Modèles IA et IA Act : Foundation Models
⚡ Régime Spécifique pour les Géants de l'IA
GPT-4, Claude, Gemini, Llama, Mistral... L'AI Act crée un régime dédié aux modèles fondation (Articles 51-55). Sanctions jusqu'à 35M€ ou 7% du CA mondial.
Les grands modèles de langage (LLM) et modèles fondation sont au cœur de la révolution IA. OpenAI, Anthropic, Google, Meta, Mistral... Ces acteurs sont désormais soumis à des obligations spécifiques.
L'AI Act introduit le concept de GPAI (General Purpose AI) pour encadrer ces modèles polyvalents. Un régime à deux niveaux : obligations de base pour tous, obligations renforcées pour les modèles à risque systémique.
Ce guide détaille les obligations pour les fournisseurs de GPAI ET pour les entreprises qui intègrent ces modèles dans leurs systèmes.
Par Loïc Gros-Flandre
Directeur de Modernee - Agence IA & Fondateur de Soignant Voice Application médical. Expert en conformité IA et transformation digitale des entreprises.
📚 Ce que vous allez apprendre
- → La définition des GPAI (modèles fondation)
- → Le seuil de 10²⁵ FLOPS pour le risque systémique
- → Les obligations pour les fournisseurs de GPAI
- → L'exemption partielle pour l'open source
- → L'impact sur les entreprises intégrant des LLM
- → Les cas pratiques : OpenAI, Anthropic, Mistral, Meta
Infographie : Classification des GPAI selon l'AI Act (Articles 51-55)
🤖 Qu'est-ce qu'un Modèle Fondation (GPAI) ?
L'AI Act introduit le concept de GPAI (General Purpose AI) pour encadrer les grands modèles polyvalents.
📜 Définition Officielle (Article 3.63)
GPAI - General Purpose AI
"Un modèle d'IA, y compris lorsqu'il est entraîné sur de grandes quantités de données en utilisant l'auto-supervision à grande échelle, qui présente une généralité significative et est capable d'exécuter avec compétence une large gamme de tâches distinctes."
En termes simples : un modèle entraîné sur beaucoup de données, capable de faire beaucoup de choses différentes.
🎯 Exemples de GPAI
- 🟢 GPT-4 / GPT-4 Turbo (OpenAI) — Texte, code, vision
- 🟠 Claude 3 Opus / Sonnet / Haiku (Anthropic) — Texte, vision
- 🔵 Gemini Ultra / Pro (Google) — Multimodal
- 🟣 Llama 3 8B / 70B / 405B (Meta) — Open source
- 🔴 Mistral 7B / Mixtral / Large (Mistral AI) — Européen
- ⚪ DALL-E 3, Midjourney, Stable Diffusion — Génération d'images
🔄 Différence GPAI vs Système IA
Un GPAI est un modèle de base. Un système IA est une application spécifique.
| Aspect | GPAI (Modèle Fondation) | Système IA |
|---|---|---|
| Nature | Modèle de base polyvalent | Application spécifique |
| Exemple | GPT-4, Claude 3 | Chatbot RH, outil de scoring crédit |
| Régime AI Act | Articles 51-55 (GPAI) | Articles 6-15 (selon risque) |
| Responsable | Fournisseur du modèle | Fournisseur du système final |
⚠️ Point Clé
Un GPAI peut être intégré dans un système haut risque. Dans ce cas, les deux régimes s'appliquent : le fournisseur du GPAI respecte les Articles 51-55, et l'intégrateur respecte les Articles 6-15 pour son système final.
⚡ Le Seuil de 10²⁵ FLOPS : Risque Systémique
L'AI Act distingue deux catégories de GPAI selon leur puissance de calcul d'entraînement.
📊 Qu'est-ce que les FLOPS ?
FLOPS = Floating Point Operations Per Second. C'est une mesure de la puissance de calcul.
10²⁵ FLOPS = 10 000 000 000 000 000 000 000 000 opérations. Un nombre astronomique qui correspond aux plus grands modèles actuels.
🎯 Quels Modèles Dépassent le Seuil ?
| Modèle | Fournisseur | FLOPS estimés | Risque Systémique ? |
|---|---|---|---|
| GPT-4 | OpenAI | ~10²⁵ - 10²⁶ | ⚠️ OUI |
| Claude 3 Opus | Anthropic | ~10²⁵ | ⚠️ Probable |
| Gemini Ultra | ~10²⁵ - 10²⁶ | ⚠️ OUI | |
| Llama 3 405B | Meta | ~10²⁵ | ⚠️ OUI |
| Mistral Large | Mistral AI | <10²⁵ | ✅ Non (pour l'instant) |
| Llama 2 70B | Meta | ~10²³ | ✅ Non |
| Mistral 7B | Mistral AI | <10²² | ✅ Non |
"Le seuil de 10²⁵ FLOPS est une présomption réfragable. La Commission peut désigner d'autres modèles à risque systémique selon d'autres critères."
— Article 51.2, Règlement AI Act
🔍 Autres Critères de Risque Systémique
Au-delà des FLOPS, la Commission peut désigner un GPAI à risque systémique selon :
- 📊 Nombre d'utilisateurs : Modèles très largement déployés
- 🌍 Impact sociétal : Modèles influençant l'information publique
- ⚡ Capacités émergentes : Modèles avec comportements inattendus
- 🔒 Risques de sécurité : Modèles pouvant être détournés
📋 Obligations pour les Fournisseurs de GPAI
Tous les fournisseurs de GPAI doivent respecter un socle commun d'obligations.
📄 Obligations de Base (Article 53)
Tous les fournisseurs de GPAI doivent :
Documentation Technique Détaillée
Créer et maintenir une documentation technique du modèle : architecture, données d'entraînement, capacités, limites, tests effectués.
Informations aux Fournisseurs en Aval
Fournir aux entreprises qui intègrent le modèle les informations nécessaires pour leur propre conformité AI Act.
Respect du Droit d'Auteur
Respecter la directive UE sur le droit d'auteur, notamment le droit d'opposition des titulaires de droits (opt-out).
Résumé des Données d'Entraînement
Publier un résumé suffisamment détaillé des contenus utilisés pour l'entraînement. Template fourni par l'AI Office.
⚠️ Obligations Renforcées - Risque Systémique (Article 55)
Les GPAI à risque systémique ont des obligations additionnelles :
- 🔍 Évaluation des risques : Tests systématiques pour identifier les risques systémiques
- 🛡️ Tests adversariaux : Red teaming pour identifier les failles
- 🔒 Cybersécurité : Mesures de protection du modèle et des poids
- 📊 Reporting incidents : Signalement des incidents graves à l'AI Office
- ⚡ Efficacité énergétique : Documentation de la consommation énergétique
🏛️ Supervision par l'AI Office
Les GPAI à risque systémique sont supervisés directement par l'AI Office (Commission européenne), pas par les autorités nationales. OpenAI, Google, Anthropic, Meta sont sous surveillance européenne directe.
🤖 Votre Usage des LLM est-il Conforme ? (Quiz 3 min)
🔓 L'Exemption Open Source (et ses Limites)
L'AI Act prévoit un régime allégé pour les modèles open source. Mais attention aux limites.
✅ Ce qui est Exempté
Les GPAI dont les poids sont librement accessibles et modifiables :
- ✅ Pas de documentation technique complète obligatoire
- ✅ Pas d'obligations vis-à-vis des fournisseurs en aval
- ✅ Résumé des données d'entraînement simplifié
Exemples concernés : Llama 2 7B, Mistral 7B, Phi-2, Gemma, modèles Hugging Face open source.
❌ Ce qui n'est PAS Exempté
Limite Majeure : Risque Systémique
L'exemption open source ne s'applique PAS aux modèles à risque systémique (>10²⁵ FLOPS). Llama 3 405B, malgré ses poids ouverts, reste soumis aux obligations renforcées.
Autres exceptions :
- ❌ Droit d'auteur : L'obligation de respect du droit d'auteur s'applique toujours
- ❌ Modèles commercialisés : Si le modèle est vendu avec des services, l'exemption peut ne pas s'appliquer
- ❌ Intégration haut risque : Si un tiers intègre le modèle dans un système haut risque, ce tiers a des obligations
🏢 Impact sur les Entreprises Utilisatrices
Vous utilisez ChatGPT, Claude, ou un autre LLM dans votre entreprise ? Voici vos obligations.
📊 Qui est Concerné ?
Toute entreprise qui intègre un GPAI dans son système :
- 💬 Chatbots avec GPT-4 ou Claude
- 📝 Génération de contenu automatisée
- 📊 Analyse de documents avec IA
- 🔍 Recherche sémantique avec embeddings
- 🎨 Génération d'images pour le marketing
⚖️ Répartition des Responsabilités
| Obligation | Fournisseur GPAI | Intégrateur |
|---|---|---|
| Documentation technique modèle | ✅ Responsable | Reçoit les infos |
| Tests adversariaux modèle | ✅ Responsable | - |
| Classification risque du système final | - | ✅ Responsable |
| Obligations haut risque (si applicable) | Fournit les infos | ✅ Responsable |
| Transparence utilisateurs | - | ✅ Responsable |
| Formation équipes (Article 4) | - | ✅ Responsable |
🎯 Cas Pratique : Chatbot RH avec GPT-4
Contexte
Entreprise : ETI de 500 salariés
Usage : Chatbot pour répondre aux questions RH des candidats
Technologie : GPT-4 via API OpenAI
Analyse :
- 🤖 OpenAI = Fournisseur GPAI → Respecte Articles 51-55
- 🏢 ETI = Intégrateur/Déployeur → Responsable du système final
- ⚠️ Usage RH = Potentiellement haut risque (Annexe III.4)
- 📋 Obligations : Gestion des risques, documentation, supervision humaine, transparence candidats
Budget conformité estimé : 30 000€ - 60 000€
🏢 Cas Pratiques : Fournisseurs GPAI
Voyons comment les principaux fournisseurs sont impactés.
🟢 Cas 1 : OpenAI (GPT-4)
Classification
Modèle : GPT-4, GPT-4 Turbo, GPT-4o
Statut : GPAI à RISQUE SYSTÉMIQUE (>10²⁵ FLOPS)
Obligations :
- 📄 Documentation technique complète
- 🛡️ Tests adversariaux et red teaming
- 🔒 Mesures de cybersécurité renforcées
- 📊 Reporting incidents à l'AI Office
- 📢 Informations aux intégrateurs (via documentation API)
Impact : OpenAI doit adapter sa documentation et ses processus pour l'UE. Les entreprises européennes recevront des informations plus détaillées.
🟣 Cas 2 : Mistral AI
Classification
Modèles : Mistral 7B, Mixtral 8x7B, Mistral Large
Statut : GPAI standard (pour l'instant, sous le seuil)
Avantages :
- ✅ Pas d'obligations risque systémique (actuellement)
- ✅ Exemption partielle open source (Mistral 7B)
- 🇪🇺 Fournisseur européen = meilleure compréhension AI Act
Vigilance : Si Mistral lance un modèle >10²⁵ FLOPS, les obligations renforcées s'appliqueront.
🟣 Cas 3 : Meta (Llama)
Classification
Modèles : Llama 2, Llama 3 (8B, 70B, 405B)
Statut : Llama 3 405B = RISQUE SYSTÉMIQUE malgré l'open source
Point clé : L'open source ne protège pas du risque systémique. Llama 3 405B dépasse le seuil et Meta doit respecter les obligations renforcées.
📋 Plan d'Action pour les Intégrateurs
Voici les étapes pour mettre en conformité votre usage des LLM.
Inventorier les GPAI Utilisés (Semaine 1)
Listez tous les modèles fondation utilisés dans votre organisation : APIs, fine-tuning, embeddings, génération d'images.
Obtenir la Documentation Fournisseur (Semaine 2)
Demandez aux fournisseurs (OpenAI, Anthropic, etc.) leur documentation technique AI Act. Elle sera disponible d'ici août 2025.
Classifier Vos Usages (Semaine 3)
Déterminez si vos usages créent des systèmes haut risque (RH, crédit, santé, etc.). Si oui, les Articles 6-15 s'appliquent.
Documenter Vos Intégrations (Semaine 4-6)
Créez votre propre documentation : comment vous utilisez le GPAI, quels garde-fous vous avez ajoutés, quelles données sont traitées.
Implémenter la Transparence (Semaine 5-7)
Informez vos utilisateurs qu'ils interagissent avec une IA. Ajoutez les mentions obligatoires.
Former les Équipes (Semaine 6-8)
Assurez la formation Article 4 pour tous les utilisateurs des systèmes IA. Documentez les certifications.
💰 Simulateur Budget Conformité GPAI
❓ Questions Fréquentes - Foundation Models
Un GPAI (General Purpose AI) est un modèle IA entraîné sur de grandes quantités de données, capable d'exécuter de nombreuses tâches différentes. Exemples : GPT-4, Claude, Gemini, Llama, Mistral. L'AI Act crée un régime spécifique pour ces modèles (Articles 51-55).
OUI. GPT-4 (OpenAI), Claude (Anthropic), Gemini (Google), et les modèles similaires sont des GPAI soumis aux obligations AI Act. Les modèles dépassant 10²⁵ FLOPS sont présumés à risque systémique avec des obligations renforcées.
Le seuil de 10²⁵ FLOPS (opérations en virgule flottante) est le critère pour identifier les GPAI à risque systémique. Les modèles dépassant ce seuil d'entraînement sont présumés à risque systémique et soumis à des obligations renforcées (tests adversariaux, cybersécurité, reporting).
PARTIELLEMENT. Les modèles open source avec poids librement accessibles bénéficient d'obligations allégées. MAIS l'exemption ne s'applique PAS aux modèles à risque systémique (>10²⁵ FLOPS). Llama 3 405B reste soumis aux obligations renforcées malgré l'open source.
OUI, mais différemment. L'entreprise est un déployeur qui intègre un GPAI. Elle hérite des obligations selon l'usage final : si l'usage crée un système haut risque (ex: RH, crédit), les obligations haut risque s'appliquent. OpenAI reste responsable des obligations GPAI.
Les obligations GPAI s'appliquent à partir du 2 août 2025 (12 mois après l'entrée en vigueur). Les fournisseurs de GPAI comme OpenAI, Anthropic, Google, Meta, Mistral doivent être conformes à cette date.
OUI. Mistral, en tant que fournisseur européen de GPAI, est soumis aux obligations AI Act. Ses modèles doivent respecter les obligations GPAI. Si un modèle dépasse 10²⁵ FLOPS à l'avenir, les obligations renforcées s'appliqueront.
Les sanctions GPAI peuvent atteindre 15 millions d'euros ou 3% du CA mondial. Pour les GPAI à risque systémique non conformes, les sanctions peuvent atteindre 35M€ ou 7% du CA mondial. Les géants tech s'exposent à des amendes massives.
"Les modèles fondation sont le cœur de la révolution IA. L'AI Act crée un cadre pour qu'ils se développent de manière responsable en Europe."
— Commission Européenne, AI Act Q&A 2024
✅ Conclusion : 3 Priorités pour les GPAI
Que vous soyez fournisseur ou utilisateur de LLM, voici vos priorités.
🤖 Vos 3 Priorités
- 1️⃣ Identifiez votre rôle : Fournisseur GPAI ou intégrateur/déployeur ?
- 2️⃣ Classifiez le risque : Risque systémique, haut risque du système final, ou risque limité ?
- 3️⃣ Préparez la documentation : Obtenez les infos fournisseur et documentez vos usages
Les GPAI sont au cœur de la transformation IA des entreprises. Une conformité anticipée vous donne un avantage compétitif.
🤖 Formation AI Act pour Utilisateurs de LLM
Notre formation couvre les spécificités GPAI : régime Articles 51-55, chaîne de responsabilité, obligations intégrateurs. Idéale pour les équipes tech et produit.
Accéder à la Formation Certifiante → 500€✅ Finançable OPCO • ✅ Certificat nominatif • ✅ Module GPAI inclus
L'échéance approche. Anticipez la conformité de vos usages LLM !
📚 Sources Officielles
- Règlement (UE) 2024/1689 - Articles 51-55 (GPAI) • Journal officiel de l'UE
- Commission Européenne - Cadre Réglementaire IA • Documentation officielle
- AI Act Explorer - Articles GPAI • Analyse détaillée
- CNIL - Dossier Intelligence Artificielle • Autorité française