragraphe 2, stipule que les fournisseurs de modeles GPAI publies sous licence libre et open source sont exemptes de plusieurs exigences de niveau 1 -- en particulier les obligations de documentation technique et d'information en aval -- a condition qu'ils :
- Rendent les parametres du modele (poids) publiquement disponibles
- Fournissent des informations suffisantes sur l'architecture et l'entrainement du modele
Toutefois, cette exemption ne s'applique pas :
- A l'obligation de conformite au droit d'auteur (tous les fournisseurs de GPAI doivent s'y conformer)
- Aux modeles GPAI open source avec risque systemique (ils doivent respecter toutes les exigences de niveau 2)
Open source ne signifie pas exempte. Si un modele GPAI open source depasse le seuil de 10^25 FLOP ou est autrement designe comme presentant un risque systemique, les obligations completes de niveau 2 s'appliquent -- y compris l'evaluation du modele, l'evaluation du risque systemique, le signalement des incidents et les exigences de cybersecurite.
Codes de bonnes pratiques
Le Reglement sur l'IA encourage l'elaboration de codes de bonnes pratiques comme mecanisme permettant aux fournisseurs de GPAI de demontrer leur conformite. Le Bureau de l'IA coordonne l'elaboration de ces codes, qui sont developpes avec la contribution des fournisseurs de GPAI, des fournisseurs en aval, de la societe civile, du monde academique et d'autres parties prenantes.
Le respect d'un code de bonnes pratiques approuve cree une presomption de conformite aux obligations GPAI pertinentes. C'est une incitation significative pour les fournisseurs a participer a l'elaboration des codes et a respecter les normes qui en resultent.
Les premiers projets de codes de bonnes pratiques pour les GPAI ont ete elabores tout au long de 2024 et debut 2025, le Bureau de l'IA facilitant un processus multi-parties prenantes. Ces codes couvrent des domaines tels que :
- Les normes de documentation technique
- La transparence des donnees d'entrainement
- Les procedures de conformite au droit d'auteur
- Les methodologies d'evaluation du risque systemique
- Les protocoles de signalement des incidents
Application et Bureau de l'IA
Les dispositions relatives aux GPAI sont principalement appliquees par le Bureau de l'IA, un organe au sein de la Commission europeenne. Cela differe de la plupart des autres dispositions du Reglement sur l'IA, qui sont appliquees par les autorites nationales de surveillance du marche.
Le Bureau de l'IA a le pouvoir de :
- Demander des documents et des informations aux fournisseurs de GPAI
- Mener des evaluations de modeles GPAI
- Emettre des instructions contraignantes aux fournisseurs de prendre des mesures correctives
- Imposer des amendes pour non-conformite
Les amendes pour les fournisseurs de GPAI peuvent atteindre 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial, le montant le plus eleve etant retenu. Pour la fourniture d'informations inexactes, incompletes ou trompeuses au Bureau de l'IA, les amendes peuvent atteindre 7,5 millions d'euros ou 1 % du chiffre d'affaires.
Calendrier de conformite pour les GPAI
Implications pour les deployers en aval
Si votre organisation construit des systemes d'IA sur des modeles GPAI -- par exemple, en utilisant une API d'un fournisseur de modeles de fondation -- vous n'etes pas un fournisseur de GPAI. Vos obligations relevent du cadre standard fonde sur les risques pour les systemes d'IA. Cependant, vous devez etre conscient de plusieurs choses :
Obtenez une documentation adequate. Vous avez le droit de recevoir des informations suffisantes du fournisseur de GPAI pour vous conformer a vos propres obligations. Si vous construisez un systeme d'IA a haut risque sur un modele GPAI, vous avez besoin d'une documentation detaillee sur les capacites, les limites et les risques connus du modele.
Evaluez le risque en aval de maniere independante. Le fait que le modele sous-jacent se conforme aux obligations GPAI ne rend pas automatiquement votre systeme conforme. Vous devez evaluer et gerer de maniere independante les risques de votre application specifique.
Surveillez les mises a jour du modele. Lorsque le modele GPAI dont vous dependez est mis a jour, le profil de risque de votre systeme peut changer. Etablissez des processus pour evaluer l'impact des modifications du modele en amont sur votre posture de conformite.
Garanties contractuelles. Assurez-vous que vos accords avec les fournisseurs de GPAI incluent des dispositions pour la reception de documentation mise a jour, la notification des modifications materielles et la cooperation en cas d'incidents.
Conclusion
Le cadre GPAI represente la reconnaissance par l'UE que les modeles de fondation necessitent des approches de gouvernance qui vont au-dela de la reglementation traditionnelle de la securite des produits. En reglementant au niveau du modele et en introduisant le niveau de risque systemique, le Reglement sur l'IA cree un cadre proportionne -- imposant des obligations de base a tous les fournisseurs de GPAI tout en exigeant davantage de ceux dont les modeles pourraient causer des prejudices a grande echelle.
Pour les fournisseurs de GPAI, la conformite necessite un investissement significatif en documentation, evaluation et gestion des risques. Pour les deployers en aval, elle necessite une gestion diligente des fournisseurs et une evaluation independante des risques. Pour l'ecosysteme de l'IA dans son ensemble, elle etablit une base de confiance et de responsabilite dans les technologies d'IA les plus puissantes developpees aujourd'hui.
Avec les obligations GPAI s'appliquant a compter du 2 aout 2025, le moment de se preparer est maintenant.
Make Your AI Auditable and Compliant
Ctrl AI provides expert-verified reasoning units with full execution traces — the infrastructure you need for EU AI Act compliance.
Explore Ctrl AIArticles connexes
Obligations de transparence du Reglement sur l'IA de l'UE : Ce que vous devez divulguer
Guide des exigences de transparence au titre du Reglement sur l'IA de l'UE -- obligations de divulgation pour les systemes d'IA, chatbots, hypertrucages et reconnaissance des emotions. Articles 50-52 expliques.
Mise en oeuvre du Reglement sur l'IA de l'UE par pays
Comment les differents Etats membres de l'UE mettent en oeuvre le Reglement sur l'IA -- autorites nationales competentes, bacs a sable reglementaires et approches nationales de la gouvernance de l'IA.
Pratiques d'IA interdites au titre du Reglement sur l'IA de l'UE
Liste complete des pratiques d'IA interdites par le Reglement sur l'IA de l'UE -- notation sociale, IA manipulatrice, surveillance biometrique en temps reel et plus encore. Comprendre ce qui est interdit et pourquoi.