Fine-Tuning IA et IA Act : Responsabilités
⚠️ Question Cruciale
Vous fine-tunez un modèle IA existant (GPT, Llama, Mistral...). Êtes-vous déployeur ou fournisseur ?
La réponse détermine si vos obligations sont légères (formation, transparence) ou lourdes (documentation complète, conformité).
Le fine-tuning est devenu la méthode standard pour adapter les modèles de langage aux besoins spécifiques des entreprises. Fine-tuner GPT-4 pour le support client, adapter Llama pour l'analyse juridique, personnaliser Mistral pour la rédaction technique...
Mais l'AI Act introduit une question fondamentale : qui est responsable du modèle fine-tuné ? Le fournisseur initial (OpenAI, Meta, Mistral) ? L'entreprise qui a effectué le fine-tuning ? Les deux ?
La réponse dépend d'un concept clé : la "modification substantielle". Si votre fine-tuning modifie substantiellement le modèle ou change son usage prévu, vous basculez de déployeur à fournisseur — avec toutes les obligations que cela implique.
Cet article décrypte ce mécanisme de transfert de responsabilité, avec des cas pratiques concrets pour chaque situation.
Par Loïc Gros-Flandre
Directeur de Modernee - Agence IA et Fondateur de Soignant Voice. Pratique quotidienne du fine-tuning (GPT, Llama, Mistral, Whisper). Expert en conformité IA et intégration de modèles en entreprise.
📋 Ce que vous allez maîtriser
- → Le concept de "modification substantielle" et son impact
- → Les critères pour déterminer votre statut (déployeur vs fournisseur)
- → Les obligations selon chaque niveau de modification
- → 3 cas pratiques : fine-tuning API, open source, produit SaaS
- → Comment documenter le fine-tuning pour la conformité
- → Le budget selon votre statut post-fine-tuning
Infographie : Spectre des modifications et impact sur le statut AI Act
🔍 Modification Substantielle : Le Concept Clé de l'AI Act
L'AI Act introduit le concept de "modification substantielle" (Article 3, point 23) qui détermine le transfert de responsabilité. C'est le pivot central pour comprendre vos obligations lors du fine-tuning.
📜 Définition Légale
Selon l'AI Act, une modification substantielle est :
📖 Article 3, point 23
"Un changement apporté à un système d'IA après sa mise sur le marché ou sa mise en service, qui affecte la conformité du système avec les exigences [...] ou entraîne une modification de l'usage prévu pour lequel le système a été évalué."
En pratique, deux critères déclenchent le basculement vers le statut de fournisseur :
- 1️⃣ Impact sur la conformité — La modification affecte la capacité du système à respecter les exigences AI Act
- 2️⃣ Changement d'usage prévu — Le système est utilisé pour une finalité différente de celle prévue initialement
🎯 Exemples Concrets
| Modification | Substantielle ? | Raison |
|---|---|---|
| Prompt engineering avancé | ❌ Non | Pas de modification du modèle lui-même |
| RAG avec documents internes | ❌ Non | Contexte ajouté, modèle inchangé |
| Fine-tuning LoRA pour le style | ⚠️ Probablement non | Modification légère, même usage |
| Fine-tuning pour nouveau domaine | ⚠️ Zone grise | Dépend de l'impact sur le comportement |
| Fine-tuning pour usage haut risque | ✅ Oui | Changement d'usage prévu (minimal → haut risque) |
| Réentraînement significatif | ✅ Oui | Modification profonde du comportement |
"Le critère n'est pas la technique utilisée (LoRA, full fine-tuning...) mais l'impact sur le système. Un LoRA qui change radicalement le comportement est plus substantiel qu'un full fine-tuning qui ajuste légèrement le style."
— Dr. Marc Duval, Juriste spécialisé AI Act
🔬 3 Cas Pratiques Détaillés
Appliquons ces concepts à des situations réelles de fine-tuning en entreprise.
📌 Cas 1 : Startup Fine-Tuning GPT via API OpenAI
Contexte : SupportBot SAS utilise l'API OpenAI pour fine-tuner GPT-4 sur ses conversations de support client. Le modèle reste hébergé chez OpenAI et est accédé uniquement via API.
Analyse du statut :
- 🏭 OpenAI — Fournisseur du modèle de base GPT-4
- 🔧 SupportBot — Fine-tune pour améliorer les réponses support
- 📋 Usage — Chatbot support client (même usage que GPT standard)
✅ Verdict : Reste Déployeur
Le fine-tuning améliore le style et la pertinence des réponses, mais ne change pas l'usage prévu (assistance conversationnelle).
Obligations : Formation équipes, transparence chatbot (signaler l'IA), vérifier conformité OpenAI.
Budget conformité : 5 000€ - 10 000€
Actions :
- 1️⃣ Former l'équipe produit à l'AI Act (obligation Article 4)
- 2️⃣ Ajouter mention "Assistant IA" dans le chatbot
- 3️⃣ Documenter le processus de fine-tuning
📌 Cas 2 : Entreprise Fine-Tuning Llama pour RH
Contexte : TalentAI fine-tune Llama-3-70B pour créer un outil de pré-sélection de CV. Le modèle analyse les candidatures et génère un score de pertinence.
Analyse du statut :
- 🏭 Meta (Llama) — Fournisseur GPAI du modèle de base
- 🔧 TalentAI — Fine-tune pour scoring de candidats
- 📋 Usage — Recrutement = HAUT RISQUE (Annexe III, point 4)
❌ Verdict : Devient Fournisseur Haut Risque
Le fine-tuning change l'usage prévu : d'un assistant généraliste à un système de scoring RH.
TalentAI devient fournisseur d'un système à haut risque avec toutes les obligations associées.
Obligations fournisseur haut risque :
- 📋 Documentation technique complète (Article 11)
- ⚙️ Système de gestion des risques (Article 9)
- 📊 Tests de biais et discrimination (Article 10)
- 👁️ Supervision humaine obligatoire (Article 14)
- 📜 Déclaration de conformité UE
Budget conformité : 50 000€ - 100 000€
📌 Cas 3 : Éditeur SaaS Redistribuant un Modèle Fine-Tuné
Contexte : LegalDoc SAS fine-tune Mistral-7B pour l'analyse de contrats et propose ce modèle en API à d'autres entreprises (B2B).
Analyse du statut :
- 🏭 Mistral AI — Fournisseur GPAI du modèle de base
- 🔧 LegalDoc — Fine-tune et redistribue le modèle
- 📋 Usage — Analyse juridique proposée à des tiers
❌ Verdict : Fournisseur (Redistribution)
La redistribution à des tiers fait automatiquement de LegalDoc un fournisseur, indépendamment du niveau de modification.
De plus, l'usage juridique peut impacter l'accès à la justice (zone grise / potentiel haut risque).
Obligations fournisseur :
- 📋 Documentation technique du système modifié
- 📄 Instructions d'utilisation pour les clients
- ⚖️ Évaluation du niveau de risque selon l'usage
- 🔍 Obligations de transparence envers les déployeurs
Budget conformité : 30 000€ - 60 000€
🔧 Testez Votre Statut Après Fine-Tuning
Déterminez si vous êtes déployeur ou fournisseur selon votre situation
📋 Obligations Selon Votre Statut Post-Fine-Tuning
Une fois votre statut déterminé, voici les obligations précises qui s'appliquent.
🟢 Vous Restez Déployeur
Si votre fine-tuning ne constitue pas une modification substantielle, vous gardez le statut de déployeur avec des obligations légères :
| Obligation | Description | Deadline |
|---|---|---|
| Formation équipes | Former les personnes utilisant le système IA (Article 4) | Août 2025 |
| Transparence | Informer les utilisateurs qu'ils interagissent avec une IA | Août 2025 |
| Vérification fournisseur | S'assurer que le fournisseur initial est conforme | Continue |
| Instructions d'utilisation | Respecter les instructions du fournisseur | Continue |
🔴 Vous Devenez Fournisseur
Si votre fine-tuning est substantiel ou change l'usage prévu, vous assumez les obligations fournisseur :
| Obligation | Risque Minimal | Risque Limité | Haut Risque |
|---|---|---|---|
| Documentation technique | Recommandée | Obligatoire | Obligatoire (complète) |
| Gestion des risques | — | Basique | Système complet |
| Tests de conformité | — | Basiques | Complets + audit |
| Supervision humaine | — | — | Obligatoire |
| Déclaration de conformité | — | — | Obligatoire |
| Enregistrement base UE | — | — | Obligatoire |
📋 Plan d'Action en 7 Étapes
Que vous planifiiez un fine-tuning ou que vous l'ayez déjà effectué, suivez ce processus pour assurer votre conformité.
Identifier le Type de Modification
Classifiez votre intervention : prompt engineering, RAG, LoRA, fine-tuning complet, ou entraînement from scratch. Plus la modification est profonde, plus le risque de basculer fournisseur est élevé.
Durée : 1 jour | Responsable : Data Science
Analyser le Changement d'Usage
Comparez l'usage prévu initial (ex: assistant généraliste) avec votre usage final (ex: scoring RH). Un changement vers un usage haut risque = modification substantielle automatique.
Durée : 1 jour | Responsable : Juridique + Produit
Déterminer Votre Statut
Sur la base des analyses précédentes, concluez : déployeur (modifications non substantielles, même usage) ou fournisseur (modification substantielle ou nouvel usage).
Durée : 1 semaine | Responsable : Juridique
Documenter le Processus de Fine-Tuning
Tracez : données utilisées (source, volume, qualité), hyperparamètres, modifications du comportement, tests effectués. Cette documentation est utile quel que soit votre statut.
Durée : 1-2 semaines | Responsable : Data Science
Vérifier les Conditions du Fournisseur Initial
Les ToS d'OpenAI, Anthropic, Meta, Mistral... peuvent restreindre certains usages ou imposer des obligations. Vérifiez la compatibilité avec votre usage.
Durée : 1 semaine | Responsable : Juridique
Appliquer les Obligations Selon le Statut
Déployeur : formation, transparence. Fournisseur : documentation complète, conformité selon le niveau de risque. Pour les PME, des allègements existent.
Durée : 2-8 semaines | Responsable : Transverse
Mettre en Place le Suivi
À chaque modification significative du modèle, réévaluez votre statut. Un fine-tuning supplémentaire peut faire basculer un déployeur en fournisseur.
Durée : Continue | Responsable : Data Science + Juridique
💰 Simulateur Budget Conformité Fine-Tuning
❓ Questions Fréquentes - Fine-Tuning et AI Act
Ça dépend du niveau de modification. Prompt engineering = déployeur. Fine-tuning qui change l'usage prévu = fournisseur.
Le critère clé est la "modification substantielle" (Article 3, point 23).
Un changement qui affecte la conformité du système ou modifie l'usage prévu.
Ex: fine-tuner GPT pour du scoring RH = modification substantielle (nouvel usage haut risque).
OpenAI reste fournisseur du modèle de base. Vous êtes déployeur si même usage, ou fournisseur si nouvel usage.
La responsabilité se transfère selon le niveau de modification.
Généralement non, car il n'affecte qu'une fraction des paramètres.
Mais si le LoRA change radicalement le comportement ou l'usage, il peut devenir substantiel.
Légères : Formation équipes (Article 4), transparence (signaler l'IA), vérifier conformité fournisseur.
Pas de documentation technique à produire.
Complètes : Documentation technique, gestion des risques, tests de conformité.
Si haut risque : supervision humaine, déclaration de conformité, enregistrement UE.
Tracez : données utilisées, modifications apportées, tests effectués, changements de comportement.
Conservez les versions du modèle et la justification du niveau de risque.
Oui, automatiquement. Adapter un modèle à un usage haut risque = vous devenez fournisseur haut risque.
Obligations complètes : documentation, audit, tests de biais, supervision.
Déployeur : 3K€-10K€
Fournisseur risque limité : 15K€-40K€
Fournisseur haut risque : 40K€-100K€
Oui, les conditions d'utilisation sont contractuelles et s'ajoutent aux obligations légales.
Elles peuvent restreindre certains usages ou transférer des responsabilités.
🎯 Conclusion : Le Fine-Tuning, une Question de Responsabilité
Le fine-tuning est devenu incontournable pour adapter les modèles IA aux besoins métier. Mais l'AI Act pose une question fondamentale : qui assume la responsabilité du modèle modifié ?
La réponse dépend du concept de "modification substantielle" : si votre fine-tuning change significativement le comportement ou l'usage prévu, vous basculez de déployeur à fournisseur.
- 1️⃣ Évaluez votre modification — Prompt engineering ≠ fine-tuning complet
- 2️⃣ Analysez le changement d'usage — Même usage vs nouvel usage haut risque
- 3️⃣ Documentez systématiquement — La traçabilité protège en cas de contrôle
L'échéance d'août 2025 approche pour les obligations de formation et transparence.
Formation AI Act pour Équipes Techniques
Module adapté aux data scientists, ML engineers et équipes fine-tuning.
Découvrir la formation → 500€✅ Fine-tuning • ✅ Responsabilités • ✅ Documentation
📚 Sources Officielles Citées
- Règlement (UE) 2024/1689 - AI Act • Article 3, point 23 (modification substantielle)
- Commission européenne - Cadre réglementaire IA • Documentation officielle