Si votre entreprise a intégré GPT, Claude ou Gemini dans un produit maison — un chatbot, un assistant qui rédige des rapports, un scoring qui aide à décider quelque chose sur une personne —, vous pensez sans doute que les obligations de l'AI Act sur ces modèles concernent OpenAI, Google ou Anthropic. C'est en partie vrai. Mais il existe un point précis où cette responsabilité bascule vers votre propre entreprise, et la plupart des PME qui intègrent de l'IA générative dans leur logiciel ne l'ont jamais vérifié.
Cet article explique ce qu'est exactement un modèle GPAI (ou « modèle de fondation »), ce que doivent faire ses fournisseurs depuis le 2 août 2025, ce que couvre le Code de bonnes pratiques signé par la plupart des grands laboratoires et — le plus important pour des milliers de PME — à quel moment le simple fait de construire un produit sur GPT, Claude ou Gemini fait de vous, et non du laboratoire qui a entraîné le modèle, un fournisseur avec ses propres obligations.
En résumé : un modèle GPAI (art. 3.63 du règlement) est un modèle avec une généralité suffisante pour réaliser de multiples tâches et s'intégrer dans différents systèmes — GPT, Claude, Gemini, Llama, Mistral. Depuis le 2 août 2025, ses fournisseurs doivent le documenter (annexe XI), informer les intégrateurs (annexe XII), disposer d'une politique de droits d'auteur et publier un résumé du contenu d'entraînement (art. 53). Au-delà de 1025 FLOPs, un modèle est présumé à « risque systémique » et l'article 55 s'ajoute. Le Code de bonnes pratiques (10 juillet 2025) a été signé par Google, Microsoft, OpenAI, Anthropic et IBM, pas par Meta. Si vous utilisez ces modèles uniquement en interne, votre obligation est l'alphabétisation de l'art. 4 ; si vous construisez et vendez un produit dessus, l'article 25 peut faire de vous le fournisseur de votre propre système — à haut risque s'il automatise des décisions sur des personnes. Le Digital Omnibus ne retarde rien de tout cela.
Votre produit intègre GPT, Claude ou Gemini et vous ne savez pas si cela fait de vous un fournisseur ? Consultez le service de conformité AI Act.
Qu'est-ce qu'un modèle GPAI (« modèle de fondation ») exactement ?
Le règlement (UE) 2024/1689 définit le modèle d'IA à usage général à l'article 3, point 63 : un modèle entraîné sur de grandes quantités de données, typiquement par autosupervision à grande échelle, présentant une généralité significative et capable d'exécuter avec compétence un large éventail de tâches distinctes, et pouvant être intégré dans divers systèmes en aval. Le considérant 97 précise pourquoi cette définition existe : séparer le « modèle » du « système d'IA ». GPT, Claude ou Gemini sont des modèles ; votre chatbot ou votre outil de tri de CV sont des systèmes d'IA construits en utilisant ce modèle, plus une interface et une finalité concrète.
« Modèle de fondation » (foundation model ) est le terme courant ; le règlement emploie « modèle d'IA à usage général » (GPAI). C'est la même chose : la famille GPT d'OpenAI, Claude d'Anthropic, Gemini de Google, Llama de Meta ou Mistral Large, que des dizaines de milliers d'entreprises européennes — majoritairement des PME — utilisent directement ou intègrent via API dans leurs propres produits.
Quelles obligations pour les fournisseurs de GPAI depuis le 2 août 2025 ?
Le chapitre V du règlement (articles 51 à 56) est entré en application le 2 août 2025 , un an avant l'essentiel de l'AI Act. Il incombe au fournisseur du modèle — OpenAI, Google, Anthropic, Meta, Mistral AI — et non à qui l'utilise simplement. L'article 53 exige quatre choses de tout fournisseur de GPAI :
Obligation (art. 53.1) En quoi elle consiste
Documentation technique Élaborer et tenir à jour la documentation du modèle selon l'annexe XI : architecture, processus d'entraînement, capacités, limites.
Information aux intégrateurs Fournir à qui construit des systèmes sur le modèle les informations de l'annexe XII : ce qu'il peut et ne peut pas faire, comment l'intégrer en toute sécurité.
Politique de droits d'auteur Disposer d'une politique respectant la directive (UE) 2019/790, y compris l'opt-out de fouille de textes et de données.
Résumé de l'entraînement Publier un résumé suffisamment détaillé du contenu d'entraînement, avec le modèle fixé par le Bureau de l'IA le 24 juillet 2025.
Deux nuances peu expliquées. Les modèles open source — poids et architecture publics — sont exemptés des deux premières obligations, pas de la politique de droits d'auteur ni du résumé d'entraînement ; l'exemption disparaît en cas de risque systémique. Et l'article 111.3 accorde une période transitoire de deux ans aux modèles déjà sur le marché avant le 2 août 2025 : conformité pleine exigible le 2 août 2027 , pas du jour au lendemain.
Qu'est-ce que le Code de bonnes pratiques GPAI et qui l'a signé ?
Un instrument volontaire publié en version finale par le Bureau de l'IA de la Commission le 10 juillet 2025 . Sa fonction : un fournisseur de GPAI qui y adhère et le respecte bénéficie d'une présomption de conformité avec les articles 53 et 55, en l'absence de normes harmonisées (art. 53.4). C'est le raccourci offert par la Commission pour démontrer la conformité sans attendre une norme technique formelle.
L'adhésion a été inégale. Ont signé, entre autres, Google, Microsoft, OpenAI, Anthropic, Amazon et IBM . Meta a annoncé en juillet 2025 qu'elle ne signerait pas , et xAI n'a adhéré qu'au chapitre sécurité. Cela ne change pas vos obligations en tant qu'intégrateur, mais un fournisseur non signataire fournit généralement une documentation d'annexe XII moins complète — celle-là même dont vous aurez besoin si vous devez ensuite justifier votre système auprès de l'AESIA.
Votre PME intègre GPT, Claude ou Gemini dans son produit : quand devenez-vous fournisseur ?
La réponse comporte deux niveaux à ne pas confondre.
Niveau 1 — Usage interne. Si votre équipe utilise ChatGPT, Copilot ou Gemini pour rédiger, résumer ou coder, sans le proposer à des clients externes, vous êtes simplement déployeur . Les obligations du chapitre V incombent à OpenAI, Microsoft ou Google en tant que fournisseurs du modèle, pas à vous. Votre obligation réelle, en vigueur depuis février 2025, est l'art. 4 : alphabétisation à l'IA des personnes qui utilisent ces outils.
Niveau 2 — Vous construisez et vendez un produit sur le modèle. Tout change. L'article 25 régit la responsabilité tout au long de la chaîne de valeur et prévoit trois cas où un distributeur, déployeur ou intégrateur devient fournisseur : (a) vous apposez votre marque sur un système d'IA déjà sur le marché ; (b) vous le modifiez substantiellement ; ou (c) — celui qui concerne le plus l'intégration de GPAI — vous changez la finalité d'un système d'IA à usage général, non classé à haut risque, de sorte qu'il le devienne .
Ce troisième cas est exactement ce que font des milliers de PME logicielles sans le savoir. Prendre l'API de Claude ou de GPT-4o et l'intégrer dans un outil de tri de CV, un scoring de crédit ou une évaluation éducative, ce n'est pas « utiliser l'IA » : c'est créer un système à haut risque de l'annexe III, et vous — pas Anthropic ni OpenAI — en devenez le fournisseur, avec évaluation de conformité, documentation technique propre, enregistrement dans la base de données de l'UE, supervision humaine et surveillance post-commercialisation. Les obligations du chapitre V restent celles d'Anthropic ou d'OpenAI sur leur modèle ; les vôtres portent sur votre système , et elles s'additionnent, elles ne se substituent pas.
Le moyen le plus rapide de savoir où vous en êtes est de cocher en deux minutes ce que fait votre produit avec le classificateur de risque AI Act , gratuit et sans inscription. Si en plus vous vous demandez quelles autres normes — NIS2, DORA, RGPD — s'appliquent à votre entreprise, l'assistant « quelle réglementation s'applique à moi ? » répond en 10 questions. La répartition complète des rôles, avec un arbre de décision, est détaillée dans fournisseur, déployeur, importateur : qui doit faire quoi selon l'AI Act , et ce qui fait basculer un système en annexe III dans classification des risques de l'AI Act et l'annexe III expliquée .
Quand considère-t-on qu'un modèle GPAI présente un « risque systémique » ?
L'article 51.2 fixe une présomption : un modèle est à risque systémique lorsque la puissance de calcul cumulée d'entraînement dépasse 1025 FLOPs . C'est réfutable devant la Commission, et ce n'est pas la seule voie : la Commission peut aussi désigner un modèle selon des capacités à fort impact, indépendamment du calcul, et ajuster le seuil par acte délégué. Les fournisseurs doivent notifier la Commission (art. 52) dès qu'ils atteignent ou prévoient d'atteindre ce seuil ; aujourd'hui, seule une poignée de modèles de dernière génération — OpenAI, Google DeepMind, Anthropic, Meta — se situe dans cette fourchette.
En franchissant ce seuil, l'article 55 ajoute quatre obligations à celles de l'art. 53 : évaluation avec tests contradictoires documentés, atténuation des risques systémiques à l'échelle de l'Union, notification des incidents graves au Bureau de l'IA et cybersécurité renforcée. Pour votre PME, ce n'est presque jamais un problème direct, mais cela explique pourquoi la documentation d'un modèle à risque systémique est souvent plus complète. Vérifiez si votre système hérite d'une obligation supplémentaire avec le classificateur de risque AI Act .
Le Digital Omnibus affecte-t-il les obligations des modèles GPAI ?
Non. Le Digital Omnibus sur l'IA — adopté par le Conseil le 29 juin 2026, signé le 8 juillet 2026 (PE-CONS 30/1/26 REV 1) et toujours en attente de publication au Journal officiel de l'UE, publication prévue avant le 2 août 2026 — reporte l'annexe III (à décembre 2027) et l'annexe I (à août 2028). Il ne modifie aucun article du chapitre V : les obligations des fournisseurs de GPAI sont en vigueur sans changement depuis le 2 août 2025.
Il introduit une catégorie intermédiaire entre PME et grande entreprise — la « moyenne capitalisation », jusqu'à 750 salariés et 150 millions d'euros de chiffre d'affaires — à laquelle s'étendent certaines mesures de simplification qui ne bénéficiaient jusqu'ici qu'aux PME (art. 99.6). Mais cela concerne la conformité des systèmes à haut risque, pas les obligations GPAI elles-mêmes : l'art. 53 s'applique de la même façon, qu'il s'agisse d'OpenAI ou d'une start-up espagnole entraînant son propre modèle.
Quelles sanctions en cas de manquement aux obligations GPAI ?
L'article 101 permet à la Commission européenne — pas à l'AESIA — d'infliger des amendes allant jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires mondial , le montant le plus élevé, aux fournisseurs de GPAI en infraction, qui ne fournissent pas les informations requises ou entravent les évaluations du modèle. C'est une différence structurelle : les sanctions de l'annexe III et de l'article 50 relèvent de l'autorité nationale — en Espagne, l'AESIA — tandis que celles des GPAI relèvent directement de la Commission, les modèles opérant à l'échelle de l'Union. Ses pouvoirs formels de sanction sur les fournisseurs de GPAI sont applicables à compter du 2 août 2026, bien que les obligations substantielles soient en vigueur depuis un an.
Si votre entreprise, en vertu de l'article 25, devient fournisseur d'un système à haut risque construit sur un modèle GPAI, les sanctions applicables ne relèvent plus de l'art. 101 mais des règles générales de l'art. 99 : jusqu'à 35 M€ ou 7 % du chiffre d'affaires pour pratiques interdites, jusqu'à 15 M€ ou 3 % pour manquement aux obligations à haut risque, avec le montant le plus bas appliqué automatiquement pour une PME. Le régime complet, avec l'AESIA comme autorité compétente en Espagne, est détaillé dans sanctions de l'AI Act et l'AESIA : régime de sanctions et qui les fait respecter en Espagne .
Check-list rapide : que doit faire votre PME selon l'usage du modèle GPAI ?
Comment vous utilisez le modèle Votre rôle Ce qu'il faut faire
Usage interne de ChatGPT, Copilot, Gemini Déployeur Alphabétisation à l'IA (art. 4). Rien de plus.
API intégrée dans un produit maison, sans décision automatisée sur des personnes Déployeur / transparence art. 50 Identifier l'IA auprès de l'utilisateur et conserver l'information de l'annexe XII du fournisseur.
Produit vendu à des tiers automatisant une décision de l'annexe III (RH, crédit, assurance, éducation...) Fournisseur du système (art. 25.1.c) Classification du risque, documentation technique propre, enregistrement UE, supervision humaine. Commencez par le classificateur.
Vous entraînez votre propre modèle GPAI depuis zéro Fournisseur du modèle Obligations intégrales de l'art. 53 (et 55 en cas de risque systémique). Envisagez le Code de bonnes pratiques.
Réservez une session gratuite de 30 minutes pour vérifier si votre produit avec IA intégrée fait de vous un fournisseur →
Questions fréquentes sur GPAI et les modèles de fondation dans l'AI Act
Dois-je faire quelque chose si je n'utilise ChatGPT ou Copilot qu'en interne dans ma PME ?
Très peu. Si votre équipe utilise ces outils en interne, sans les proposer à des clients ni automatiser de décisions sur des personnes, vous êtes déployeur et les obligations du chapitre V incombent à OpenAI ou Microsoft, pas à vous. Votre obligation réelle, en vigueur depuis février 2025, est l'alphabétisation à l'IA (art. 4).
Que se passe-t-il si j'intègre l'API de Claude ou de GPT-4o dans mon propre produit et que je le vends à des clients ?
Cela dépend de ce que fait votre produit. S'il informe ou assiste sans automatiser une décision de l'annexe III, vous restez déployeur, avec des obligations de transparence de l'article 50. Mais s'il note des candidats ou décide une tarification automatiquement, l'article 25.1.c fait de vous le fournisseur d'un système à haut risque, avec des obligations propres.
Un fournisseur de GPAI est-il obligé de signer le Code de bonnes pratiques ?
Non, c'est volontaire. Publié par le Bureau de l'IA de la Commission le 10 juillet 2025, il accorde une présomption de conformité avec les articles 53 et 55. Google, Microsoft, OpenAI, Anthropic et IBM l'ont signé ; Meta a refusé et xAI n'a adhéré qu'au chapitre sécurité.
Quand un modèle GPAI est-il considéré à risque systémique ?
L'article 51.2 présume un risque systémique au-delà de 10²⁵ FLOPs de calcul d'entraînement cumulé, réfutable devant la Commission. Elle peut aussi être déclarée par décision selon des capacités à fort impact. Aujourd'hui, seule une poignée de modèles récents d'OpenAI, Google DeepMind, Anthropic ou Meta s'y trouve. L'article 55 ajoute alors tests contradictoires, atténuation des risques, notification d'incidents et cybersécurité renforcée.
Le Digital Omnibus retarde-t-il les obligations GPAI ?
Non. Le Digital Omnibus sur l'IA, signé le 8 juillet 2026 et en attente de publication au Journal officiel de l'UE, reporte l'annexe III (à décembre 2027) et l'annexe I (à août 2028), mais ne modifie pas le chapitre V. Les obligations des fournisseurs de GPAI sont en vigueur sans changement depuis le 2 août 2025.
Auteur : Ángel Ortega Castro · consultant indépendant en stratégie, qualité et digitalisation pour PME.