+32(0)475337590

info@lawgitech.eu

Web Design

Your content goes here. Edit or remove this text inline.

Logo Design

Your content goes here. Edit or remove this text inline.

Web Development

Your content goes here. Edit or remove this text inline.

White Labeling

Your content goes here. Edit or remove this text inline.

VIEW ALL SERVICES 

NOS SERVICES
NOS OUTILS
TOUS LES ARTICLES

AI Act : les nouvelles obligations de transparence des GPAI (Model Card)

By Lawgitech

5 août 2025

Introduction : la fin des boîtes noires en Europe ?

Depuis l’adoption fulgurante des LLM fin 2022, les régulateurs européens ont pris conscience d’un vide réglementaire majeur : l’absence d’informations claires sur le fonctionnement des modèles d’intelligence artificielle (IA) dits « généraux » ou GPAI (General-Purpose AI Models). Résultat ? Une course contre la montre pour encadrer juridiquement leur conception, leur déploiement, et surtout… leur transparence.

Le 10 juillet 2025, l’AI Office publie la version finale du Code of Practice GPAI, un outil volontaire structuré autour de trois volets : transparence, droit d’auteur, sécurité. Les obligations correspondantes deviennent légalement applicables dès le 2 août 2025, via les articles 53 et 55 de l’AI Act. Les fournisseurs ayant déjà des modèles sur le marché disposent d’une période transitoire jusqu’au 2 août 2027. Des acteurs majeurs comme Google, OpenAI ou Anthropic ont signé le Code pour bénéficier d’une conformité reconnue, tandis que certaines entreprises (Meta, xAI) en refusent partiellement ou totalement les termes.

Ces dispositions exigent une documentation technique normalisée couvrant les objectifs du modèle, les données d’entraînement, les métriques de performance, les limites évidentes — via deux supports distincts (Annexe XI pour les autorités, annexe XII pour les intégrateurs).

Pour le public professionnel (entreprises ou autorités), cette transparence se matérialise par un dossier type “Model Card” :

  • Formulaire technique (Annexe XI) : documentation technique pour les fournisseurs de modèles d’IA à usage général

  • Bloc d’information (Annexe XII) : documentation technique pour les fournisseurs de modèles d’IA à usage général aux fournisseurs en aval qui intègrent le modèle dans leur système d’IA

Pour les modèles open source véritablement libres (poids, code, architecture et informations sur l’utilisation du modèle), une exemption est prévue par l’article 53(2), sauf si le modèle présente un risque systémique.

Attention, cette exemption ne concerne ne concerne que la documentation technique mais pas la documentation relative aux données d’entrainement et au droit d’auteur !

Mais reprenons d’abord les bases : L’AI Act ne définit pas la notion de modèle (qu’on pourrait décrire comme une entité logicielle autonome; entraînée, capable de générer des inférences sur la base de critères mathématiques) mais bien celle de modèle d’IA à usage général (GPAIM art 3.63) : « un modèle d’IA, y compris lorsqu’il est formé à l’aide d’une grande quantité de données en utilisant l’autosupervision à l’échelle, qui présente une grande généralité et est capable d’exécuter avec compétence un large éventail de tâches distinctes, quelle que soit la manière dont le modèle est mis sur le marché, et qui peut être intégré dans divers systèmes ou applications en aval, à l’exception des modèles d’IA qui sont utilisés pour des activités de recherche, de développement ou de prototypage avant d’être mis sur le marché ».

Cette distinction étant faite, quelles sont les tenants et aboutissants relatifs à ces GPAI ?

📘 Pourquoi cette transparence est devenue indispensable

  1. Responsabilisation du fournisseur – fini le « modèle boîte noire » : le fournisseur doit assumer une posture de partenaire informatif auprès des intégrateurs professionnels, ce qui reflète une montée en puissance du standard accountability by design.

  2. Conformité sectorielle – comme un manuel d’un équipement critique, ces fiches (Model Card) deviennent nécessaires pour les autorités publiques ou les entreprises intégrant des composants IA externes dans leurs produits, services ou activités.

  3. Respecter les attentes de gouvernance – certains organismes (publics ou privés) incluent déjà ces éléments dans leurs conditions d’admissibilité aux marchés (ex : DPIA ou cahier des charges tech). Ainsi, offrir une documentation claire devient un levier de confiance et une conditions d’accès à certains marchés.

📄 Qu’est-ce qu’un “Model Card” conforme ?

Le Code of Practice GPAI, publié par l’AI Office en juillet 2025, propose un template validé pour structurer la documentation nécessaire (Measure 1.1). Ce modèle doit être mis à jour avec les éventuelles versions successives, et archivage obligatoire pendant 10 ans après mise sur le marché.

À inclure :

  • Des informations pour les autorités (Annexe XI) :

    • Description du modèle (version, développeur, but, architecture).

    • Données d’entraînement : sources, licences, mesures anti-poisoning ou scrap illégal.

    • Résultats d’évaluation (metrics, biais connus, adversarial robustness).

    • Gestion des incidents et risques.

  • Des informations pour les intégrateurs (Annexe XII) :

    • Capacités principales et limites opérationnelles.

    • Recommandations d’encadrement humain, prompts déconseillés, biais « hors-scope ».

    • Domaines d’usage (ex : santé, finance) et cas à éviter.

Bonnes pratiques techniques :

  • Indiquer les datasets tests utilisés (benchmarks, arbitration).

  • Signaler les dysfonctionnements (ex : phrase mal interprétée, hallucinations typiques).

  • Décrire les contraintes de prompt injection ou les vecteurs de contamination.

 

⚖️Comment les entreprises ou autorités devraient s’y préparer

1. Analyse préparatoire

  • Identifiez si votre modèle est un GPAI (cf. art. 3(63)).

  • Recensez les usages downstream envisagés et définissez une chaîne documentaire.

2. Construction d’un modèle de gouvernance documentaire

  • Utilisez le template officiel de l’AI Office.

  • Référez-vous à l’outil « Model Card Regulatory Check » proposé par l’OCDE pour standardiser les checklists juridiques/techniques.

3. Coordination juridique-technique en interne

  • Travaillez en binôme juriste / équipe R&D : données, architectures, détection de fraudes, catalogues d’usage (privilégier les use‑case cards inspirées du modèle UML / AI Cards).

4. Cycle de révision : sécurité & contrôle qualité

  • Il est également nécessaire de maintenir la qualité des informations, afin d’assurer la traçabilité, l’intégrité et la cohérence des données consignées — notamment au moyen du versionnage, des contrôles par empreinte hash et de la journalisation interne.

Ce dossier “Model Card” est désormais la clé de voûte pour tout modèle d’IA généraliste conforme au régime européen. La documentation technique réglementaire (Annexes XI/XII) ne reflète plus une pratique volontaire : c’est une nécessité pour tout fournisseur professionnel ou administration publique.

Voici d’ailleurs le template pour vous aider dans votre mise en conformité.

En tant que cabinet spécialisé Lawgitech, nous pouvons vous assister pour :

  • Gérer l’audit de votre documentation existante

  • Co-concevoir la version modèle (gestion des secrets)

  • Former vos équipes (technique + juridique) à la chaîne documentations

  • Vous accompagner en cas de demande de l’AI Office ou autorité nationale

 

En savoir plus sur Lawgitech

Abonnez-vous pour poursuivre la lecture et avoir accès à l’ensemble des archives.

Poursuivre la lecture