Skip to content Skip to sidebar Skip to footer
09:00 - 17:00
+ 33 6 51 25 89 75
42 rue de la Clef 75005 Paris
Close
Uncategorized

GPAI : les obligations spécifiques aux modèles à usage général


Par David Joseph Atias, avocat au Barreau de Paris · LinkedIn · Juin 2026

Les GPAI obligations introduites par l’AI Act constituent l’une des transformations les plus structurantes du paysage IA européen. Tout fournisseur d’un modèle d’IA à usage général — qu’il s’agisse d’un grand modèle de langage, d’un modèle de diffusion d’images ou d’un modèle multimodal — est désormais soumis à un régime d’obligations distinct, codifié aux articles 53 à 55 du Règlement UE 2024/1689. Pour les modèles à risque systémique, dépassant 10²⁵ opérations à virgule flottante (FLOPs) d’entraînement, le régime devient encore plus exigeant. Cet article expose les six obligations clés, le calendrier d’application 2025-2027 et les sanctions encourues.

SOMMAIRE

  1. Pourquoi les GPAI obligations sont devenues stratégiques en 2026
  2. Le cadre juridique applicable
  3. Les 6 obligations clés des fournisseurs GPAI
  4. Tableau de synthèse des obligations et criticité
  5. Les 5 pièges à éviter
  6. Pourquoi faire appel à Atias Avocats
  7. FAQ — Questions fréquentes

1. Pourquoi les GPAI obligations sont devenues stratégiques en 2026

Les GPAI obligations posent un défi structurant aux acteurs européens et internationaux de l’IA. En 2026, leur application opérationnelle s’accélère et plusieurs dynamiques rendent leur maîtrise urgente.

1.1 Une entrée en application déjà effective

Les GPAI obligations sont en vigueur depuis le 2 août 2025, soit douze mois après l’entrée en vigueur de l’AI Act le 1er août 2024. Pour les modèles mis sur le marché avant cette date, l’article 111 paragraphe 3 prévoit un délai supplémentaire jusqu’au 2 août 2027 pour la mise en conformité. Mais pour tout nouveau modèle lancé après août 2025, les obligations s’appliquent immédiatement, sans délai de tolérance.

1.2 Un périmètre plus large qu’attendu

Beaucoup de scale-ups françaises et européennes considèrent que les GPAI obligations ne visent que les grands acteurs (OpenAI, Anthropic, Google, Mistral, Meta). Or, la définition de l’article 3 paragraphe 63 est large : un modèle entraîné sur de grandes quantités de données et présentant une généralité significative peut être qualifié de GPAI, indépendamment de sa taille. De nombreux modèles fine-tunés ou modèles open source de taille moyenne entrent dans le champ d’application.

2. Le cadre juridique applicable

Les GPAI obligations s’inscrivent dans un cadre juridique pluriel. Quatre corpus principaux structurent les obligations et doivent être lus ensemble.

2.1 La définition de l’article 3 paragraphe 63

L’article 3 paragraphe 63 du Règlement UE 2024/1689 définit le GPAI comme un modèle d’IA, y compris ceux entraînés par auto-apprentissage à grande échelle, présentant une généralité significative et capable d’exécuter de manière compétente un large éventail de tâches distinctes. Cette définition vise principalement les LLM (Large Language Models — grands modèles de langage) tels que GPT, Claude, Gemini, Llama et Mistral, ainsi que les modèles de diffusion d’images et les modèles multimodaux.

2.2 Les articles 53 et 54 (obligations générales)

L’article 53 fixe les obligations applicables à tout fournisseur de GPAI : documentation technique, information des déployeurs, politique copyright, résumé des données d’entraînement. L’article 54 organise la désignation d’un représentant mandaté dans l’Union pour les fournisseurs établis dans des pays tiers. Ces obligations s’appliquent uniformément, indépendamment du fait que le modèle soit open source ou propriétaire, à quelques nuances près.

2.3 Les articles 51 et 55 (risque systémique)

L’article 51 qualifie un GPAI de « à risque systémique » lorsque sa puissance d’entraînement dépasse 10²⁵ FLOPs (opérations à virgule flottante), ou lorsque la Commission le désigne comme tel. L’article 55 impose alors des obligations renforcées : évaluation du modèle, tests adversariaux dits « red-teaming », évaluation des risques systémiques, notification des incidents graves à l’AI Office, niveau adéquat de cybersécurité du modèle et des infrastructures.

2.4 La directive UE 2019/790 et le Code of Practice

La directive UE 2019/790 sur le droit d’auteur dans le marché unique numérique encadre l’usage de contenus protégés pour l’entraînement. Son article 4 prévoit une exception au profit des fouilles de textes et de données (TDM — Text and Data Mining), à condition que les ayants droit n’aient pas exprimé d’opt-out. Le Code of Practice GPAI, publié par l’AI Office en juillet 2025, fournit un cadre détaillé de mise en œuvre des articles 53 à 55. Pour aller plus loin, consultez nos services en matière de contrats informatiques.

3. Les 6 obligations clés des fournisseurs GPAI

Les GPAI obligations se déclinent en six exigences opérationnelles. Quatre s’appliquent à tout GPAI ; deux supplémentaires visent uniquement les GPAI à risque systémique. Chacune doit être documentée et opposable.

3.1 Documentation technique du modèle (annexe XI)

La première obligation est l’élaboration et la mise à jour d’une documentation technique complète. L’annexe XI de l’AI Act en précise le contenu minimum : description des tâches que le modèle est destiné à exécuter, architecture, nombre de paramètres, modalités d’entrée/sortie, méthodes d’entraînement, ressources utilisées (calcul, données, énergie), consommation énergétique connue. Cette documentation doit être tenue à disposition de l’AI Office et des autorités nationales.

3.2 Information des déployeurs en aval (annexe XII)

La deuxième obligation impose au fournisseur GPAI de transmettre aux déployeurs et intégrateurs en aval une documentation suffisante pour qu’ils puissent comprendre les capacités et limitations du modèle. L’annexe XII détaille les éléments à fournir : description générale, modalités d’intégration, dépendances techniques, performances connues, contraintes d’usage, instructions sur la nature des données d’entrée acceptables. Cette transparence verticale conditionne la conformité de toute la chaîne.

3.3 Politique de respect du droit d’auteur

La troisième obligation impose une politique conforme à la directive UE 2019/790 sur le droit d’auteur. Le fournisseur GPAI doit mettre en place des dispositifs techniques permettant d’identifier et de respecter l’opt-out exprimé par les ayants droit au titre de l’article 4 de la directive (réservation des droits TDM). Cette obligation s’applique de manière extraterritoriale : un modèle entraîné hors UE mais commercialisé dans l’UE doit respecter cette politique.

3.4 Résumé détaillé des données d’entraînement

La quatrième obligation impose la publication d’un résumé détaillé du contenu utilisé pour l’entraînement, selon un modèle élaboré par l’AI Office. Ce résumé doit être suffisamment précis pour permettre aux titulaires de droits d’identifier les contenus susceptibles d’avoir été utilisés et d’exercer leurs droits. Cette obligation, sans équivalent dans les régulations IA d’autres juridictions, redessine profondément la pratique de constitution des jeux d’entraînement.

3.5 Évaluation et tests adversariaux (risque systémique)

La cinquième obligation, spécifique au risque systémique (article 55), impose la conduite d’évaluations de modèle et de tests adversariaux dits red-teaming. Ces tests visent à identifier et atténuer les risques systémiques : amplification de biais à grande échelle, capacités à générer du contenu illégal, vulnérabilités de cybersécurité, risques pour la santé publique ou la stabilité démocratique. Ces évaluations doivent être documentées, reproductibles et accessibles à l’AI Office.

3.6 Notification des incidents graves (risque systémique)

La sixième obligation, également spécifique au risque systémique, impose la notification à l’AI Office et aux autorités nationales compétentes des incidents graves identifiés et des mesures correctives prises. Cette notification doit être documentée, datée et conservée. Elle s’accompagne d’une obligation de garantir un niveau adéquat de cybersécurité du modèle, de ses paramètres et de l’infrastructure d’inférence et d’entraînement.

4. Tableau de synthèse des obligations et criticité

Le tableau ci-dessous synthétise les six obligations GPAI, leur fondement et leur niveau de criticité dans la mise en conformité.

ObligationFondementCriticité
1. Documentation techniqueArt. 53 + annexe XI🔴 Critique
2. Information des déployeursArt. 53 + annexe XII🔴 Critique
3. Politique copyrightArt. 53 + dir. UE 2019/790🔴 Critique
4. Résumé données entraînementArt. 53 + modèle AI Office🟠 Élevée
5. Évaluation + red-teamingArt. 55 (risque systémique)🔴 Critique systémique
6. Notification incidents + cyberArt. 55 (risque systémique)🔴 Critique systémique

5. Les 5 pièges à éviter

Au-delà des obligations formelles, plusieurs pièges récurrents fragilisent les démarches de conformité des fournisseurs GPAI. Les identifier permet d’éviter les erreurs les plus coûteuses.

5.1 Présumer que l’open source dispense de la conformité

Le premier piège concerne les modèles open source. Beaucoup de fournisseurs pensent qu’un modèle publié sous licence ouverte échappe aux obligations. Or, l’article 53 paragraphe 2 prévoit seulement une dispense partielle pour les modèles distribués sous licence libre, à des conditions strictes (gratuité, partage des paramètres, accès au code). Les obligations copyright et de résumé des données restent applicables. Une lecture optimiste de l’exception open source expose à des manquements caractérisés.

5.2 Sous-estimer la portée extraterritoriale

Le deuxième piège est l’illusion territoriale. L’AI Act s’applique aux fournisseurs établis dans des pays tiers dès lors que leur modèle est mis à disposition sur le marché de l’Union (article 2 paragraphe 1). Un fournisseur américain ou asiatique ouvrant son modèle aux utilisateurs européens via une API doit donc respecter les GPAI obligations et désigner un représentant mandaté dans l’Union. L’absence de représentant constitue une infraction directement sanctionnable.

5.3 Bâcler le résumé des données d’entraînement

Le troisième piège concerne le résumé d’entraînement. De nombreux fournisseurs publient un résumé volontairement flou, qui mentionne « des données accessibles publiquement sur Internet » sans plus de précision. Ce niveau de détail est insuffisant au regard du modèle élaboré par l’AI Office, qui exige une description suffisamment précise pour permettre l’identification des contenus utilisés et l’exercice des droits des ayants droit.

5.4 Mal calibrer la qualification risque systémique

Le quatrième piège est la qualification du risque systémique. Le seuil de 10²⁵ FLOPs n’est pas la seule porte d’entrée : la Commission peut désigner un modèle comme à risque systémique au-delà ou en deçà de ce seuil, en fonction de critères qualitatifs (article 51 paragraphe 1 b). Sous-estimer cette possibilité et se contenter du seuil quantitatif peut exposer à des obligations renforcées non anticipées.

5.5 Ignorer le Code of Practice

Le cinquième piège concerne le Code of Practice. Bien qu’il ne soit pas formellement obligatoire, son adhésion crée une présomption de conformité aux articles 53 à 55. Un fournisseur qui ne suit pas le Code doit démontrer par d’autres moyens qu’il respecte les exigences réglementaires. Cette charge de la preuve est lourde, particulièrement pour les acteurs européens en concurrence avec des géants américains déjà engagés dans le Code.

6. Pourquoi faire appel à Atias Avocats

Maîtriser les GPAI obligations exige une combinaison rare de compétences : maîtrise approfondie de l’AI Act et de son articulation avec le RGPD et la directive UE 2019/790 sur le droit d’auteur, compréhension technique des architectures de modèles d’IA et des seuils computationnels, pratique du dialogue avec l’AI Office et les autorités nationales, capacité de défense contentieuse face aux ayants droit et autorités. Cette pluridisciplinarité est précisément la valeur ajoutée d’un cabinet spécialisé en droit du numérique avec une pratique active de la conformité IA.

Atias Avocats accompagne fournisseurs de modèles GPAI, scale-ups IA, laboratoires de recherche et investisseurs sur l’ensemble du sujet : qualification GPAI d’un modèle, rédaction de la documentation technique des annexes XI et XII, élaboration de la politique copyright et du résumé d’entraînement, adhésion au Code of Practice, gouvernance des évaluations et red-teaming pour les modèles à risque systémique, défense face à l’AI Office et aux ayants droit, sécurisation des relations avec les déployeurs en aval. Pour aller plus loin, consultez nos services en matière de protection des données personnelles.

Conclusion

Les GPAI obligations transforment profondément le marché européen de l’IA. Les fournisseurs de modèles d’IA à usage général entrent dans un régime spécifique, distinct de celui des systèmes à haut risque, avec une architecture en deux paliers : socle commun aux articles 53-54 pour tout GPAI, exigences renforcées à l’article 55 pour les modèles à risque systémique. Les six obligations clés présentées ici, combinées à la vigilance sur les cinq pièges classiques, offrent un référentiel directement utilisable par les fondateurs de scale-ups IA, CTO, DPO et juristes spécialisés.

Pour les fondateurs et CTO de scale-ups IA, le réflexe doit être clair : qualifier, documenter, adhérer au Code of Practice, désigner un représentant si l’établissement est hors UE. C’est précisément à cette discipline que se construit la conformité réelle et la crédibilité durable d’un acteur européen ou international sur le marché de l’IA.

FAQ — Questions fréquentes

Qu’est-ce qu’un modèle GPAI selon l’AI Act ?

Un GPAI (General-Purpose AI model, modèle d’IA à usage général) est défini à l’article 3 paragraphe 63 du Règlement UE 2024/1689 (AI Act). Il s’agit d’un modèle d’IA, y compris ceux entraînés sur de grandes quantités de données par auto-apprentissage à grande échelle, qui présente une généralité significative et est capable d’exécuter de manière compétente un large éventail de tâches distinctes, indépendamment de la manière dont le modèle est mis sur le marché. Cette définition vise principalement les grands modèles de langage (LLM — Large Language Models) comme GPT-4, Claude, Gemini, Llama et Mistral, ainsi que les modèles de diffusion d’images. Mais elle peut aussi couvrir des modèles plus petits dès lors qu’ils présentent une généralité significative.

Quelles sont les obligations principales des fournisseurs de GPAI ?

L’article 53 de l’AI Act impose quatre obligations principales aux fournisseurs de tout GPAI. D’abord, élaborer et tenir à jour une documentation technique du modèle (annexe XI). Ensuite, mettre à disposition des fournisseurs en aval (déployeurs et intégrateurs) une documentation suffisante pour leur permettre de comprendre le modèle et de remplir leurs propres obligations (annexe XII). Troisièmement, mettre en place une politique de respect du droit d’auteur conforme à la directive UE 2019/790 sur le droit d’auteur dans le marché unique numérique. Enfin, publier un résumé détaillé du contenu utilisé pour l’entraînement, selon un modèle fourni par l’AI Office. Ces GPAI obligations s’appliquent à tous les modèles à usage général, sans distinction de taille.

Qu’est-ce qu’un GPAI à risque systémique ?

L’article 51 de l’AI Act définit le GPAI à risque systémique comme un modèle dont les capacités à fort impact peuvent affecter de manière significative le marché européen ou présenter des risques pour la santé publique, la sécurité, les droits fondamentaux ou la société. La présomption de risque systémique est déclenchée lorsque la puissance de calcul utilisée pour l’entraînement dépasse 10²⁵ opérations à virgule flottante (FLOPs). Cela vise actuellement une dizaine de modèles seulement (GPT-4 et variantes, Claude 3.5/4, Gemini 1.5/Ultra, certains Llama). L’article 55 ajoute pour ces modèles des obligations renforcées : évaluation des modèles, tests adversariaux (red-teaming), évaluation des risques systémiques, notification des incidents graves, cybersécurité de pointe.

Quel est le calendrier d’application des obligations GPAI ?

Les obligations GPAI sont entrées en application le 2 août 2025, soit douze mois après l’entrée en vigueur de l’AI Act. Pour les modèles GPAI mis sur le marché avant le 2 août 2025, un délai supplémentaire jusqu’au 2 août 2027 a été prévu par l’article 111 paragraphe 3 pour assurer la mise en conformité. Le Code of Practice (Code de bonnes pratiques) GPAI, élaboré sous l’égide de l’AI Office et publié en juillet 2025, fournit un cadre concret de mise en œuvre. Les fournisseurs de GPAI peuvent y adhérer pour démontrer leur conformité. La Commission peut adopter des actes d’exécution si le Code se révèle insuffisant.


Contact : david@atiasavocats.com | LinkedIn: David Joseph Atias | https://www.atiasavocats.com | 42 rue de la Clef, 75005 Paris

Atias Avocats — Droit du numérique, AI Act, IA générative, Propriété intellectuelle

You May Also Like

Uncategorized
Auditer ses CGV : la checklist juridique en 15 points pour entreprises
Uncategorized
Contrat de licence logiciel on-premise : le guide juridique complet (2026)
Go to Top