IA Open Source et IA Act : Obligations Allégées
⚠️ Open Source ≠ Carte Blanche
L'AI Act prévoit bien un régime allégé pour l'open source. Mais attention aux 3 conditions strictes et aux nombreuses exceptions.
Les modèles GPAI (Llama, Mistral, Falcon) ne bénéficient pas de l'exemption complète.
L'écosystème open source a joué un rôle majeur dans le développement de l'IA. TensorFlow, PyTorch, Hugging Face, Llama, Mistral... Sans l'open source, l'IA ne serait pas ce qu'elle est aujourd'hui.
Bonne nouvelle : les législateurs européens ont reconnu cette réalité. L'AI Act prévoit un régime spécifique pour les modèles IA open source, avec des obligations allégées.
Mais — et c'est crucial — ce régime a des conditions strictes et des limites importantes. L'exemption ne couvre pas les modèles GPAI, ne s'applique pas dès qu'il y a exploitation commerciale, et ne protège jamais contre les pratiques interdites.
Cet article décrypte ce régime spécifique : qui peut en bénéficier, dans quelles conditions, et surtout quelles sont les limites à connaître.
Par Loïc Gros-Flandre
Directeur de Modernee - Agence IA et Fondateur de Soignant Voice. Utilisateur quotidien de modèles open source (Llama, Mistral, Whisper). Expert en conformité IA et intégration de l'open source en entreprise.
📋 Ce que vous allez maîtriser
- → Les 3 conditions pour bénéficier de l'exemption open source
- → Les exceptions : GPAI, haut risque, pratiques interdites
- → La différence entre développeur OSS et intégrateur commercial
- → 3 cas pratiques : contributeur, startup, grande entreprise
- → Les obligations qui subsistent malgré l'exemption
- → Comment prouver l'éligibilité à l'exemption
Infographie : Régime open source AI Act - Conditions et limites
🔓 Le Régime Open Source de l'AI Act : Ce Que Dit le Texte
L'Article 2(12) de l'AI Act définit le régime spécifique pour les modèles IA open source. C'est une exemption partielle, pas une exemption totale.
📜 Les 3 Conditions Cumulatives
Pour bénéficier de l'exemption open source, un modèle IA doit remplir les 3 conditions suivantes simultanément :
Licence OSI Approuvée
Le modèle doit être distribué sous une licence approuvée par l'Open Source Initiative. Exemples : MIT, Apache 2.0, GPL, BSD, Mozilla Public License.
Attention : Les licences "open weights" restrictives (comme certaines licences Llama) peuvent ne pas être considérées comme vraiment OSI.
Paramètres Publiquement Accessibles
Les poids (weights) et paramètres du modèle doivent être publiés et accessibles à tous. Un modèle dont seule l'API est accessible (sans les poids) ne remplit pas cette condition.
Exemple valide : Modèle sur Hugging Face avec fichiers .bin/.safetensors téléchargeables.
Pas d'Activité Commerciale Directe
Le développeur ne doit pas tirer de revenus commerciaux directs de ce modèle spécifique. Services payants, API commerciale, support premium... tout cela fait perdre l'exemption.
Nuance : Un développeur peut avoir des revenus par ailleurs, mais pas sur ce modèle précis.
🚫 Les Exceptions : Quand l'Exemption Ne S'applique Pas
Même si les 3 conditions sont remplies, l'exemption ne s'applique pas dans certains cas :
| Exception | Explication | Exemples |
|---|---|---|
| Modèles GPAI | Les modèles d'IA à usage général (>10²⁵ FLOP) restent soumis au Chapitre V | Llama 2/3, Mistral, Falcon, Gemma |
| Systèmes haut risque | Si utilisé dans un contexte haut risque, obligations complètes | Modèle OSS pour recrutement, crédit |
| Pratiques interdites | L'Article 5 s'applique toujours, open source ou non | Scoring social, manipulation subliminale |
| Intégration commerciale | L'intégrateur devient fournisseur, pas le développeur OSS | Startup utilisant Llama pour son produit |
"L'exemption open source protège les développeurs bénévoles et la recherche. Elle ne protège pas les entreprises qui commercialisent des produits basés sur l'open source."
— Dr. Marc Duval, Juriste spécialisé AI Act
🔬 3 Cas Pratiques Détaillés
Appliquons ce régime à des situations concrètes pour bien comprendre les nuances.
📌 Cas 1 : Développeur Individuel OSS
Contexte : Marie, data scientist, développe sur son temps libre un modèle de classification d'images pour identifier des espèces de plantes. Elle publie le modèle sur Hugging Face sous licence Apache 2.0.
Analyse :
- ✅ Licence OSI — Apache 2.0 est approuvée OSI
- ✅ Paramètres publics — Poids téléchargeables sur Hugging Face
- ✅ Pas de revenus — Projet personnel, pas de monétisation
✅ Verdict : Exemptée
Marie bénéficie de l'exemption open source. Elle n'a aucune obligation AI Act spécifique pour ce modèle.
Mais attention : Si elle lance une API payante pour ce modèle, elle perd immédiatement l'exemption.
📌 Cas 2 : Startup Utilisant un Modèle Open Source
Contexte : LegalTech SAS développe un assistant juridique basé sur Mistral-7B (open source). Le produit est vendu en SaaS à des cabinets d'avocats.
Analyse :
- ❌ Mistral AI — Bénéficie de l'exemption OSS ? Non, c'est un modèle GPAI
- ❌ LegalTech SAS — Bénéficie de l'exemption ? Non, c'est un intégrateur commercial
- ⚠️ Usage — Conseil juridique = potentiellement impact sur l'accès à la justice
❌ Verdict : Non Exemptée
LegalTech SAS est fournisseur d'un système IA au sens de l'AI Act. Le fait d'utiliser Mistral open source ne change rien.
Obligations : Classification du risque, documentation, potentiellement obligations haut risque si impact juridique significatif.
Budget conformité : 20 000€ - 50 000€
📌 Cas 3 : Grande Entreprise Fine-Tuning un Modèle OSS
Contexte : BanqueNationale SA fine-tune Llama-3 pour son chatbot de service client interne. Le modèle n'est pas redistribué, uniquement utilisé en interne.
Analyse :
- ⚠️ Meta (Llama) — Fournisseur GPAI, obligations Chapitre V
- 🔧 BanqueNationale — Déployeur du système IA
- 📋 Usage interne — Chatbot service client = risque limité (transparence)
⚠️ Verdict : Obligations Déployeur
BanqueNationale n'est pas fournisseur (pas de redistribution), mais elle est déployeur.
Obligations : Formation des équipes (Article 4), transparence chatbot (signaler l'IA), vérifier conformité fournisseur Meta.
Budget conformité : 8 000€ - 15 000€
🐙 Testez Votre Éligibilité à l'Exemption Open Source
Votre projet IA open source bénéficie-t-il de l'exemption AI Act ?
🧠 Focus : Modèles GPAI Open Source (Llama, Mistral, Falcon...)
Les grands modèles de langage open source sont un cas particulier. Ils bénéficient d'obligations allégées par rapport aux GPAI propriétaires, mais pas d'une exemption totale.
📊 Ce Que Prévoit l'AI Act pour les GPAI Open Source
Le Chapitre V de l'AI Act (modèles GPAI) prévoit un régime différencié :
| Obligation | GPAI Propriétaire | GPAI Open Source |
|---|---|---|
| Documentation technique | Complète et détaillée | Allégée (résumé suffisant) |
| Politique droits d'auteur | Obligatoire | Obligatoire |
| Coopération avec déployeurs | Obligatoire | Allégée (documentation publique) |
| Si risque systémique (>10²⁵ FLOP) | Évaluation, tests adverses, incidents | Mêmes obligations (pas d'allègement) |
⚠️ Attention : Risque Systémique
Les modèles dépassant le seuil de 10²⁵ FLOP (Llama-3 70B, Mistral Large...) sont présumés à risque systémique.
Pour ces modèles, l'open source ne réduit aucune obligation. Évaluations, tests adverses, signalement d'incidents... tout s'applique.
🏢 Qui Est Concerné ?
Les principaux fournisseurs de GPAI open source :
- 🦙 Meta (Llama) — Fournisseur GPAI, obligations Chapitre V
- 🌪️ Mistral AI — Fournisseur GPAI, entreprise française
- 🦅 TII (Falcon) — Fournisseur GPAI, Émirats mais opère en UE
- 💎 Google (Gemma) — Fournisseur GPAI
- 🤗 Hugging Face — Rôle mixte (plateforme + propres modèles)
"L'open source ne change pas la responsabilité fondamentale. Si vous développez un modèle capable de générer du contenu à grande échelle, vous avez une responsabilité envers la société."
— Arthur Mensch, CEO Mistral AI
📋 Les Obligations Qui Subsistent Malgré l'Exemption
Même avec l'exemption open source, certaines obligations s'appliquent toujours.
🚫 Pratiques Interdites (Article 5)
Les interdictions s'appliquent à tous les systèmes IA, sans exception :
- ❌ Manipulation subliminale ou trompeuse
- ❌ Exploitation des vulnérabilités (âge, handicap)
- ❌ Scoring social par les autorités publiques
- ❌ Reconnaissance faciale temps réel (sauf exceptions)
- ❌ Catégorisation biométrique (origine, orientation...)
🚨 Aucune Exemption pour les Interdictions
Publier un modèle open source conçu pour du scoring social ou de la manipulation reste interdit.
Sanction : jusqu'à 35M€ ou 7% du CA mondial.
📢 Transparence Minimale
Même exempté, un développeur open source devrait :
- 📄 Documenter les capacités et limites du modèle (model card)
- ⚠️ Avertir des usages potentiellement problématiques
- 🔍 Indiquer les données d'entraînement (si possible)
Ce n'est pas une obligation légale pour les exemptés, mais c'est une bonne pratique qui évite la responsabilité civile.
🎓 Formation des Équipes
Si vous utilisez des modèles open source dans votre entreprise (même si le développeur est exempté), l'obligation de formation Article 4 s'applique à vos équipes.
📋 Plan d'Action en 7 Étapes
Que vous soyez développeur OSS, intégrateur ou déployeur, voici comment naviguer le régime open source AI Act.
Déterminer Votre Rôle
Êtes-vous développeur OSS (créateur du modèle), intégrateur (produit basé sur OSS), ou déployeur (utilisateur interne) ? Chaque rôle a des obligations différentes.
Durée : 1 jour | Responsable : Direction technique
Vérifier les 3 Conditions d'Exemption
Si vous êtes développeur : licence OSI ? Paramètres publics ? Pas de revenus commerciaux directs ? Les 3 conditions doivent être remplies.
Durée : 1 jour | Responsable : Juridique
Identifier les Exceptions
Votre modèle est-il GPAI (>10²⁵ FLOP) ? Est-il utilisé dans un contexte haut risque ? Les exceptions annulent l'exemption.
Durée : 1 semaine | Responsable : Data Science + Juridique
Documenter l'Origine des Composants
Créez un inventaire des modèles et bibliothèques OSS utilisés. Tracez les licences et vérifiez leur compatibilité.
Durée : 1-2 semaines | Responsable : Équipe technique
Appliquer les Obligations Résiduelles
Même exempté : pas de pratiques interdites, transparence minimale (model card), bonnes pratiques de documentation.
Durée : 1 semaine | Responsable : Développeurs
Former les Équipes (si Déployeur)
Si vous utilisez l'OSS dans votre entreprise, formez vos équipes à l'AI Act. L'exemption du développeur ne vous exempte pas.
Durée : 2-3 semaines | Responsable : RH / Formation
Anticiper le Passage Commercial
Si vous prévoyez de monétiser votre modèle OSS, préparez les obligations fournisseur. Le changement de statut est immédiat.
Durée : Continue | Responsable : Direction
💰 Simulateur Budget - Projet IA Open Source
❓ Questions Fréquentes - IA Open Source et AI Act
Partiellement. L'exemption existe mais avec 3 conditions strictes : licence OSI, paramètres publics, pas de revenus commerciaux.
Et des limites : pas d'exemption pour les GPAI, le haut risque, ou les pratiques interdites.
Pas entièrement. Ce sont des modèles GPAI, soumis au Chapitre V de l'AI Act.
Ils bénéficient d'obligations allégées (documentation simplifiée) mais pas d'une exemption totale.
Non. L'exemption concerne le développeur du modèle, pas l'intégrateur commercial.
Vous devenez fournisseur de votre système IA et devez respecter toutes les obligations correspondantes.
1) Licence OSI approuvée (MIT, Apache, GPL...)
2) Paramètres (poids) publiquement accessibles
3) Pas d'activité commerciale directe sur ce modèle
Les bibliothèques et frameworks ML ne sont pas des systèmes IA au sens de l'AI Act.
Ce sont des outils de développement. Les systèmes construits avec peuvent être concernés.
Oui, avec plusieurs casquettes : plateforme d'hébergement, fournisseur de ses propres modèles.
Pour les modèles tiers hébergés, la responsabilité dépend de son niveau d'intervention.
S'il publie un modèle OSS sans activité commerciale et sous licence OSI : exempté.
S'il commence à vendre des services autour du modèle : il devient fournisseur.
Non, jamais. Les interdictions Article 5 s'appliquent à tous les systèmes IA.
Manipulation, scoring social, reconnaissance faciale temps réel... restent interdits.
Risque minimal : 3K€-8K€
Risque limité : 8K€-20K€
Haut risque : 30K€-80K€
Documentez : 1) Licence OSI (fichier LICENSE), 2) Accès public aux poids, 3) Absence de revenus directs.
Conservez ces preuves pour d'éventuels contrôles.
🎯 Conclusion : Open Source, un Régime Favorable Mais Encadré
L'AI Act reconnaît l'importance de l'écosystème open source avec un régime d'exemption. Mais ce n'est pas une carte blanche.
Les développeurs OSS bénévoles sont protégés. Les chercheurs académiques aussi. Mais dès qu'il y a exploitation commerciale, intégration dans un produit, ou utilisation de modèles GPAI, les obligations s'appliquent.
- 1️⃣ Vérifiez votre rôle — Développeur OSS, intégrateur ou déployeur ?
- 2️⃣ Validez les 3 conditions — Licence OSI, paramètres publics, pas de revenus
- 3️⃣ Identifiez les exceptions — GPAI, haut risque, pratiques interdites
L'échéance d'août 2025 approche. Clarifiez votre situation maintenant.
Formation AI Act pour l'Écosystème Tech
Module adapté aux développeurs, startups et équipes techniques utilisant l'open source.
Découvrir la formation → 500€✅ Open Source • ✅ GPAI • ✅ Intégration commerciale
📚 Sources Officielles Citées
- Règlement (UE) 2024/1689 - AI Act • Journal officiel de l'UE
- Open Source Initiative - Licences approuvées • Référence OSI
- Hugging Face - Model Cards • Bonnes pratiques documentation