Les articles 53 à 56 du Règlement européen sur l'intelligence artificielle (Règlement (UE) 2024/1689) créent un cadre inédit pour les modèles d'IA à usage général (GPAI, General-Purpose AI). Pour la première fois, un texte législatif impose des obligations de transparence sur les données d'entraînement et le respect du droit d'auteur. Ces règles impactent directement toute entreprise qui déploie ou intègre des outils fondés sur des LLM.
Cet article décrypte les obligations, les mécanismes de conformité et les implications pratiques pour votre entreprise.
Qu'est-ce qu'un modèle GPAI ?
L'article 3(63) de l'AI Act définit un modèle GPAI comme un modèle d'IA affichant une généralité significative, capable d'exécuter un large éventail de tâches distinctes indépendamment de la manière dont il est mis sur le marché. En pratique, cela couvre :
- Les grands modèles de langage (LLM) : GPT-4, Mistral Large, Gemini, Claude, LLaMA
- Les modèles de génération d'images : DALL-E, Midjourney, Stable Diffusion
- Les modèles multimodaux : GPT-4o, Gemini Ultra
Les obligations de l'article 53 (tous les GPAI)
Tout fournisseur de modèle GPAI doit :
- Rédiger une documentation technique conforme à l'annexe XI, incluant les capacités et limites du modèle
- Fournir des informations et une documentation aux fournisseurs de systèmes d'IA en aval
- Mettre en place une politique de respect du droit d'auteur européen, en particulier la directive 2019/790 (Text and Data Mining)
- Publier un résumé suffisamment détaillé du contenu utilisé pour l'entraînement
« Les fournisseurs de modèles d'IA à usage général mettent en place une politique visant à respecter le droit de l'Union en matière de droit d'auteur et de droits voisins, et notamment à identifier et à respecter les réservations de droits exprimées conformément à l'article 4, paragraphe 3, de la directive (UE) 2019/790. »
Règlement (UE) 2024/1689, article 53, paragraphe 1, point c)
Le mécanisme d'opt-out (directive 2019/790)
La directive sur le droit d'auteur dans le marché unique numérique (2019/790) prévoit deux exceptions pour le text and data mining (TDM) :
- Article 3 : exception pour la recherche scientifique (accès licite requis)
- Article 4 : exception générale, sauf si le titulaire des droits s'y oppose de manière appropriée (opt-out via robots.txt, métadonnées, CGU)
Concrètement, si votre site web contient du contenu original (articles, guides, études), les fournisseurs de GPAI n'ont le droit de l'utiliser pour l'entraînement que si vous n'avez pas exprimé de réservation. Pour vous opposer au scraping IA, ajoutez dans votre fichier robots.txt :
User-agent: GPTBot
Disallow: /
User-agent: Google-Extended
Disallow: /
User-agent: CCBot
Disallow: /Obligations renforcées pour les GPAI à risque systémique (articles 55-56)
Les modèles GPAI dont la puissance de calcul d'entraînement dépasse 10²⁵ FLOP sont présumés à risque systémique. Cela inclut actuellement GPT-4, Gemini Ultra et potentiellement Mistral Large 2. Ces modèles sont soumis à des obligations supplémentaires :
| Obligation (art. 55) | Détail | Délai |
|---|---|---|
| Évaluation du modèle | Tests adversariaux (red teaming), évaluation des risques systémiques | Avant mise sur le marché |
| Atténuation des risques | Mesures de cybersécurité, documentation des vulnérabilités | Continue |
| Notification à l'AI Office | Signalement des incidents graves, capacités imprévues | Sans délai indu |
| Estimation FLOP | Documentation de la puissance de calcul utilisée pour l'entraînement | À la demande |
Ce que cela signifie pour votre entreprise
Si vous utilisez des outils fondés sur des GPAI
En tant qu'utilisateur (deployer) de systèmes d'IA fondés sur des GPAI, vos obligations dépendent du niveau de risque du système final, pas du modèle sous-jacent. Cependant, vous devez :
- Vérifier que votre fournisseur de LLM publie la documentation technique requise par l'article 53
- Vous assurer que le fournisseur a mis en place une politique de respect du droit d'auteur
- Mentionner l'utilisation de l'IA dans vos documents légaux (obligation de transparence, article 50)
Le Legal Builder COCORRIDOR intègre un module AI Act qui génère automatiquement les mentions de transparence, le registre des systèmes d'IA et la classification des risques.
Si vous publiez du contenu original
Protégez votre contenu contre le scraping IA non autorisé en activant l'opt-out TDM. Le scan COCORRIDOR vérifie si votre robots.txt contient les directives de blocage des crawlers IA et vous alerte en cas d'absence.
FAQ
Mon entreprise est-elle considérée comme fournisseur de GPAI si elle utilise ChatGPT ?
Non. L'utilisation d'un outil basé sur un GPAI (ChatGPT, Mistral Le Chat, Gemini) ne fait pas de vous un fournisseur de GPAI. Vous êtes un « deployer » au sens de l'AI Act. Les obligations des articles 53-56 pèsent sur OpenAI, Mistral AI et Google, pas sur vous. Vos obligations portent sur la transparence (article 50) et sur la conformité spécifique au niveau de risque de votre usage.
Le résumé des données d'entraînement est-il déjà obligatoire ?
L'article 53 est applicable depuis le 2 août 2025 pour les nouveaux modèles. Les modèles existants bénéficient d'une période de transition jusqu'au 2 août 2027. En pratique, Mistral AI a déjà publié un résumé conforme. OpenAI et Google sont en cours d'adaptation. Le Bureau européen de l'IA (AI Office) finalisera un modèle de résumé au cours du second semestre 2026.
Puis-je empêcher ChatGPT d'utiliser le contenu de mon site pour l'entraînement ?
Oui, en utilisant le mécanisme d'opt-out prévu par l'article 4 de la directive 2019/790. Ajoutez les directives de blocage dans votre robots.txt (GPTBot, Google-Extended, CCBot) et dans les métadonnées de vos pages. L'AI Act renforce ce droit en imposant aux fournisseurs de GPAI de respecter ces réservations. Le non-respect est sanctionnable.