Les obligations applicables aux modèles d'IA à usage général (GPAI) sont en vigueur depuis le 2 août 2025, et le Code of Practice qui les opérationnalise a été publié dans sa version finale en juillet 2025. C'est un pan de l'AI Act souvent mal compris des entreprises, car il vise d'abord les fournisseurs de grands modèles — Anthropic, OpenAI, Mistral, Google — et non leurs utilisateurs.
Pourtant, comprendre ce cadre est essentiel même si vous n'êtes « que » déployeur. Pourquoi ? Parce que la conformité de votre propre solution dépend en partie de la documentation que vos fournisseurs de modèles sont désormais tenus de produire, et parce que le choix d'un modèle conforme devient un critère de sélection à part entière.
Cet article explique ce qu'est un GPAI, ce que contient le Code of Practice, les obligations qui en découlent, le régime renforcé des modèles à risque systémique, et surtout ce que tout cela change concrètement pour une PME ou une ETI qui intègre ces modèles dans ses produits ou ses opérations.
GPAI : de quoi parle-t-on exactement ?
Un GPAI (General-Purpose AI model) est un modèle d'IA entraîné sur de vastes données, capable d'accomplir une grande diversité de tâches distinctes, et intégrable dans de nombreux systèmes en aval. Ce sont les « modèles de fondation » qui font tourner les assistants et agents que vous utilisez au quotidien.
Concrètement, les GPAI couvrent les grands modèles de langage et multimodaux : la famille Claude d'Anthropic, GPT d'OpenAI, les modèles Mistral, Gemini de Google, ainsi que les modèles open source comme Llama ou Qwen. L'AI Act les traite à part car un seul modèle peut alimenter des milliers d'applications : réguler le modèle en amont est plus efficace que réguler chaque usage en aval.
Il faut distinguer le modèle GPAI (le moteur brut, fourni par Anthropic, OpenAI, etc.) du système d'IA que vous construisez par-dessus (votre chatbot, votre agent). Les obligations GPAI pèsent sur le fournisseur du modèle. Vos obligations à vous, en tant qu'intégrateur, relèvent du régime du système d'IA (transparence, et éventuellement haut risque). Pour comprendre comment ces modèles s'assemblent dans une architecture réelle, voir notre guide pour créer un agent IA.
Le Code of Practice GPAI, mode d'emploi
Le Code of Practice GPAI est un outil volontaire qui permet aux fournisseurs de modèles de démontrer leur conformité aux obligations de l'AI Act. Sa version finale a été publiée en juillet 2025, en accompagnement de l'entrée en vigueur des obligations GPAI le 2 août 2025.
Le mécanisme est simple à comprendre : adhérer au Code crée une présomption de conformité. Un fournisseur qui le signe et le respecte est présumé satisfaire aux obligations correspondantes du règlement, ce qui réduit son risque juridique et lui offre une voie de mise en conformité claire. Un fournisseur qui ne signe pas doit démontrer sa conformité par d'autres moyens, généralement plus lourds.
Le Code a été élaboré dans un processus multipartite associant fournisseurs, société civile et experts, sous l'égide de l'AI Office de la Commission. La plupart des grands fournisseurs y ont adhéré. Pour une entreprise, cette information est précieuse : l'adhésion d'un fournisseur au Code est un signal de fiabilité et un facilitateur de votre propre conformité, car la documentation produite suit un format standardisé et exploitable.
Les trois chapitres : transparence, droit d'auteur, sûreté
Le Code of Practice GPAI s'organise autour de trois chapitres qui couvrent les principales obligations des fournisseurs.
- Transparence. Le fournisseur doit produire et tenir à jour une documentation technique du modèle : capacités, limites, données d'entraînement (à un niveau approprié), consommation énergétique, modalités d'intégration. Une partie de cette documentation est destinée à l'AI Office, une autre aux déployeurs en aval — c'est celle qui vous concerne directement, car elle vous aide à documenter votre propre système.
- Droit d'auteur. Le fournisseur doit mettre en place une politique de respect du droit d'auteur de l'Union, notamment vis-à-vis de l'exception de fouille de textes et de données, et respecter les réservations de droits exprimées par les ayants droit (opt-out). C'est un point sensible compte tenu des litiges en cours sur l'entraînement des modèles.
- Sûreté et sécurité. Réservé aux modèles à risque systémique, ce chapitre impose un cadre de gestion des risques systémiques tout au long du cycle de vie : évaluation des capacités dangereuses, tests adverses (red teaming), signalement des incidents graves, mesures de cybersécurité.
Pour le déployeur que vous êtes, le chapitre transparence est le plus opérationnel : c'est lui qui garantit que vous obtenez de votre fournisseur les informations dont vous avez besoin pour assumer vos propres obligations.
Modèles à risque systémique : un régime renforcé
Les GPAI les plus puissants sont classés « à risque systémique » et soumis à des obligations renforcées. Le critère principal retenu par l'AI Act est la puissance de calcul utilisée pour l'entraînement : un modèle dépassant un seuil très élevé de FLOP cumulés est présumé présenter un risque systémique, parce que ses capacités pourraient avoir un impact large sur la société, la sécurité ou les droits fondamentaux.
Pour ces modèles, le fournisseur doit, en plus des obligations de base : évaluer et atténuer les risques systémiques (désinformation à grande échelle, cybermenaces, usages dangereux), conduire des évaluations standardisées et des tests adverses, assurer un niveau de cybersécurité élevé du modèle et de ses paramètres, et signaler les incidents graves à l'AI Office.
En pratique, les modèles de frontière des grands acteurs (les versions les plus avancées de Claude, GPT, Gemini) entrent dans cette catégorie. Pour une entreprise utilisatrice, cela signifie deux choses : ces modèles font l'objet d'une surveillance et de tests de sûreté poussés en amont (un gage de fiabilité), et le fournisseur publie des informations sur ses pratiques de sécurité que vous pouvez consulter pour étayer votre propre analyse de risque.
Calendrier et pouvoirs d'exécution de la Commission
Le calendrier GPAI articule plusieurs dates qu'il faut distinguer du reste de l'AI Act.
- 2 août 2025 — entrée en vigueur des obligations GPAI. Le Code of Practice final, publié en juillet 2025, accompagne cette échéance.
- 2 août 2026 — la Commission acquiert ses pouvoirs d'exécution sur les fournisseurs de GPAI, avec la possibilité d'infliger des amendes en cas de manquement. C'est la date où les obligations deviennent réellement opposables avec sanctions.
- 2 août 2027 — date limite de mise en conformité pour les modèles GPAI déjà mis sur le marché avant le 2 août 2025. Les modèles antérieurs bénéficient donc d'une période de transition.
Cette gradation est logique : on impose d'abord les obligations (2025), on laisse un an aux fournisseurs et à l'AI Office pour se roder, puis on active les sanctions (2026), tout en accordant aux modèles historiques un délai supplémentaire jusqu'en 2027. Pour situer ces dates dans le calendrier global de l'AI Act, consultez notre checklist du 2 août 2026.
Vous êtes déployeur, pas fournisseur : ce que ça implique
Si vous utilisez Claude, GPT ou Mistral pour bâtir votre solution, vous n'êtes pas fournisseur de GPAI : ces obligations pèsent sur Anthropic, OpenAI et Mistral, pas sur vous. C'est une bonne nouvelle, mais elle s'accompagne de trois responsabilités concrètes.
- Récupérer et conserver la documentation du fournisseur. Les fournisseurs conformes mettent à disposition une documentation destinée aux déployeurs. Conservez-la : elle alimente votre propre dossier de conformité et vous protège.
- Choisir des modèles dont les fournisseurs sont conformes. Privilégier un fournisseur adhérent au Code of Practice réduit votre risque et fluidifie votre conformité. C'est désormais un critère de sélection au même titre que la qualité, le coût et la latence.
- Assumer vos propres obligations de système d'IA. Transparence (article 50) si vous exposez un chatbot ou générez du contenu, et obligations haut risque si votre usage relève de l'Annexe III. Le fait d'utiliser un GPAI conforme ne vous exonère pas de vos obligations propres.
Attention au point qui transforme un déployeur en fournisseur : si vous modifiez substantiellement un modèle (fine-tuning lourd qui change sa finalité) et le rediffusez sous votre nom, vous pouvez basculer dans le régime fournisseur. Un fine-tuning léger d'adaptation ne déclenche généralement pas ce basculement, mais le cas mérite une analyse au cas par cas.
Choisir et intégrer un GPAI conforme
Le choix d'un modèle ne se résume plus à la performance et au prix : la conformité GPAI du fournisseur et la localisation de l'hébergement sont devenues des critères de premier plan. C'est ainsi que nous arbitrons chez Genee.
Notre grille de sélection combine quatre axes : la qualité sur votre tâche (raisonnement, usage d'outils, langue française), le coût et la latence, la conformité du fournisseur (adhésion au Code of Practice, documentation disponible), et la souveraineté (hébergement UE, contraintes sectorielles). Pour les comparatifs détaillés entre acteurs, voir notre analyse Mistral vs OpenAI en entreprise.
Sur le plan technique, nous documentons systématiquement la chaîne modèle-système : quel modèle, quelle version, quel hébergement, quelle documentation fournisseur archivée, quelles mentions de transparence côté utilisateur. Quand les données sont sensibles, nous combinons un modèle conforme hébergé en UE avec une architecture de type RAG sécurisé, ce qui isole vos données tout en bénéficiant de la puissance d'un GPAI de frontière.
Vous hésitez sur le modèle à retenir pour un projet, ou vous voulez vérifier que votre intégration actuelle est documentée comme il faut ? Échangeons : nous transformons ces exigences en choix techniques clairs.
FAQ — GPAI Code of Practice : les obligations des modèles à usage général expliquées
Qu'est-ce qu'un modèle GPAI au sens de l'AI Act ?
Un GPAI (General-Purpose AI model) est un modèle d'IA entraîné sur de vastes données, capable d'accomplir une grande diversité de tâches et intégrable dans de nombreux systèmes en aval. Ce sont les modèles de fondation comme Claude, GPT, Mistral, Gemini ou Llama. L'AI Act les régule à part car un seul modèle peut alimenter des milliers d'applications : agir en amont sur le modèle est plus efficace que réguler chaque usage.
Le Code of Practice GPAI est-il obligatoire ?
Non, le Code of Practice est un outil volontaire. Mais y adhérer crée une présomption de conformité aux obligations correspondantes de l'AI Act, ce qui en fait une voie de mise en conformité privilégiée. Un fournisseur qui ne le signe pas doit démontrer sa conformité par d'autres moyens, généralement plus lourds. Sa version finale a été publiée en juillet 2025, en accompagnement de l'entrée en vigueur des obligations GPAI le 2 août 2025.
En tant qu'utilisateur de Claude ou GPT, ai-je des obligations GPAI ?
Non, les obligations GPAI pèsent sur les fournisseurs des modèles (Anthropic, OpenAI, Mistral), pas sur leurs utilisateurs. En tant que déployeur, vous devez toutefois récupérer et conserver la documentation que vos fournisseurs mettent à disposition, choisir des modèles dont les fournisseurs sont conformes, et assumer vos propres obligations de système d'IA (transparence de l'article 50, et haut risque si vous relevez de l'Annexe III).
Qu'est-ce qu'un modèle GPAI à risque systémique ?
C'est un GPAI suffisamment puissant pour présenter un risque à grande échelle pour la société, la sécurité ou les droits fondamentaux. Le critère principal est la puissance de calcul utilisée à l'entraînement : au-delà d'un seuil très élevé de FLOP cumulés, le risque systémique est présumé. Ces modèles, typiquement les versions de frontière des grands acteurs, sont soumis à des obligations renforcées : évaluation des risques, tests adverses, cybersécurité et signalement des incidents graves.
Quand les sanctions sur les GPAI entrent-elles en vigueur ?
Les obligations GPAI sont en vigueur depuis le 2 août 2025, mais la Commission n'acquiert ses pouvoirs d'exécution, avec amendes possibles, qu'à partir du 2 août 2026. Les modèles GPAI déjà mis sur le marché avant le 2 août 2025 bénéficient d'une période de transition et doivent se mettre en conformité au plus tard le 2 août 2027.
Le fine-tuning d'un modèle me fait-il devenir fournisseur GPAI ?
Un fine-tuning léger d'adaptation ne déclenche généralement pas ce basculement. En revanche, si vous modifiez substantiellement un modèle, au point d'en changer la finalité, et que vous le rediffusez sous votre nom, vous pouvez basculer dans le régime fournisseur et en assumer les obligations. Le cas mérite une analyse précise dès que la modification est significative ou que le modèle est redistribué.