Skip to main content
Actualités CNIL & DATA

IA générative : les nouvelles obligations à partir du 2 août 2025 (Règlement IA européen)

Par 24 juillet 2025juillet 25th, 2025Aucun commentaire

Le 2 août 2025, les obligations prévues par le Règlement européen sur l’intelligence artificielle (IA Act) entrent officiellement en application pour les modèles d’IA à usage général (IAGP/GPAI), en particulier ceux utilisés dans les solutions d’IA générative. Fournisseurs et entreprises déployant ces technologies doivent désormais se conformer à des exigences strictes en matière de documentation, transparence, cybersécurité et gestion des risques.

Lexagone, expert en conformité RGPD, vous accompagne dans cette nouvelle étape vers une IA sécurisée, éthique et conforme.

Qu’est-ce qu’un système d’IA à usage général (GPAI) ?

 
Les systèmes d’IA à usage général sont des modèles d’intelligence artificielle capables de remplir un large éventail de tâches sans avoir été spécifiquement conçus pour l’une d’entre elles. C’est le cas des IA génératives comme ChatGPT, Claude, Mistral ou Gemini, qui peuvent générer des contenus quelle qu’en soit la forme (texte, images, vidéos, musique, codes).

Ainsi, les systèmes intégrant des grands modèles de langage (large language models ou LLM) sont qualifiés de systèmes d’IA à usage général.

À compter du 2 août 2025, le chapitre V de l’IA Act s’applique à ces modèles, avec des obligations renforcées pour ceux considérés comme présentant un risque systémique (grande puissance de calcul, impact étendu sur l’écosystème numérique…).

Quelles sont les nouvelles obligations à respecter ?

 

1. Documentation et transparence – art. 53 du RIA

 

  • Fournir une documentation technique complète : architecture du modèle, méthodes d’entraînement, limitations connues…
  • Publier un résumé clair du dataset d’entraînement, avec des informations sur les sources, le nettoyage des données, etc.
  • Intégrer une politique de respect du droit d’auteur, garantissant une utilisation licite des données protégées.

NB : la documentation technique du modèle, y compris son processus d’entraînement, d’essai et les résultats de son évaluation, doit être fournie, sur demande, au Bureau de l’IA* et aux autorités nationales compétentes.

 

2. Conformité renforcée pour les modèles systémiques – art. 113 du RIA

 

Un modèle d’IA à usage général est classé comme présentant un risque systémique s’il remplit l’une des conditions suivantes :

  • il a des capacités d’impact élevées, évaluées sur la base d’outils et de méthodologies techniques appropriés, y compris des indicateurs et des critères de référence ;
  • sur la base d’une décision de la Commission, d’office ou à la suite d’une alerte qualifiée du groupe scientifique, il a des capacités ou un impact équivalents à ceux visés précédemment, compte tenu des critères énoncés à l’annexe XIII du RIA.

Enfin, un modèle d’IA à usage général est présumé avoir des capacités d’impact élevées, lorsque le volume cumulé de calcul utilisé pour son apprentissage, mesuré en opérations à virgule flottante, est supérieur à 10(^25).

Les obligations renforcées pour les modèles systémiques sont :

  • Réaliser des tests de robustesse et de sécurité (adversarial testing).
  • Mettre en place un système de gestion des risques et de surveillance post-déploiement.
  • Notifier les incidents graves au Bureau européen de l’IA et aux autorités nationales compétentes.
  • Appliquer des mesures de cybersécurité spécifiques et évaluer les impacts sur les droits fondamentaux

NB : les fournisseurs doivent notifier au Bureau de l’IA les modèles d’IA à usage général présentant un risque systémique qui seront mis sur le marché de l’Union européenne.

 

3. Code de bonnes pratiques des modèles d’IA générative

 

Le 10 juillet 2025, la Commission européenne à reçu le code de bonnes pratiques des modèles d’IA à usage général (GPAI). Il permet de démontrer une présomption de conformité.

Il porte sur :

  • La transparence ;
  • Le respect du droit d’auteur ;
  • La sûreté et la sécurité pour les modèles les plus avancés qui sont soumis aux obligations des modèles d’IA à usage général présentant un risque systémique

NB : d’ici le 2 août, le Bureau de l’IA et l’AI Board évaluent ce code de bonnes pratiques des modèles d’IA à usage général et peuvent l’approuver par le biais d’une décision d’adéquation.

 

4. Points clés des lignes directrices pour les fournisseurs de modèles d’IA à usage général

 

Le 18 juillet 2025, la Commission européenne a publié des lignes directrices visant à clarifier la portée des obligations des fournisseurs de modèles d’IA à usage général qui entrent en application le 2 août 2025.

Elles introduisent des critères techniques simples pour définir si un modèle d’IA est considéré comme « à usage général ». Cela aide les développeurs à comprendre s’ils doivent se conformer aux obligations prévues par la loi sur l’IA.

Elles ont une  approche pragmatique en précisant que seules les personnes qui apportent des modifications importantes aux modèles d’IA doivent se conformer aux obligations des fournisseurs de modèles d’IA à usage général, et non celles qui apportent des modifications mineures.

Enfin, ces lignes directrices précisent dans quelles conditions les fournisseurs de modèles d’IA open source sont exemptés de certaines obligations, afin de promouvoir la transparence et l’innovation.

 

5. La CNIL a également publié ses dernières fiches IA, en précisant les conditions d’applicabilité du RGPD aux modèles d’IA

 

Le 22 juillet dernier, la CNIL a publié ses dernières fiches IA, en précisant les :

  • Conditions d’applicabilité du RGPD aux modèles ;
  • Impératifs de sécurité ;
  • Conditions d’annotation des données d’entraînement.

La CNIL rappelle que cette phase d’annotation des données d’entraînement est déterminante pour garantir la qualité du modèle entraîné et la protection du droit des personnes, tout en développant des systèmes d’IA plus fiables et performants.

Sanctions en cas de non-conformité au RIA

 
Les sanctions prévues par le Règlement IA sont importantes :

  • Tous les fournisseurs de GPAI, qu’ils développent ou distribuent des modèles d’IA générative, sont soumis à des obligations (documentations techniques, transparence, respect du droit d’auteur…). En cas de non-respect :

    – Amende administrative pouvant aller jusqu’à 15 millions d’euros,

    – ou jusqu’à 3 % du chiffre d’affaires mondial annuel total (le montant le plus élevé étant retenu).

     

  • Pour les modèles présentant des capacités générales très élevées, identifiés comme « systémiques » (notamment selon le seuil de puissance > 10²⁵ FLOP), les obligations sont renforcées : évaluation des risques, adversarial testing, cybersécurité, notification à l’AI Office…

    En cas de manquement à ces obligations renforcées, les sanctions sont plus lourdes :

    – Amende administrative pouvant aller jusqu’à 35 millions d’euros,

    – ou jusqu’à 7 % du chiffre d’affaires mondial annuel total.

     

  • Responsabilité civile possible pour les déployeurs en cas de dommages causés par des IA mal encadrées (notamment si le personnel n’est pas formé).

NB : à partir du 2 août 2026, les pouvoirs d’exécution de la Commission entrent en vigueur. La Commission veillera au respect des obligations des fournisseurs de modèles d’IA à usage général, y compris en leur infligeant des amendes. Enfin, le 2 août 2027les fournisseurs de modèles d’IA à usage général mis sur le marché avant le 2 août 2025 devront également être conforme.

 

Lexagone vous accompagne dans la mise en conformité votre projet IA et sa sécurité opérationnelle

 

Forts de notre expertise en protection des données personnelles et en conformité réglementaire, nous proposons un accompagnement complet :

Audit IA & cartographie des risques

  • Identification des GPAI utilisés dans votre organisation.
  • Évaluation du niveau de risque (systémique ou non).
  • Analyse de conformité IA-RGPD.

Documentation & conformité technique

  • Assistance à la rédaction de la documentation requise.
  • Rédaction du résumé de dataset et de la politique de droit d’auteur.
  • Préparation à l’intégration du code de bonne conduite GPAI.

Sécurité & gestion des risques

  • Mise en place d’un plan de cybersécurité adapté.
  • Outils de détection et de signalement d’incidents IA.
  • Aide au reporting auprès du Bureau de l’IA.

Formation & sensibilisation

  • Programmes de formation pour vos équipes.
  • Modules sur les responsabilités juridiques en matière d’IA.
  • Ateliers pratiques sur la gouvernance des systèmes IA.

*Le Bureau de l’IA est le centre d’expertise en matière d’IA de l’Union européenne qui a été mis en place par le RIA. Il joue un rôle clé dans la mise en œuvre de la législation sur l’IA, en particulier pour l’IA à usage général, en favorisant le développement et l’utilisation d’une IA digne de confiance, ainsi que la coopération internationale.

La structure organisationnelle du Bureau de l’IA se compose de 5 unités et de 2 conseillers :

  • L’unité «Excellence en matière d’IA et de robotique» ;
  • L’unité « Réglementation et conformité » ;
  • L’unité « Sécurité AI » ;
  • L’unité «Innovation et coordination des politiques en matière d’IA» ;
  • L’unité « IA pour le bien de la société » ;
  • Le conseiller scientifique principal ;
  • Le conseiller aux affaires internationales.

Auteur Nicolas Samarcq

Nicolas Samarcq : fondateur du cabinet Lexagone et de la solution DPM (Data Privacy Manager). Précurseur dans le domaine réglementaire de la protection des données, Lexagone est l’un des premiers cabinets de conseil à proposer un logiciel permettant de tenir le registre des activités de traitement pour piloter sa mise en conformité. La force de Lexagone repose sur ses services de DPO externe et ses accompagnements spécifiques pour des projets innovants ou complexes (IA en santé, AIPD pour les dispositifs e-santé, ….).

Plus d'articles de Nicolas Samarcq

Parlons de votre conformité


Informations de contact

Email : contact@lexagone.fr
Téléphone : +33 (0)972 169 310

Lexagone est présent à :

  • Biarritz
  • Bordeaux
  • Grenoble
  • Lille
  • Lyon
  • Marseille
  • Montpellier
  • Paris
  • Nantes
  • Toulon
lexagone logo

Notre cabinet de conseil RGPD propose des prestations de DPO externe orchestrées par des équipes de juristes spécialisés pour une gouvernance RGPD maîtrisée.

Membre de :

afcdp min
logo apssis h100 min
club decision dsi min

Référencé par :

logo caih 400 copie 0 0 1 min
53a58cfd 2d9c 4a08 84ac f80456cd147b
logo csirt blue
logo footer@2x