AI ActAI ActGPAILLM
Les modèles d'IA à usage général (GPAI)
L'AI Act crée un régime spécifique pour les modèles d'IA à usage général (GPAI — General Purpose AI), aux articles 51 à 56. Ces modèles, entraînés sur de grandes quantités de données et capables de réaliser une très grande variété de tâches, posent des défis réglementaires particuliers car ils ne sont pas conçus pour un usage déterminé à l'avance. Les grands modèles de langage (LLM) comme GPT-4, Gemini ou Claude en sont les exemples les plus connus.
Qu'est-ce qu'un modèle GPAI (article 3(63) AI Act) ?
Un modèle d'IA à usage général est un modèle qui :
Important : un modèle GPAI intégré dans un système d'IA à haut risque (ex : utilisé pour des décisions de crédit) est soumis en plus aux obligations applicables aux systèmes à haut risque.
- Est entraîné sur un grand volume de données à l'aide de l'auto-supervision à grande échelle.
- Présente une généralité significative : il est capable de réaliser de manière compétente un large éventail de tâches distinctes.
- Peut être intégré dans une variété de systèmes ou d'applications en aval.
Important : un modèle GPAI intégré dans un système d'IA à haut risque (ex : utilisé pour des décisions de crédit) est soumis en plus aux obligations applicables aux systèmes à haut risque.
Deux niveaux d'obligations selon le risque systémique
L'AI Act distingue deux catégories de fournisseurs de modèles GPAI selon leur puissance de calcul :
Tous les fournisseurs de modèles GPAI (article 53) :
Tous les fournisseurs de modèles GPAI (article 53) :
- Établir et tenir à jour une documentation technique sur le modèle (architecture, données d'entraînement, capacités, limitations).
- Fournir aux intégrateurs (fournisseurs de systèmes en aval) les informations nécessaires pour respecter leurs propres obligations.
- Mettre en place une politique de respect du droit d'auteur et publier un résumé des données d'entraînement utilisées.
- S'enregistrer dans la base de données EU de l'IA (article 71).
- Réaliser des évaluations de modèle (red-teaming, tests adversariaux).
- Évaluer et atténuer les risques systémiques identifiés.
- Notifier à la Commission tout incident grave lié au modèle.
- Mettre en place des mesures de cybersécurité pour protéger le modèle.
Obligations liées au droit d'auteur (article 53(1)(c))
Les fournisseurs de modèles GPAI doivent respecter le droit de l'Union en matière de droit d'auteur, notamment la directive sur le droit d'auteur dans le marché unique numérique (2019/790). Concrètement :
- Ils doivent identifier et respecter les réserves d'exploitation (opt-out) des titulaires de droits qui ont explicitement exclu leurs œuvres de la fouille de textes et de données.
- Ils doivent publier un résumé suffisamment détaillé des données utilisées pour l'entraînement (sans obligation de divulgation exhaustive).
Gouvernance : le Bureau de l'IA
La Commission européenne a créé un Bureau de l'IA (AI Office) chargé de la supervision des modèles GPAI à l'échelon européen. Ce bureau :
- Est compétent pour surveiller les fournisseurs de modèles GPAI dans tous les États membres.
- Peut mener des évaluations de modèles et exiger des mesures correctives.
- Coordonne la coopération entre les autorités nationales compétentes pour l'AI Act.
Articles clés à connaître
- Article 3(63) AI ActDéfinition du modèle d'IA à usage général (GPAI) : entraîné sur de grandes données, généralité significative, intégrable en aval.
- Article 51 AI ActClassification des modèles GPAI à risque systémique : seuil de 10²⁵ FLOPs de puissance de calcul.
- Article 53 AI ActObligations de tous les fournisseurs GPAI : documentation technique, politique droit d'auteur, résumé données d'entraînement.
- Article 55 AI ActObligations supplémentaires pour les modèles GPAI à risque systémique : évaluations, atténuation des risques, notification des incidents.
- Article 99(5) AI ActSanctions GPAI : jusqu'à 15 millions € ou 3 % du CA mondial annuel.
💡 Exemple concret
OpenAI, fournisseur de GPT-4, est soumis aux obligations GPAI de l'article 53 (documentation technique, politique droit d'auteur, résumé des données d'entraînement). GPT-4 dépasse vraisemblablement le seuil de 10²⁵ FLOPs, ce qui le place dans la catégorie GPAI à risque systémique → obligations supplémentaires : red-teaming, atténuation des risques systémiques, notification des incidents graves au Bureau de l'IA. Par contraste, un modèle open source de taille modeste (ex : un petit modèle de 7 milliards de paramètres entraîné sur corpus limité) pourrait ne pas atteindre ces seuils.
Pièges à éviter
- ⚠Un modèle GPAI n'est pas automatiquement un système d'IA à haut risque — c'est un composant. Ce sont les systèmes qui l'intègrent qui peuvent être à haut risque.
- ⚠Le seuil de 10²⁵ FLOPs est une présomption — la Commission peut désigner un modèle à risque systémique même sous ce seuil si elle constate des capacités à impact significatif.
- ⚠Les obligations GPAI s'appliquent au fournisseur du modèle, pas aux entreprises qui l'utilisent via une API — ces dernières sont des intégrateurs soumis à d'autres obligations.
- ⚠Les modèles open source bénéficient d'exemptions partielles si les paramètres sont publiquement accessibles — mais pas totales si le modèle présente un risque systémique.
L'essentiel à retenir
- ✓GPAI = modèle entraîné sur de grandes données, généraliste, intégrable dans des systèmes variés (LLM, modèles multimodaux).
- ✓Deux niveaux : GPAI standard (art. 53) et GPAI à risque systémique > 10²⁵ FLOPs (art. 55, obligations renforcées).
- ✓Obligation universelle : documentation technique + politique droit d'auteur + résumé des données d'entraînement.
- ✓Supervisé par le Bureau de l'IA de la Commission européenne (pas les autorités nationales).
- ✓Sanctions : jusqu'à 15 millions € ou 3 % du CA mondial.