AI Act : entrée en application des dispositions applicables aux modèles d’IA à usage général (GPAI)

AI Act : entrée en application des dispositions applicables aux modèles d’IA à usage général (GPAI)

Ce qu’il faut retenir

Après l’interdiction des IA à risque inacceptable devenue effective le 2 février 2025, une nouvelle série de dispositions est entrée en application le 2 août dernier, visant principalement les modèles d’IA à usage général ou GPAI.


Le règlement sur l’IA (RIA ou AI Act) du 13 juin 2024 entre en application par étapes. Après l’interdiction des IA à risque inacceptable devenue effective le 2 février 2025, une nouvelle étape vient d’être franchie avec l’entrée en application, le 2 août dernier, d’une nouvelle série de dispositions, visant principalement les modèles d’IA à usage général ou GPAI, mais également la gouvernance et le contrôle de l’application de l’AI Act ainsi qu’une partie des dispositions relatives aux sanctions.


1. L’entrée en application des dispositions applicables aux modèles d’IA à usage général

Le 2 août 2025, les dispositions visant les modèles d’IA à usage général ou modèles de GPAI, prévues au chapitre V de l’AI Act (articles 51 à 56), sont entrées en application.

Cette étape a été précédée, courant juillet, par la publication par la Commission européenne du code de bonnes pratiques et des lignes directrices, deux textes permettant aux fournisseurs de modèles de GPAI de mieux comprendre la nature des obligations leur incombant en vertu de l’AI Act pour se mettre en conformité.

L’AI Act prévoit deux séries d’obligations, à savoir les obligations communes à tous les fournisseurs de modèles d’IA à usage général (art. 52) et des obligations supplémentaires pour les fournisseurs de modèles d’IA présentant un risque systémique. Pour de plus amples développements sur ces obligations, voir notre article : “AI Act : quelles obligations pour les fournisseurs de modèles d’IA à usage général (GPAI)

La mise en conformité des modèles de GPAI est toutefois soumise à un calendrier qui s’étend sur deux ans :

    - Les nouveaux modèles de GPAI commercialisés à partir du 2 août 2025 doivent être conformes. Cependant, les mesures d’exécution de la Commission (demandes d’informations, accès aux modèles, etc.) ne seront applicables qu’à partir du 2 août 2026.
    - Pour les modèles de GPAI déjà sur le marché à cette date, les fournisseurs disposent de deux ans, soit jusqu’au 2 août 2027, pour les mettre en conformité.


2. Les dispositions relatives à la gouvernance de l’IA

Le chapitre VII de l’AI Act (art. 64 à 70), relatif à la gouvernance, entre également en application à compter du 2 août 2025. 

Ces dispositions concernent la mise en place des structures en charge de l’application du règlement, aux niveaux européen et nationaux. 

Le Comité européen de l’IA (ou Comité IA) est créé. Le Comité IA est composé d’un représentant par État membre. Le Contrôleur européen de la protection des données (CEPD) participe en qualité d’observateur. 

La fonction principale du Comité IA est de conseiller et d’assister la Commission et les États membres afin de faciliter l’application cohérente et efficace du règlement. Cette fonction se décline notamment autour des tâches suivantes : (art. 66)
    - contribution à la coordination entre les autorités nationales compétentes chargées de l’application du règlement ;
    - recueil de l’expertise technique et réglementaire ainsi que des bonnes pratiques et partage entre les États membres ;
    - fourniture de conseils sur la mise en oeuvre du règlement, en particulier en ce qui concerne le contrôle de l’application des règles relatives aux modèles d’IA à usage général ;
    - contribution à l’harmonisation des pratiques administratives dans les États membres ; 
    - publication de recommandations et d’avis écrits sur toute question pertinente liée à la mise en oeuvre du règlement et à son application ;
    - fourniture de conseils à la Commission sur les questions internationales en matière d’IA et contribution à la coopération avec les autorités compétentes de pays tiers et des organisations internationales.

Le Comité IA poursuit également une mission pédagogique, en contribuant à développer l’expertise organisationnelle et technique des autorités nationales compétentes et de la Commission, nécessaire à la mise en oeuvre du règlement. 

Compte tenu de la haute technicité de l’IA et de l’évolution rapide des systèmes, le Comité IA dispose de deux organes consultatifs d’experts : le forum consultatif et un groupe d’experts indépendants. Leurs rôles respectifs sont décrits aux articles 67 et 68 du règlement.

On notera que les fonctions du Comité IA sont globalement calquées sur celles du Comité européen de la protection des données (CEPD).

Doivent également être créées les différentes autorités nationales compétentes prévues par le règlement, à savoir, au moins une autorité notifiante et une autorité de surveillance du marché dans chaque Etat-membre.

Pour l’instant, nous ne connaissons pas précisément les autorités qui seront nommées en France, sachant que la CNIL, l’ARCOM et la DGCCRF devraient être impliquées dans la mise en oeuvre de l’AI Act.


3. Les sanctions

Enfin, le chapitre XII (art. 99 à 101), relatif aux sanctions entre en application le 2 août 2025, à l’exception des sanctions applicables aux fournisseurs de modules de GPAI (art. 101), qui entreront en application dans deux ans.

Comme en matière de protection des données personnelles, le montant des amendes peut être substantiel. Toutefois les sanctions doivent être effectives, proportionnées et dissuasives. Elles tiennent compte de la taille et du chiffre d’affaires des entreprises concernées, notamment “des intérêts des PME, y compris les start-up (jeunes pousses), et de leur viabilité économique.” (art. 99 1.)

Le montant des amendes est également fixé en fonction du type de violation constatée. Ainsi :

    - le non-respect de l’interdiction des pratiques en matière d’IA à risque inacceptable visées à l’article 5 fait l’objet d’amendes administratives pouvant atteindre 35.000.000 EUR ou 7% du chiffre d’affaires annuel mondial total réalisé par l’entreprise au cours de l’exercice N-1, le montant le plus élevé étant retenu.

    - La non-conformité avec l’une quelconque des dispositions incombant aux fournisseurs, à leurs mandataires, aux importateurs, aux distributeurs et aux déployeurs de systèmes d’IA à haut risque fait l’objet d’une amende administrative pouvant atteindre 15.000.000 EUR ou  3% du chiffre d’affaires annuel mondial total réalisé par l’entreprise au cours de l’exercice N-1, le montant le plus élevé étant retenu.

    - La fourniture d’informations inexactes, incomplètes ou trompeuses aux organismes notifiés ou aux autorités nationales compétentes en réponse à une demande fait l’objet d’une amende administrative pouvant atteindre 7.500.000 EUR ou 1% du chiffre d’affaires annuel mondial total réalisé par l’entreprise au cours de l’exercice N-1, le montant le plus élevé étant retenu.

    - Dans le cas des PME, y compris les jeunes pousses, le chiffre le plus faible est retenu.

Des amendes peuvent aussi être prononcées à l’encontre des administrations par le Contrôleur européen de la protection des données (CEPD). Le montant de ces amendes est nettement inférieur à celui fixé pour les entreprises. Elles peuvent atteindre 1.500.000EUR en cas de violation des dispositions relatives aux IA interdites et 750.000 EUR en cas de non-conformité du système d’IA avec les autres exigences ou obligations prévues au règlement.

La prochaine étape interviendra le 2 août 2026, date à laquelle la plupart des dispositions du règlement entreront en application.


* * * * * * * * * * *


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Août 2025 

Retourner à la page des Actualités et Publications

Mots clés :

accessibilité numérique (7) adwords (3) ai (24) arcep (3) arcom (12) audiovisuel (3) base de données (3) bitcoin (1) blockchain (6) cbpr (3) cgv (1) chine (1) cloud computing (2) cnil (15) commerce (4) communication (8) compliance (29) confidentialité (2) conformité (17) consommateurs (3) contrat (8) contrefaçon (10) cookies (6) copyright (5) csa (1) cybercriminalité (5) cybersquatting (3) data (1) data privacy framework (2) dma (4) données à caractère personnel (17) données personnelles (29) dpf (2) droit d'auteur (11) dsa (6) e-commerce (13) e-consommateurs (1) enfance (5) etats-unis (5) eu (15) europe (14) formation (1) fraude (2) gdpr (28) google (4) hébergeur (5) ia (16) ico (1) informatique (10) informatique et libertés (4) intelligence artificielle (15) internet (32) jeu vidéo (3) liberté d'expression (3) logiciel (9) loi informatique et libertés (5) loi sren (6) marque (3) métavers (3) méthode agile (2) monnaie électronique (1) moteur de recherche (7) nft (4) nom de domaine (1) numérique (10) originalité (4) privacy shield (2) propriété intellectuelle (12) protection des données (9) publicité (6) référencement (4) réglementation (12) réseau (1) réseaux sociaux (10) responsabilité (9) responsable du traitement (10) rgpd (21) robotique (7) rpa (6) salariés (4) santé publique (1) sécurité (7) singapour (4) site web (2) us (3) vie privée (19)