Le 18 juillet 2025, la Commission européenne a publié un projet de lignes directrices clarifiant les principales dispositions de la loi européenne sur l'IA applicables aux modèles d'IA à usage général (GPAI). Les lignes directrices fournissent des orientations interprétatives sur la définition et le champ d'application des modèles GPAI, les obligations liées au cycle de vie, les critères de risque systémique et les obligations de notification pour les fournisseurs. Une fois traduites dans toutes les langues de l'UE, les lignes directrices seront officiellement adoptées et auront une importance juridique et opérationnelle pour les fournisseurs de services d'IA.
Définition et champ d'application
Définition des modèles GPAI
Les lignes directrices développent la définition légale de la GPAI dans la loi sur l'IA, en introduisant des seuils et des critères clés pour la classification :
Calculer le seuil :
- Un modèle GPAI est défini comme tout modèle formé en utilisant plus de 10²³ FLOPS (opérations en virgule flottante par seconde) et capable de générer des sorties linguistiques (texte/audio), texte-image ou texte-vidéo.
Exigence de généralité fonctionnelle :
- Les modèles qui dépassent le seuil de 10²³ FLOPS mais qui sont spécialisés (par exemple, pour la transcription, l'agrandissement d'images, les prévisions météorologiques ou les jeux) sont exclus s'ils n'ont pas de capacités générales pour un large éventail de tâches.
Clarifications techniques :
- Le calcul est considéré comme une mesure combinée de la taille du modèle (paramètres) et de la taille de l'ensemble de données d'apprentissage.
- Un modèle avec ~1 milliard de paramètres entraînés sur des ensembles de données substantiels atteindrait typiquement ce seuil de calcul.
- La Commission a opté pour un seuil de calcul unique estimable plutôt que pour une liste de tâches ou de capacités spécifiques.
Cycle de vie du modèle et obligations
Une fois qu'un modèle est qualifié de modèle GPAI, les obligations liées au cycle de vie en vertu de la loi sur l'IA s'appliquent dès le début de la phase de pré-entraînement et s'étendent à toutes les phases de développement ultérieures, y compris les modifications postérieures à la mise sur le marché.
Les obligations comprennent
- Documentation : Elle doit être conservée et mise à jour, et fournie aux fournisseurs en aval et, sur demande, à l'Office AI ou aux autorités nationales compétentes.
- Résumé des données de formation : les prestataires doivent publier un résumé en utilisant le modèle de l'Office AI qui n'a pas encore été publié.
- Politique en matière de droits d'auteur : Doit traiter du respect des droits d'auteur et peut s'appliquer à tous les modèles.
Modèles GPAI avec risque systémique
Tout modèle formé en utilisant ≥10²⁵ FLOPS est présumé avoir des capacités d'impact élevées et peut être classé comme GPAI à risque systémique.
Obligations supplémentaires :
- Évaluation et atténuation complètes des risques tout au long du cycle de vie, y compris l'évaluation des modèles.
- Des mesures de cybersécurité robustes
- Suivi et rapport des incidents graves
Voies de désignation :
- Présomption automatique : Basée sur le seuil FLOPS
- Désignation discrétionnaire : Par la Commission, y compris à la suite des alertes du groupe scientifique
Notifications obligatoires :
- Les fournisseurs doivent informer la Commission dans un délai de deux semaines lorsqu'ils prévoient raisonnablement ou atteignent le seuil de 10²⁵ FLOPS. Les notifications doivent inclure
- Calculer les estimations
- Méthodes d'estimation (y compris les approximations)
Procédure de réfutation :
- Les fournisseurs peuvent contester la classification du risque systémique en fournissant des preuves solides (par exemple, des résultats de référence, des lois de mise à l'échelle) que le modèle ne présente pas de risque systémique.
- La Commission peut accepter ou rejeter les réfutations en les motivant.
- Les obligations restent en vigueur pendant l'examen.
Droits de réévaluation :
- Une première réévaluation peut être demandée par les prestataires six mois après la désignation.
- Une deuxième demande de réévaluation est autorisée après un délai supplémentaire de six mois si la première n'a pas abouti.
Obligation permanente de mise à jour :
- Si la réfutation est fondée sur des informations matériellement modifiées ou incomplètes/incorrectes, le prestataire doit en informer à nouveau la Commission.
Détermination du fournisseur du modèle GPAI
Développement d'une entité unique :
- Si l'entité A développe et commercialise un modèle GPAI sur le marché de l'UE, l'entité A est le fournisseur.
- Si l'entité B développe le modèle pour l'entité A, mais que l'entité A le met sur le marché, l'entité A reste le fournisseur.
Hébergement du référentiel :
- Le téléchargement d'un modèle dans un référentiel (par exemple, hébergé par l'entité C) ne transfère pas le statut de fournisseur. L'entité A reste le fournisseur.
Développement de consortiums :
- Dans le cas des modèles GPAI développés par ou pour un consortium, le fournisseur est généralement le coordinateur ou le consortium lui-même, en fonction des faits et des dispositions contractuelles.
Répartition des responsabilités en amont et en aval
Fournisseurs en amont :
- Si un acteur en amont met d'abord le modèle à la disposition d'un acteur en aval sur le marché de l'UE, cet acteur est le fournisseur et doit respecter les obligations du fournisseur au titre de l'AMPI.
Intégrateurs de systèmes en aval :
- Si un acteur en aval incorpore le modèle GPAI dans un système d'IA et met ce système sur le marché de l'UE, il est un fournisseur de système et doit respecter les obligations relatives aux systèmes d'IA.
Modèles d'origine non européenne :
- Si un modèle est mis à disposition en dehors de l'UE mais est ensuite incorporé dans un système mis sur le marché de l'UE, le modèle est considéré comme placé à ce moment-là.
- L'acteur en amont est le fournisseur, à moins qu'il n'ait explicitement exclu l'utilisation de l'UE. Dans ce cas, l'acteur en aval devient le fournisseur.
Modificateurs en aval : Quand deviennent-ils des fournisseurs ?
Toutes les modifications n'entraînent pas d'obligations de prestataire pour les acteurs en aval. Des modifications mineures n'entraînent généralement pas le reclassement d'un modificateur en tant que prestataire GPAI.
Seuil de reclassement :
- Un acteur en aval devient le nouveau fournisseur de GPAI si le calcul de formation utilisé pour la modification dépasse un tiers de celui utilisé pour former le modèle original :
- ≥ 1/3 de 10²³ FLOPS pour tous les modèles GPAI
- ≥ 1/3 de 10²⁵ FLOPS pour les modèles GPAI avec risque systémique
Champ d'application des obligations :
- Seules les obligations spécifiques à la modification s'appliquent : la documentation, le résumé des données de formation et la politique de droits d'auteur ne concernent que le calcul et les données supplémentaires.
- Toutefois, s'il modifie un modèle GPAI de risque systémique, l'acteur en aval doit se conformer pleinement à toutes les obligations en matière de risque systémique, y compris la notification à la Commission.
Modèles open source : Exemptions et conditions
Les fournisseurs de GPAI à source ouverte bénéficient d'exemptions limitées en vertu de la loi sur l'IA :
- Aucune obligation de fournir des documents aux fournisseurs en aval ou, sur demande, à l'Office AI ou aux autorités nationales.
Exigences non exemptées :
- Doit se conformer aux exigences en matière de résumé des données de formation et de politique de droits d'auteur.
S'ils sont désignés comme modèles GPAI présentant un risque systémique, ils doivent remplir toutes les obligations applicables, y compris la gestion du risque systémique, l'évaluation des modèles, la déclaration des incidents et la cybersécurité.
Pour être considéré comme un logiciel libre au sens de la loi sur l'IA, le modèle doit être publié sous une licence libre et gratuite qui :
- Autorise l'utilisation, l'accès, la modification et la redistribution.
- N'impose pas de restrictions telles que :
- Usage non commercial ou réservé à la recherche
- Interdiction de redistribution
- Seuils de taille de l'utilisateur
- Licence commerciale obligatoire pour certaines utilisations
- Restrictions autorisées :
- Exigences en matière de crédits/attributions
- Distribution sous la même licence ou sous une licence compatible
- Garanties raisonnables et proportionnées contre les utilisations à haut risque (par exemple, la sécurité publique), à condition qu'elles ne soient pas discriminatoires.
Monétisation et perte du statut de source ouverte
Un modèle GPAI perd les exemptions relatives à l'open source en cas de monétisation. Les indicateurs de monétisation sont les suivants
- Modèles de licences commerciales :
- Double licence (par exemple, gratuite pour un usage universitaire, payante pour un usage commercial)
- Assistance, maintenance ou mises à jour payantes
- Accès hébergé soumis à des redevances ou à des recettes publicitaires
- Dépendance fonctionnelle à l'égard des services payants :
- Si les utilisateurs doivent payer pour accéder à des fonctionnalités essentielles ou à des dispositifs de sécurité.
- Traitement des données personnelles :
- Le traitement des données des utilisateurs en rapport avec l'accès, l'utilisation ou la modification peut constituer une monétisation, à moins que ce ne soit uniquement à des fins de sécurité non commerciales.
La monétisation n'est pas prise en compte :
- Offrir des services ou une assistance premium en option sans restreindre l'accès gratuit au modèle et à ses fonctionnalités de base.
Mise en œuvre
Code de pratique
- La signature du code de pratique est volontaire, mais elle peut aider les fournisseurs à prouver qu'ils respectent les obligations de la loi sur l'IA pour les modèles GPAI.
- Le code n'étant pas une norme harmonisée, le fait de le signer ne crée pas une présomption automatique de conformité.
- La Commission contrôlera le respect du code par les signataires. En se retirant d'un chapitre (transparence, droits d'auteur ou sûreté/sécurité), les fournisseurs ne peuvent pas s'appuyer sur le code pour démontrer leur conformité dans ce domaine.
- Les signataires peuvent bénéficier d'une plus grande confiance et d'amendes potentiellement moins élevées.
- Les non-signataires doivent démontrer de manière indépendante leur conformité, notamment au moyen d'explications détaillées ou d'analyses des lacunes, et doivent s'attendre à un examen plus approfondi de la part de l'Office AI, en particulier en ce qui concerne les changements de cycle de vie et les modifications de modèles.
Mise en œuvre et surveillance
- L'Office AI adoptera un modèle d'application fondé sur la collaboration et le risque. La coopération informelle est encouragée pendant les phases de formation.
- Les fournisseurs de modèles GPAI de risque systémique sont censés rendre compte de manière proactive et s'engager auprès de l'Office de l'IA.
- Alors que les obligations prennent effet le 2 août 2025, l'Office AI ne dispose pas de pleins pouvoirs d'exécution avant le 2 août 2026, date à laquelle il peut demander des informations, ordonner le rappel de modèles, exiger des mesures d'atténuation ou imposer des amendes.
- Pour les modèles placés avant le 2 août 2025, les fournisseurs auront jusqu'au 2 août 2027 pour se mettre en conformité. Le recyclage ou le "désapprentissage" ne sera pas exigé s'il est techniquement ou économiquement impossible, à condition que cela soit justifié dans la documentation.
- Les modèles placés après le 2 août 2025 doivent s'efforcer d'être conformes dès leur placement. Les fournisseurs doivent s'engager de manière proactive avec l'Office AI. Les nouveaux entrants, en particulier les développeurs de modèles de risque systémique, recevront un soutien pour faciliter la mise en conformité.
- Reconnaissant l'état immature des écosystèmes d'évaluation externe, l'Office AI pourrait intervenir pour coordonner l'élaboration de normes cohérentes.
Révision des lignes directrices
- La Commission peut mettre à jour ou retirer les présentes lignes directrices sur la base des éléments suivants :
- Expérience de la mise en œuvre
- Résultats de l'application de la loi
- Évolution du marché et des technologies
- Arrêts de la Cour de justice de l'UE (CJUE)
- Les parties prenantes - y compris les fournisseurs, les régulateurs, les chercheurs et la société civile - seront invitées à contribuer aux mises à jour par le biais de consultations et d'ateliers.
Annexe : Calcul de formation - définitions et méthodes d'estimation
Définition :
- Le calcul de formation est le calcul total utilisé pour former un modèle et évaluer s'il atteint les seuils GPAI de risque systémique :
- Pour les modèles à risque non systémique : calcul utilisé pour la mise à jour des paramètres.
- Pour l'évaluation du risque systémique : toutes les formations cumulées comptent.
Inclusions :
- Tous les calculs contribuent aux capacités du modèle, y compris les passes avant pour la génération de données synthétiques (même les données rejetées).
- Calcul pour la fusion des poids ou l'initialisation à l'aide de modèles pré-entraînés.
Exclusions :
- Calculer pour :
- Données synthétiques accessibles au public
- Tâches de diagnostic/évaluation
- Expériences échouées ou essais à des fins de recherche uniquement
- Formation de modèles auxiliaires (par exemple, modèles de récompense)
- Recalcul de l'activation pour économiser de la mémoire
Méthodes d'estimation :
- Couvrir les approches basées sur le matériel et l'architecture.
- L'estimation doit être précise à ±30%, avec une documentation sur les hypothèses et les incertitudes.