IA à usage général (GPAI)
L'IA à usage général (GPAI, pour general-purpose AI) est une catégorie du règlement européen sur l'IA (EU AI Act) désignant les modèles capables d'accomplir un large éventail de tâches et d'être intégrés dans de nombreux systèmes en aval. Les grands modèles de langage et les autres modèles de fondation en sont les exemples les plus clairs. Comme un seul modèle de ce type peut alimenter d'innombrables applications, le règlement encadre le modèle lui-même, séparément des usages à haut risque dans lesquels il pourrait finir par s'inscrire.
C'était un choix de conception délibéré. Plutôt que d'attendre de voir comment chaque application utilise un modèle, le règlement impose des obligations à celles et ceux qui développent et fournissent le modèle, afin que l'information et les garde-fous se transmettent à tous ceux qui s'appuient dessus.
Ce qui relève de la GPAI
Le règlement définit un modèle GPAI comme un modèle entraîné sur une grande quantité de données, faisant preuve d'une généralité significative et capable d'accomplir avec compétence un large éventail de tâches distinctes, quelle que soit la manière dont il est mis sur le marché. Cela englobe les grands modèles de langage, les générateurs d'images et les modèles de fondation similaires, qu'ils soient proposés via une API, diffusés sous forme de poids téléchargeables, ou intégrés dans un produit.
La portée est le modèle, non l'application. Une entreprise qui reprend un modèle GPAI et construit, par exemple, un outil de recrutement est un fournisseur en aval de ce système à haut risque et porte ses propres obligations. Le développeur initial du modèle est le fournisseur de GPAI. Les deux ensembles de devoirs s'additionnent plutôt qu'ils ne se remplacent.
Le palier de risque systémique
Toutes les GPAI ne sont pas traitées de la même façon. Le règlement crée un palier supérieur pour les modèles GPAI à risque systémique, c'est-à-dire les modèles suffisamment puissants pour que leurs défaillances puissent se répercuter sur le marché ou la société.
Un modèle est présumé présenter un risque systémique si la puissance de calcul cumulée utilisée pour son entraînement dépasse 10^25 opérations en virgule flottante (FLOPs). Ce seuil de calcul est un indicateur indirect de capacité. Un modèle peut aussi être désigné comme à risque systémique par la Commission européenne sur la base d'autres critères, même s'il se situe sous le seuil.
Les modèles de ce palier portent des obligations supplémentaires au-delà du socle de base, car les conséquences d'une erreur sont plus lourdes.
Les obligations de base des fournisseurs
Tout fournisseur de GPAI, quel que soit le palier, doit satisfaire à un socle de devoirs.
La documentation technique. Les fournisseurs doivent préparer et tenir à jour une documentation décrivant le modèle, y compris son processus d'entraînement et de test et les résultats des évaluations, mise à la disposition du Bureau de l'IA (AI Office) et des autorités nationales sur demande.
L'information des fournisseurs en aval. Ils doivent donner aux développeurs qui s'appuient sur le modèle suffisamment d'informations pour comprendre ses capacités et ses limites et pour remplir leurs propres obligations. Vous ne pouvez pas vous conformer au règlement pour votre application si le modèle qui la sous-tend est une boîte noire pour vous.
La politique de droit d'auteur. Les fournisseurs doivent mettre en place une politique de respect du droit d'auteur de l'UE, y compris des réserves de droits relatives à la fouille de textes et de données.
Le résumé des données d'entraînement. Ils doivent publier un résumé suffisamment détaillé du contenu utilisé pour entraîner le modèle, selon un modèle fourni par le Bureau de l'IA.
Les obligations supplémentaires pour les modèles à risque systémique
Les fournisseurs de GPAI à risque systémique en assument davantage.
Ils doivent évaluer le modèle à l'aide de protocoles normalisés, y compris des tests contradictoires et des exercices d'équipe rouge (red teaming), afin d'identifier et d'atténuer les risques systémiques. Ils doivent évaluer et atténuer les éventuels risques systémiques à l'échelle de l'UE, y compris leurs sources. Ils doivent suivre, documenter et signaler les incidents graves et les mesures correctives possibles au Bureau de l'IA. Et ils doivent assurer un niveau adéquat de cybersécurité pour le modèle et son infrastructure physique.
Ces devoirs reconnaissent qu'un défaut dans un modèle de pointe largement utilisé n'est pas seulement le problème d'une seule entreprise.
Les obligations GPAI d'août 2025
Le règlement européen sur l'IA s'applique par phases. Les obligations des fournisseurs de GPAI sont devenues applicables le 2 août 2025. À compter de cette date, les fournisseurs qui mettent des modèles GPAI sur le marché de l'UE sont tenus de respecter les devoirs de documentation, de transparence, de droit d'auteur et, le cas échéant, de risque systémique décrits ci-dessus.
Pour aider les fournisseurs à démontrer leur conformité, le Bureau de l'IA a facilité un code de bonnes pratiques GPAI. Signer et suivre ce code est un moyen volontaire de démontrer l'adhésion aux obligations, même si ce n'est pas la seule voie. Les modèles déjà sur le marché avant cette date ont disposé d'un délai supplémentaire pour se mettre en conformité.
Pourquoi les règles GPAI comptent pour les équipes de gouvernance
Même si votre organisation n'entraîne pas de modèles de fondation, les règles GPAI façonnent vos obligations. Si vous vous appuyez sur un modèle GPAI, la documentation et l'information fournies par le fournisseur sont ce qui vous permet de mener votre propre évaluation des risques, vos déclarations de transparence et votre dossier technique. Choisir un fournisseur qui prend ces devoirs au sérieux relève de l'approvisionnement et de la diligence raisonnable.
Si vous développez ou modifiez substantiellement un modèle GPAI, vous pouvez vous-même endosser le rôle de fournisseur, y compris au palier du risque systémique si votre puissance de calcul d'entraînement franchit le seuil. Dans tous les cas, le travail concret consiste à tenir la documentation à jour, à suivre les modèles sur lesquels vous vous appuyez et à consigner comment vous les avez évalués.
FAQ
Qu'est-ce qui rend un modèle à usage général au titre du règlement européen sur l'IA ?
Il est entraîné sur une grande quantité de données, fait preuve d'une généralité significative et peut accomplir avec compétence un large éventail de tâches distinctes, quelle que soit la manière dont il est mis sur le marché. Les grands modèles de langage et les générateurs d'images en sont des exemples types. La classification s'attache au modèle lui-même, non à une application particulière construite dessus.
Quel est le seuil de calcul pour le risque systémique ?
Un modèle GPAI est présumé présenter un risque systémique lorsque la puissance de calcul cumulée utilisée pour son entraînement dépasse 10^25 opérations en virgule flottante (FLOPs). Le seuil est un indicateur indirect de capacité. La Commission européenne peut aussi désigner un modèle comme à risque systémique pour d'autres motifs, et le seuil peut être ajusté au fil du temps.
Quand les obligations GPAI ont-elles commencé à s'appliquer ?
Les obligations des fournisseurs de GPAI sont devenues applicables le 2 août 2025. À compter de cette date, les fournisseurs sont tenus de respecter les devoirs de documentation, de transparence et de droit d'auteur, ainsi que les devoirs supplémentaires de risque systémique lorsqu'ils s'appliquent. Les modèles déjà sur le marché auparavant ont disposé d'un délai supplémentaire pour se conformer.
Quelles sont les obligations de base d'un fournisseur de GPAI ?
Tenir une documentation technique, donner aux développeurs en aval suffisamment d'informations pour comprendre le modèle et s'appuyer dessus en toute sécurité, mettre en place une politique de respect du droit d'auteur de l'UE, et publier un résumé suffisamment détaillé du contenu d'entraînement selon le modèle du Bureau de l'IA. Cela s'applique à tout fournisseur de GPAI, quel que soit le palier.
Les règles GPAI concernent-elles les entreprises qui ne font qu'utiliser ces modèles ?
Oui, de manière indirecte mais importante. La documentation et l'information qu'un fournisseur de GPAI fournit sont ce qui permet à un constructeur en aval de mener sa propre évaluation des risques, sa transparence et son dossier technique. La conformité du fournisseur alimente donc votre conformité, ce qui en fait un sujet d'approvisionnement et de diligence raisonnable même si vous n'entraînez jamais de modèle.
Qu'est-ce que le code de bonnes pratiques GPAI ?
C'est un cadre volontaire facilité par le Bureau de l'IA pour aider les fournisseurs de GPAI à démontrer qu'ils respectent leurs obligations. Le signer et le suivre est un moyen de prouver la conformité, même si les fournisseurs peuvent se conformer par d'autres voies. Il ne modifie pas les devoirs juridiques sous-jacents, il offre une voie reconnue pour les satisfaire.
Résumé
L'IA à usage général (GPAI) est la catégorie du règlement européen sur l'IA pour les modèles largement capables, tels que les grands modèles de langage, qui peuvent être intégrés dans de nombreux systèmes en aval, et le règlement encadre le modèle lui-même plutôt que ses seuls usages. Tout fournisseur de GPAI doit tenir une documentation technique, informer les développeurs en aval, suivre une politique de droit d'auteur et publier un résumé des données d'entraînement. Les modèles qui présentent un risque systémique, présumé au-dessus d'un seuil de calcul d'entraînement de 10^25 FLOPs, portent des devoirs supplémentaires d'évaluation, d'atténuation des risques, de signalement des incidents et de cybersécurité. Ces obligations sont devenues applicables le 2 août 2025, et elles comptent même pour les organisations qui ne font que s'appuyer sur des GPAI, car la documentation du fournisseur est ce qui rend possible la conformité en aval.