À partir du 2 août 2025, les entités fournissant des modèles d’intelligence artificielle (GPAI) à usage général au sein de l’Union européenne doivent adhérer à des stipulations spécifiques décrites dans le ACT de l’UE AIy compris le maintien de la documentation technique actuelle et des résumés de données de formation.
La loi sur l’IA est un cadre législatif complet conçu pour établir des normes pour le développement éthique et sûr et le déploiement des technologies de l’IA. Ce règlement adopte une approche basée sur les risques, catégorisant les systèmes d’IA en fonction de leurs risques potentiels et de leurs impact sur les individus et la société au sein de l’Union européenne.
Bien que des exigences spécifiques pour les fournisseurs de modèles GPAI deviennent exécutoires le 2 août 2025, une période de grâce d’un an a été établie, permettant aux entreprises de se conformer pleinement sans faire face à des pénalités jusqu’au 2 août 2026. Cette période de grâce est destinée à faciliter une transition en douceur vers le nouveau paysage réglementaire.
Les prestataires de modèles GPAI doivent être conscients et adhérer à cinq ensembles clés de réglementations à compter du 2 août 2025. Celles-ci englobent divers aspects de la gouvernance, de l’évaluation et des pénalités de l’IA.
Le premier ensemble de règles concerne les organismes notifiés, comme stipulé au chapitre III, article 4 de la loi sur l’UE AI. Les prestataires de modèles GPAI à haut risque doivent se préparer à s’engager avec ces organismes pour les évaluations de la conformité et à comprendre le cadre réglementaire régissant ces évaluations. Les organismes notifiés sont des organisations désignées chargées d’évaluer la conformité de produits ou de services spécifiques avec les réglementations applicables de l’UE.
Le deuxième ensemble de règles, détaillé dans le chapitre V de la loi, aborde spécifiquement les modèles GPAI. Cette section décrit les exigences en matière de documentation technique, de résumés de données de formation et de mesures de transparence que les fournisseurs de modèles GPAI doivent mettre en œuvre.
Le troisième ensemble de règles, trouvé dans le chapitre VII, concerne la gouvernance. Cette section définit la gouvernance et l’architecture d’application aux niveaux de l’UE et nationale. Il oblige la coopération avec l’Office de l’UE de l’IA, le Board européen de l’IA, le panel scientifique et les autorités nationales pour remplir les obligations de conformité, répondre aux demandes de surveillance et participer aux processus de surveillance des risques et de signalement des incidents.
Le quatrième ensemble de règles, décrit à l’article 78, se concentre sur la confidentialité. Toutes les demandes de données faites par les autorités aux fournisseurs de modèles GPAI doivent être légalement justifiées, gérées en toute sécurité et soumises à des protections de confidentialité, en particulier concernant la propriété intellectuelle, les secrets commerciaux et le code source. Cela garantit la protection des informations commerciales sensibles lors de la surveillance réglementaire.
L’ensemble final de règles, trouvé dans les articles 99 et 100, spécifie les pénalités de non-conformité. Ces pénalités sont conçues pour garantir l’adhésion aux dispositions de la loi sur l’IA et peuvent être substantielles.
Les systèmes d’IA à haut risque sont définis comme ceux qui présentent une menace importante pour la santé, la sécurité ou les droits fondamentaux. Ces systèmes sont classés en deux groupes principaux. Premièrement, ceux utilisés comme composants de sécurité des produits régis par les lois sur la sécurité des produits de l’UE. Deuxièmement, ceux déployés dans des cas d’utilisation sensible, qui comprennent l’identification biométrique, la gestion des infrastructures critiques, l’éducation, l’emploi et les RH et les forces de l’ordre.
Les modèles GPAI, qui peuvent être appliqués dans plusieurs domaines, sont considérés comme un «risque systémique» s’ils dépassent 10 ^ 25 opérations à virgule flottante exécutées par seconde (flops) pendant la formation et sont désignées comme telles par l’Office de l’UE AI. Des exemples importants de modèles GPAI qui répondent à ces critères incluent le chatpt d’Openai, le lama de Meta et les Gémeaux de Google.
Tous les fournisseurs de modèles GPAI sont tenus de maintenir une documentation technique complète, un résumé des données de formation, une politique de conformité au droit d’auteur, des conseils pour les déploieurs en aval et des mesures de transparence concernant les capacités, les limitations et l’utilisation prévue. Cette documentation sert à fournir une clarté et une responsabilité dans le développement et le déploiement des systèmes d’IA.
Les prestataires de modèles GPAI qui présentent un risque systémique sont confrontés à des exigences supplémentaires. Ils doivent effectuer des évaluations du modèle, signaler les incidents, mettre en œuvre des stratégies d’atténuation des risques et des garanties de cybersécurité, divulguer la consommation d’énergie et effectuer une surveillance post-commerciale. Ces mesures visent à aborder les risques accrus associés à des modèles d’IA plus puissants et largement utilisés.
En ce qui concerne les pénalités, les prestataires de modèles GPAI peuvent encourir des amendes pouvant aller jusqu’à 35 000 000 € ou 7% de leur chiffre d’affaires annuel mondial total, selon les plus élevés, pour la non-conformité des pratiques d’IA interdites, telles que définies dans l’article 5.
D’autres violations des obligations réglementaires, telles que celles liées à la transparence, à la gestion des risques ou aux responsabilités de déploiement, peuvent entraîner des amendes pouvant aller jusqu’à 15 000 000 ou 3% du chiffre d’affaires. Ces pénalités sont conçues pour garantir l’adhésion aux exigences plus larges de la loi sur l’IA.
La fourniture d’informations trompeuses ou incomplètes aux autorités peut entraîner des amendes pouvant aller jusqu’à 7500 000 € ou 1% du chiffre d’affaires. Cette disposition souligne l’importance d’une communication précise et transparente avec les organismes de réglementation.
Pour les petites et moyennes entreprises (PME) et les startups, le plus faible de la quantité ou du pourcentage fixe s’applique lors du calcul des pénalités. La gravité de la violation, son impact, la coopération du fournisseur et si la violation était intentionnelle ou négligente est tous pris en compte lors de la détermination de la pénalité appropriée.
Pour faciliter la conformité, la Commission européenne a publié le Code de pratique de l’IA, un cadre volontaire que les entreprises technologiques peuvent adopter pour mettre en œuvre et respecter la loi sur l’IA. Des sociétés telles que Google, Openai et Anthropic s’y sont engagées, tandis que Meta a publiquement refusé de protester contre la législation sous sa forme actuelle.
La Commission prévoit de publier des directives supplémentaires avec le Code de pratique de l’IA avant le 2 août 2025, qui clarifiera quelles entreprises sont admissibles en tant que fournisseurs de modèles à usage général et de modèles d’IA à usage général présentant un risque systémique. Ces lignes directrices visent à fournir une clarté et un soutien supplémentaires aux entreprises qui naviguent dans le paysage réglementaire.
La loi sur l’UE AI a été officiellement publiée dans le Journal officiel de l’UE le 12 juillet 2024 et est entrée en vigueur le 1er août 2024. Cependant, la mise en œuvre de ses diverses dispositions est supprimée en plusieurs années.
- Le 2 février 2025, certains systèmes d’IA considérés comme pose des risques inacceptables, tels que ceux utilisés pour la notation sociale ou la surveillance biométrique en temps réel en public, ont été interdits. De plus, les entreprises qui développent ou utilisent l’IA sont nécessaires pour s’assurer que leur personnel a un niveau suffisant d’alphabétisation de l’IA.
- Le 2 août 2026, les modèles GPAI placés sur le marché après le 2 août 2025 doivent être entièrement conformes à la loi UE AI. En outre, les règles de certains systèmes d’IA à haut risque répertoriés commencent également à s’appliquer à celles placées sur le marché après cette date et à celles placées sur le marché avant cette date qui ont subi une modification substantielle depuis.
- Le 2 août 2027, les modèles GPAI placés sur le marché avant le 2 août 2025 doivent être mis en conformité. Les systèmes à haut risque utilisés comme composants de sécurité des produits régis par les lois sur la sécurité des produits de l’UE doivent également être conformes aux obligations plus strictes à partir de cette date.
- D’ici le 2 août 2030, les systèmes d’IA utilisés par les organisations du secteur public qui relèvent de la catégorie à haut risque doivent se conformer à la loi sur l’IA de l’UE.
Enfin, d’ici le 31 décembre 2030, des systèmes d’IA qui sont des composants de systèmes informatiques spécifiques à grande échelle et ont été placés sur le marché avant le 2 août 2027, doivent être mis en conformité. Cela marque la date limite finale pour obtenir une compliance généralisée dans divers secteurs et applications.
Malgré ces dates de mise en œuvre progressives, un groupe représentant Apple, Google, Meta et d’autres sociétés ont exhorté les régulateurs à reporter la mise en œuvre de la loi d’au moins deux ans. Cette demande a finalement été rejetée par l’UE, soulignant l’engagement envers le calendrier établi.
