AI Act phase deux : quels changements à partir du 2 août ?

Cela fait presque un an que la Loi sur l'Intelligence Artificielle de l'UE est officiellement entrée en vigueur. Bien que certains jalons, tels que la publication du Code de Pratique pour l'IA à usage général (GPAI), aient connu des retards, la prochaine étape majeure est désormais imminente.

Le 2 août 2025, plusieurs dispositions clés de la Loi sur l'IA deviendront juridiquement contraignantes. Celles-ci incluent :

• Les règles de gouvernance, à savoir la gouvernance au niveau de l'Union et les autorités nationales compétentes ; et

• Les obligations pour les modèles d'IA à usage général

Ci-dessous, nous explorons ce que ces changements signifient en pratique et ce que les organisations doivent faire pour se préparer. Cela comprend le modèle de Bureau de l'IA pour le résumé public des contenus de formation pour les modèles GPAI, comme expliqué ci-dessous.**

Pour plus d'informations sur le calendrier, reportez-vous ici à la chronologie officielle.

Sur les obligations des fournisseurs de GPAI

Les fournisseurs de modèles GPAI, qu'il s'agisse de développeurs originaux ou de ceux qui modifient de manière substantielle le modèle GPAI avant de le mettre sur le marché, doivent se conformer au Chapitre V de la Loi sur l'IA, à partir du 2 août.

Vérifiez dans cet article si vous êtes considérés comme un fournisseur de GPAI.

Catégorie de modèle	Champ d'application & définition	Base légale	Obligations détaillées
Fournisseur d'un GPAI	Article 3(63) de la Loi sur l'IA Le calcul d'entraînement du modèle est supérieur à 10^23 FLOP. Il est capable d'effectuer une large gamme de tâches distinctes comme générer du langage (texte ou audio), texte en image ou texte en vidéo.	Article 53 de la Loi sur l'IA	Développer et maintenir une documentation technique à jour pour le modèle, couvrant ses processus d'entraînement et de test, ainsi que les résultats des évaluations de performance. Cette documentation doit être mise à disposition sur demande auprès du Bureau de l'IA et des autorités compétentes. Préparer des documents et paquets d'information complets pour les fournisseurs en aval souhaitant intégrer le modèle dans leurs propres systèmes d'IA. Mettre en œuvre et maintenir une politique de conformité alignée avec la législation sur le droit d'auteur de l'UE, garantissant une utilisation légale du contenu protégé lors du développement du modèle. Publier un résumé détaillé du contenu des données d'entraînement, suivant le format fourni par le modèle du Bureau de l'UE, pour assurer transparence et responsabilité.
Fournisseur d'un GPAI avec risque systémique	Article 3(65) de la Loi sur l'IA a des capacités à fort impact, à savoir que 'elles correspondent ou dépassent celles enregistrées dans les modèles les plus avancés'. Ceci est présumé lorsque le calcul d'entraînement du modèle dépasse 10^25 FLOPs désigné comme tel ex officio par la Commission ou sur la base d'alertes concernant ses capacités à fort impact provenant du panel scientifique. Une liste de modèles présentant un risque systémique sera publiée et régulièrement mise à jour, garantissant un contrôle accru de leur déploiement.	Article 55 de la Loi sur l'IA	Réaliser des évaluations de modèle à la pointe de la technologie en utilisant des protocoles et des outils standardisés, y compris la mise en œuvre et la documentation de tests adversariaux pour identifier et atténuer les risques systémiques potentiels. Évaluer et atténuer en continu les risques systémiques, y compris identifier leurs causes profondes et mettre en œuvre des stratégies appropriées de réduction des risques. Surveiller, documenter et signaler tout incident grave et les actions correctives proposées au Bureau de l'IA et aux autorités nationales pertinentes sans délai injustifié. Maintenir et appliquer un niveau approprié de cybersécurité pour protéger l'intégrité, la disponibilité et la confidentialité du modèle et de ses composants.

En dehors de l'UE ?

Pour les fournisseurs non-UE, il est obligatoire de nommer un représentant autorisé basé dans l'UE (Article 54 de la Loi sur l'IA).

Ce représentant agit comme principal point de contact pour les autorités européennes, examine la documentation technique et coopère avec les autorités pour garantir le respect des obligations réglementaires.

Le code de pratique : un cheminement volontaire vers la conformité

Cela doit être lu en conjonction avec le Code de Pratique GPAI de la Commission Européenne, qui fournit un cadre de référence clé pour les parties prenantes tout au long de la chaîne de valeur de l'IA, des développeurs de modèles à grande échelle aux start-ups et PME, cherchant à s'aligner sur les obligations à venir liées au GPAI dans le cadre de la Loi sur l'IA.

Le Code est un outil volontaire destiné à aider les fournisseurs de modèles GPAI opérant ou ciblant le marché de l'UE à démontrer leur conformité avec les Articles 53 et 55 de la Loi sur l'IA.

Cependant, le Code de Pratique reste sujet à évaluation par les États Membres et la Commission Européenne, qui peuvent finalement l'approuver par une décision d'adéquation (par le Bureau de l'IA et le Conseil de l'IA).

Certains fournisseurs de modèles GPAI adoptent l'approche prudente qui consiste à attendre l'issue de l'évaluation du Bureau de l'IA et du Conseil de l'IA, et de préférence l'adoption de l'acte d'exécution de la Commission, avant de prendre la décision d'adhérer au Code.

Qui est en charge ? La course à la nomination des autorités de surveillance

Les États Membres doivent désigner des autorités de surveillance du marché. Ces organismes seront habilités à enquêter, interdire ou sanctionner l'utilisation de pratiques d'IA interdites.

• Cependant, dans de nombreux États Membres (par exemple, l'Espagne), ces autorités n'ont pas encore été officiellement nommées. C'est également le cas en France.

• En attendant, les autorités de protection des données (DPA) conservent le pouvoir d'agir si des systèmes d'IA prohibés traitent des données personnelles en violation du RGPD. L'AEPD a récemment confirmé sa position.