Javascript is required
logo-dastralogo-dastra

ChatGPT et AI Act : quelles obligations pour les organisations européennes ?

ChatGPT et AI Act : quelles obligations pour les organisations européennes ?
Marine Boquien
Marine Boquien
21 mai 2026·8 minutes de lecture

Avec l'entrée en application progressive de l'AI Act, le règlement européen sur l'intelligence artificielle, beaucoup d'organisations se posent des questions sur l'utilisation de l'IA.

Parmi eux, ChatGPT occupe une place centrale. Développé par OpenAI, ChatGPT est un modèle d'intelligence artificielle générative capable de produire du contenu, de générer du texte et de répondre à des questions en temps réel.

ChatGPT est-il concerné par l'AI Act ? Quelles obligations s'appliquent aux entreprises européennes ? Comment assurer sa conformité ? Cet article répond à toutes vos questions sur ChatGPT et l'AI Act.

Qu'est-ce que l'AI Act ?

Le règlement (UE) 2024/1689 du Parlement européen et du Conseil, dit « AI Act », constitue le premier cadre réglementaire horizontal dédié à l'intelligence artificielle au niveau mondial. Adopté le 13 juin 2024 et entré en vigueur le 1er août 2024, il repose sur une approche graduée fondée sur le niveau de risque présenté par les systèmes d'IA.

Le règlement distingue quatre catégories :

  • Risque inacceptable : pratiques interdites (art. 5)
  • Haut risque : systèmes soumis à des exigences strictes avant mise sur le marché (art. 6 à 49)
  • Risque limité : obligations de transparence allégées (art. 50)
  • Risque minimal : aucune obligation spécifique

L'AI Act introduit également un régime sui generis pour les modèles d'IA à usage général (GPAI), définis à l'article 3(63) comme des modèles entraînés sur de larges volumes de données, capables d'effectuer une grande variété de tâches en aval.

ChatGPT est-il dans le champ d'application de l'AI Act ?

Oui. L'AI Act s'applique dès lors qu'un fournisseur met un système d'IA sur le marché de l'Union ou que son système produit des effets à l'intérieur de l'Union (art. 2). OpenAI, en rendant ChatGPT accessible aux utilisateurs européens, est soumis au règlement à ce double titre.

ChatGPT relève de la catégorie des modèles GPAI au sens de l'article 3(63), en raison de sa capacité à accomplir un large spectre de tâches : génération de texte, traduction, résumé, assistance conversationnelle, génération de code, recherche d'informations.

Il convient de distinguer deux niveaux d'obligations :

  • OpenAI, en qualité de fournisseur du modèle GPAI, est directement soumis aux obligations du Chapitre V (art. 53 et suivants).
  • Les déployeurs (entreprises intégrant ChatGPT dans leurs produits ou processus) supportent des obligations propres, distinctes de celles du fournisseur, notamment en vertu de l'article 25.

Pourquoi ChatGPT est particulièrement concerné

1. Obligations spécifiques aux modèles GPAI (Chapitre V)

Tout fournisseur d'un modèle GPAI doit (art. 53) :

  • Établir et tenir à jour la documentation technique du modèle
  • Fournir aux déployeurs les informations et la documentation nécessaires
  • Mettre en place une politique de respect du droit d'auteur en conformité avec la directive (UE) 2019/790
  • Publier un résumé des données d'entraînement utilisées

2. Modèles GPAI à risque systémique

Les modèles GPAI dont la puissance de calcul d'entraînement dépasse 10^25 FLOPs sont présumés présenter un risque systémique (art. 51). Pour ces modèles, les fournisseurs doivent en outre :

  • Procéder à une évaluation des modèles (model evaluation), y compris des tests adversariaux
  • Évaluer et atténuer les risques systémiques
  • Notifier à la Commission européenne tout incident grave
  • Assurer un niveau adéquat de cybersécurité

À ce jour, la qualification de ChatGPT (GPT-4 et versions ultérieures) comme modèle GPAI à risque systémique est vraisemblable au regard du seuil de calcul, mais relève de l'appréciation du Bureau de l'IA (AI Office), institution créée au sein de la Commission pour superviser les modèles GPAI.

3. Obligations de transparence envers les utilisateurs finaux (art. 50)

Les systèmes d'IA générative destinés à interagir directement avec des personnes physiques doivent informer ces dernières de manière claire et intelligible qu'elles interagissent avec une IA. Les contenus synthétiques (texte, image, audio, vidéo) pouvant induire en erreur doivent faire l'objet d'un marquage (watermarking ou métadonnées lisibles par machine).

4. Pratiques interdites (art. 5)

L'AI Act n'interdit pas ChatGPT en tant que tel. Cependant, certains usages de ChatGPT peuvent constituer des pratiques interdites, notamment :

  • Les techniques subliminales ou manipulatoires exploitant les vulnérabilités d'une personne pour altérer son comportement
  • Les systèmes de notation sociale (social scoring) par des autorités publiques
  • L'identification biométrique à distance en temps réel dans des espaces accessibles au public, sauf exceptions strictement encadrées
  • Les systèmes d'inférence d'émotions sur le lieu de travail ou dans les établissements d'enseignement

5. Articulation avec le RGPD

L'AI Act ne se substitue pas au règlement (UE) 2016/679 (RGPD). Les deux textes s'appliquent de manière cumulative. Les organisations utilisant ChatGPT doivent s'assurer de la licéité des traitements de données personnelles effectués via l'outil.

Obligations des déployeurs utilisant ChatGPT

Les entreprises intégrant ChatGPT dans leurs processus internes ou produits (déployeurs au sens de l'art. 3(4)) doivent notamment :

  • Recenser et cartographier les systèmes d'IA utilisés
  • Évaluer le niveau de risque de chaque usage au regard de la classification de l'AI Act
  • Respecter les instructions d'utilisation fournies par OpenAI (art. 25(1))
  • Garantir une supervision humaine effective, en particulier pour les décisions à fort impact
  • Informer les personnes concernées lorsque ChatGPT est utilisé dans un contexte d'interaction directe
  • Documenter les traitements et mesures de conformité

Bonnes pratiques de mise en conformité

A. Politique interne d'utilisation de l'IA

Établir une charte ou politique interne précisant :

  • Les usages autorisés : rédaction assistée, synthèse documentaire, support interne, génération de code, etc.
  • Les usages proscrits : prise de décision automatisée sans supervision humaine dans des domaines sensibles, traitement de données sensibles au sens de l'art. 9 RGPD sans base légale adaptée, conseil juridique ou médical sans validation humaine
  • Les procédures de signalement en cas d'incident ou de dysfonctionnement

B. Gouvernance IA

  • Désigner un référent conformité IA ou s'appuyer sur le DPO existant pour les aspects RGPD
  • Cartographier l'ensemble des systèmes d'IA déployés (AI inventory)
  • Conduire des analyses d'impact relatives à l'IA (AI impact assessment) pour les usages à risque élevé
  • Assurer une documentation continue des usages et des mesures de sécurité
  • Organiser une veille réglementaire, notamment sur les actes délégués et les orientations du Bureau de l'IA

C. Supervision humaine

Le principe de supervision humaine, consacré à l'article 14 pour les systèmes à haut risque et érigé en exigence générale par le règlement, impose que les organisations :

  • Maintiennent un contrôle humain effectif sur les résultats produits par ChatGPT
  • Vérifient et valident les contenus avant toute diffusion externe
  • Mettent en place des mécanismes de détection des biais algorithmiques

Questions fréquentes (FAQ)

ChatGPT est-il soumis à l'AI Act ? Oui. En qualité de modèle GPAI accessible aux utilisateurs européens, ChatGPT relève du Chapitre V de l'AI Act. OpenAI est soumis aux obligations du fournisseur ; les entreprises qui l'utilisent supportent les obligations du déployeur.

Les entreprises peuvent-elles utiliser ChatGPT légalement ? Oui, sous réserve du respect cumulatif des obligations de l'AI Act (transparence, supervision humaine, gestion des risques) et du RGPD (licéité du traitement, information des personnes, encadrement des transferts hors UE).

ChatGPT traite-t-il des données personnelles ? Oui, dans la mesure où les données saisies par les utilisateurs peuvent constituer des données à caractère personnel. Les organisations sont tenues d'encadrer ces traitements conformément au RGPD, notamment en évitant la saisie de données sensibles sans base légale appropriée et en vérifiant les clauses contractuelles conclues avec OpenAI (accord de traitement des données, DPA).

Quels risques pour les entreprises non conformes ? Outre les sanctions pécuniaires prévues à l'article 99 de l'AI Act, les entreprises s'exposent à des sanctions RGPD (jusqu'à 20 millions d'euros ou 4 % du CA mondial), à des risques réputationnels et à des actions en responsabilité civile, notamment en application de la directive sur la responsabilité en matière d'IA (proposition en cours de finalisation).

L'AI Act va-t-il interdire ChatGPT en Europe ? Non. L'AI Act ne vise pas à interdire ChatGPT mais à encadrer ses usages. Seules certaines pratiques spécifiques sont interdites (art. 5), indépendamment de l'outil utilisé pour les mettre en œuvre.

Marine Boquien

Voyez Dastra en action

En quelques minutes, planifiez une démo personnalisée et découvrez comment Dastra peut s’adapter à votre organisation.

Demander une démo
Inscrivez-vous à notre newsletter

Nous vous enverrons quelques emails pour vous tenir informé de notre actualité et des nouveautés de notre solution

* Vous pourrez toujours vous désinscrire sur chaque newsletter.