Modeles GPAI (ChatGPT, Claude, Mistral) : ce que l AI Act impose aux fournisseurs
L AI Act prevoit un regime specifique pour les modeles d IA a usage general (GPAI). Les obligations sont en vigueur depuis le 2 aout 2025 pour les fournisseurs. Voici ce qu il faut savoir et ce que cela change pour les utilisateurs.
Qu est-ce qu un modele GPAI ?
Un modele d IA a usage general (General Purpose AI, GPAI) est un modele d IA qui presente une generalite significative et qui peut etre utilise pour realiser une grande variete de taches distinctes. Il est typiquement entraine sur une grande quantite de donnees et peut etre integre dans des systemes ou applications en aval.
Exemples : GPT-4 (OpenAI), Claude (Anthropic), Mistral Large, Llama (Meta), Gemini (Google).
Obligations des fournisseurs GPAI
Tous les fournisseurs de modeles GPAI doivent respecter quatre obligations principales :
1. Documentation technique
Le fournisseur doit constituer et tenir a jour une documentation technique du modele : description, processus d entrainement, donnees utilisees, capacites et limitations, evaluations, mesures de gestion des risques.
2. Information aux fournisseurs en aval
Le fournisseur du modele GPAI doit fournir aux entreprises qui integrent ce modele dans leurs propres systemes des informations suffisantes pour leur permettre de respecter leurs propres obligations AI Act.
3. Politique de respect du droit d auteur
Le fournisseur doit mettre en place une politique pour respecter le droit d auteur europeen et identifier les contenus utilises pour l entrainement, en particulier ceux ayant fait l objet d une opposition (opt-out).
4. Resume des donnees d entrainement
Le fournisseur doit publier un resume detaille suffisamment expose des contenus utilises pour entrainer le modele. Ce resume doit etre rendu public et accessible.
GPAI a risque systemique : obligations renforcees
Certains modeles GPAI sont consideres comme presentant un risque systemique, c est-a-dire un risque significatif au niveau europeen en raison de leur portee. Le critere principal est la puissance de calcul utilisee pour l entrainement (au-dela de 10^25 FLOPs).
Pour ces modeles, les fournisseurs ont des obligations supplementaires :
- Realiser des evaluations de modele (red teaming, tests adversariaux).
- Evaluer et attenuer les risques systemiques.
- Notifier les incidents graves a la Commission europeenne (AI Office).
- Garantir un niveau approprie de cybersecurite.
Ce que cela change pour les entreprises qui utilisent ces modeles
Si vous utilisez ChatGPT, Claude, Mistral ou un autre modele GPAI dans votre entreprise, vous etes deployeur. Les obligations qui pesent sur vous :
- Article 4 (AI Literacy) : former vos collaborateurs a l usage de ces outils. Voir notre page AI Literacy.
- Article 50 (transparence) : si vous integrez ces modeles dans un chatbot ou un generateur de contenu, vous devez respecter les obligations de transparence. Voir Article 50.
- Verification du fournisseur : vous assurer que votre fournisseur GPAI respecte ses obligations (resume des donnees d entrainement publie, politique de droit d auteur).
- Donnees personnelles : ne pas envoyer de donnees personnelles ou confidentielles vers un modele GPAI sans verification (cumul RGPD).
Vos collaborateurs utilisent probablement ChatGPT, Claude ou Gemini sans que vous le sachiez (en navigateur, depuis leur smartphone). C est ce qu on appelle le shadow AI. Sans politique d encadrement et sans formation, vous etes en non-conformite avec l Article 4. Voir nos formations AI Act.
Code de bonnes pratiques GPAI
La Commission europeenne, via l AI Office, a publie un code de bonnes pratiques pour les fournisseurs de modeles GPAI. Ce code, volontaire, permet aux fournisseurs de demontrer leur conformite. Plusieurs grands acteurs (Anthropic, Google, OpenAI, Mistral) ont signe ou negocient leur adhesion.
Pour comprendre l ensemble du dispositif, voir le guide complet AI Act, la page niveaux de risque et nos formations AI Act.