Javascript is required
logo-dastralogo-dastra

Code de bonnes pratiques GPAI: ce que vous devez savoir

Code de bonnes pratiques GPAI: ce que vous devez savoir
Leïla Sayssa
Leïla Sayssa
18 juillet 2025·14 minutes de lecture

Suite à la confirmation qu'aucune pause ne sera introduite dans le calendrier d'entrée en vigueur de l'AI Act, le très attendu Code de bonnes pratiques en matière d’IA à usage général (GPAI) a enfin été publié par la Commission Européenne.

En raison de leur large applicabilité et de leur architecture technique, les modèles de GPAI – entraînés sur d’énormes ensembles de données via l’apprentissage auto-supervisé à grande échelle, sont à la base d'une grande partie des systèmes d’IA déployés dans l’UE.

Leur polyvalence leur permet d’être intégrés dans un vaste éventail d’applications, indépendamment de leur mode de mise sur le marché.

Le Code est publié, et maintenant ?

Le Code reste soumis à l’évaluation des États membres et de la Commission européenne, qui pourra, en dernier ressort, l’approuver par une décision d’adéquation (prise par l’Office de l’IA et le Conseil de l’IA).

Mise à jour : Dans un avis publié le 1er août 2025, la Commission a estimé que le Code
« couvre de manière adéquate les obligations prévues aux articles 53 et 55 de l'AI Act et répond aux objectifs de l’article 56 de l'AI Act ».

Autrement dit, le Code constitue désormais un outil volontaire adéquat que les organisations peuvent utiliser pour démontrer leur conformité au règlement.

La publication officielle de la liste des signataires aura lieu le 1er août 2025, soit la veille de l’entrée en application des obligations spécifiques aux modèles d’IA à usage général (GPAI) prévues par l'AI Act, le 2 août 2025.

Mise à jour : Cette liste est désormais disponible sur le site de la Commission. Les signataires actuels incluent Amazon, Anthropic, Google, Mistral AI et OpenAI.

En parallèle, la Commission doit publier en juillet des lignes directrices complémentaires visant à :

  • clarifier la portée des obligations des fournisseurs de GPAI,

  • définir ce qu’est un modèle d’IA à usage général,

  • distinguer les modèles de GPAI présentant des risques systémiques,

  • identifier qui peut être considéré comme fournisseur de GPAI, en particulier dans les cas de fine-tuning ou de modification de modèles existants.

Mise à jour : La Commission a publié ces lignes directrices afin d’aider les fournisseurs de modèles d’IA à usage général (GPAI) à se conformer au règlement, notamment aux obligations qui entreront en vigueur le 2 août 2025.

Points clés

Le Code est un instrument volontaire conçu pour aider les fournisseurs de modèles d’IA à usage général (GPAI), actuels ou futurs, opérant dans l’UE, à démontrer leur conformité avec les articles 53 et 55 de l'AI Act.

Il est le fruit de plus d’un an de travail collaboratif, intégrant les contributions de plus de 1 000 parties prenantes, 1 600 observations écrites, et plus de 40 ateliers d’experts. Ce code constitue un exemple emblématique de co-création réglementaire inclusive et communautaire à l’ère numérique. Pour en savoir plus sur l’élaboration du code et son calendrier, cliquez ici.

Le principe de proportionnalité s’applique tout au long du Code.

Les obligations de conformité sont adaptées en fonction de la taille, des capacités et de la présence sur le marché du fournisseur GPAI. Cela garantit que les start-up et les PME soient soumises à des attentes flexibles et proportionnées, plutôt qu’à des charges disproportionnées, conformément au considérant 109 de l’AI Act.

Un guide pratique, et non une obligation supplémentaire

Le Code ne crée pas de nouvelles obligations juridiques au-delà de ce qui est déjà exigé par l’AI Act. Il sert plutôt de guide pratique d’application, illustrant comment les fournisseurs de modèles GPAI peuvent se conformer aux obligations existantes.

Conscient du rythme rapide des évolutions en matière d’IA, le Code fera l’objet d’une révision périodique au moins tous les deux ans. Le bureau de l’IA devrait proposer un mécanisme de mise à jour simplifié pour garantir que le Code reste aligné sur les pratiques de pointe et les nouveaux risques émergents.

Le Code se divise en trois chapitres :

  1. Transparence

  2. Droit d’auteur

  3. Sécurité

Ainsi, lorsque l’on parle du « Code de bonnes pratiques », il s’agit en réalité de l’ensemble de ces trois volets, chacun portant sur une thématique distincte.

1- Transparence :

Le Code définit des attentes claires en matière de divulgation concernant la manière dont les modèles GPAI sont entraînés, évalués et fonctionnent. Il inclut un formulaire standardisé de documentation du modèle, destiné à garantir un partage d’informations cohérent et complet.

2- Droit d’auteur :

Cette section vise à protéger les droits de propriété intellectuelle, en particulier en précisant comment les données d’entraînement sont collectées et comment les fournisseurs peuvent se conformer au droit d’auteur de l’UE.

Ces deux premiers piliers s’appliquent à tous les fournisseurs de modèles GPAI.

3- Sécurité :

Destinée aux modèles GPAI avancés présentant des risques systémiques, cette section définit les meilleures pratiques actuelles pour atténuer les risques potentiels, prévenir les usages abusifs et maintenir la confiance du public dans l’IA. Elle propose des mesures techniques et organisationnelles conformes aux normes émergentes.

Une adoption volontaire, mais fortement encouragée

Bien que l’adoption du Code ne soit pas obligatoire, il offre quand même une présomption de conformité aux articles 53 et 55 de l’AI Act. La signature du Code peut donc réduire significativement la charge administrative des fournisseurs de modèles GPAI en proposant une approche alignée et standardisée.

Les fournisseurs qui choisissent de ne pas signer devront démontrer d’autres moyens de conformité, ce qui impliquera probablement des exigences probatoires plus strictes et un contrôle réglementaire accru, comme l’a indiqué la Commission.

Cela fait du Code la référence de facto pour prouver un comportement responsable et sécurisé sur le marché européen de l’IA, et potentiellement à l’international.

L’application et la supervision seront essentielles

Le Bureau de l’IA devra disposer des ressources et de l’expertise nécessaires pour évaluer les différents mécanismes de conformité adoptés par les fournisseurs GPAI.

Maintenant que le texte est finalisé, le Bureau de l’IA doit se concentrer sur la mise en œuvre opérationnelle du Code, afin de garantir que les engagements soient traduits en pratiques concrètes et applicables.

Répartition des trois chapitres

1. Concernant la transparence

En matière de transparence, le Code de pratique GPAI concrétise les obligations des fournisseurs prévues à l’article 53(1)(a) et (b) de l’AI Act, ainsi que dans les annexes XI et XII, en introduisant un formulaire standardisé de documentation du modèle.

Ce formulaire permet aux fournisseurs GPAI de compiler et de maintenir les informations techniques et de conformité requises de manière cohérente et structurée.

Au minimum, les signataires doivent élaborer une documentation technique complète comprenant des détails sur les processus d’entraînement et de test du modèle, les résultats des évaluations, ainsi que les informations méthodologiques pertinentes.

De plus, ils doivent préparer une documentation destinée aux fournisseurs en aval qui pourraient intégrer le modèle GPAI dans leurs propres systèmes d’IA, afin de leur permettre de comprendre les capacités et les limites du modèle et d’assurer leur propre conformité.

Bien que les grands fournisseurs de GPAI publient déjà parfois des « fiches modèles », leur format et contenu varient souvent selon le secteur ou le cas d’usage. Le formulaire de documentation du modèle vise à standardiser ces divulgations en les regroupant dans un format unique et uniforme.

Les informations à partager obligatoirement comprennent :

  • Les coordonnées à rendre publiques via un site web ou autre moyen approprié ;

  • La description des méthodologies d’entraînement, de test et de validation ;

  • Les types de données utilisées et leur mode de collecte ; la manière dont les données ont été sélectionnées et les méthodologies utilisées pour garantir la qualité et l’intégrité des données ;

  • Les mesures mises en place pour la détection des biais ;

  • Et, le cas échéant, les droits obtenus pour les données tierces.

Il est important que les fournisseurs mettent à jour cette documentation régulièrement et conservent les versions antérieures pendant au moins dix ans après la mise sur le marché du modèle.

Le Code précise également que, en cas de fine-tuning ou de modifications apportées à un modèle GPAI existant, les obligations de transparence doivent s’appliquer de manière proportionnée, en se concentrant uniquement sur les changements introduits par le fournisseur.

Enfin, le Code établit que le Bureau de l’IA est le point de contact central pour les autorités nationales compétentes, ce qui signifie que toutes les demandes officielles d’informations doivent être adressées via ce bureau.

Ces demandes doivent clairement indiquer leur fondement juridique et leur objet, et se limiter strictement à ce qui est nécessaire à l’exercice des missions de l’autorité.


Politique interne en matière de copyright :
Tous les fournisseurs de GPAI doivent adopter et mettre en œuvre une politique interne de conformité au droit d’auteur conforme à la législation européenne. Cette politique doit :

  • Définir des procédures internes claires régissant la gestion des contenus protégés par le droit d'auteur.

  • Désigner les personnes responsables de la supervision et de la mise en œuvre.

  • Être accompagnée d’un résumé public afin d’améliorer la transparence et la confiance des parties prenantes.

Usage légal : restrictions clés et mesures de protection

  • Interdiction d’utiliser des contenus piratés :
    Les fournisseurs sont interdits de se fournir auprès de sites web reconnus pour violation de copyright (« piraterie »). Une liste dynamique de ces sites sera maintenue et publiée par les autorités européennes.

  • Mesures de protection pour le web crawling :
    Les outils d’exploration doivent être conçus pour accéder uniquement à des contenus légalement accessibles, ce qui implique de :

    • Respecter les paywalls, restrictions d’accès et mesures techniques de protection,

    • Respecter les opt-outs lisibles par machine (ex. robots.txt) ou protocoles similaires,

    • Intégration d’outils de détection d’opposition permettant de repérer et répondre aux signaux des titulaires de droits.

  • Diligence raisonnable pour les jeux de données tiers :
    Les fournisseurs doivent vérifier que tout jeu de données externe utilisé pour l’entraînement respecte les règles européennes en matière de droit d'auteur

  • Transparence et mécanismes de recours :
    Les fournisseurs doivent :

    • Divulguer les spécifications des crawlers ainsi que les mécanismes de détection des objections.

    • Maintenir un point de contact permettant aux titulaires de droits de demander des informations relatives aux modèles, de déposer des plaintes ou de signaler des préoccupations en matière de droit d’auteur.

    • Éviter de pénaliser les contenus indexés par les moteurs de recherche lorsqu’une objection légitime est soulevée.

Obligations pour les systèmes en aval
Pour les modèles d’IA à usage général (GPAI) intégrés dans d’autres systèmes d’IA — qu’ils le soient par le fournisseur ou par un tiers — le Code impose :

  • La mise en œuvre de mesures destinées à prévenir la génération de contenus portant atteinte au droit d’auteur.

  • L’inclusion d’interdictions explicites dans les politiques d’utilisation acceptable (Acceptable Use Policies), afin de prohiber les usages contrefaisants.

Ces obligations s’appliquent indépendamment de l’identité de l’utilisateur final, garantissant ainsi une utilisation responsable tout au long de la chaîne d’approvisionnement de l’IA.

Divulgation des résumés des contenus d’entraînement
Afin de permettre aux titulaires de droits d’identifier l’utilisation potentielle de leurs œuvres, les fournisseurs doivent publier des résumés des données d’entraînement qui soient :

  • Suffisamment détaillés pour permettre une évaluation et, le cas échéant, l’introduction d’objections ou de demandes de retrait.

  • Publiquement accessibles, dans le cadre des engagements de transparence du fournisseur.

3. Concernant la sécurité


Le chapitre Sécurité du Code s’applique spécifiquement aux modèles d’IA à usage général susceptibles de présenter des risques systémiques.

Les fournisseurs doivent mettre en œuvre un cadre complet de sécurité conformément à l’article 55 de l’AI Act, comprenant notamment :

  • La réalisation d’évaluations approfondies des risques,

  • Des évaluations régulières du modèle,

  • La mise en place d’un suivi post-commercialisation,

  • Le signalement rapide des incidents,

  • La facilitation des évaluations externes.

Évaluations et gestion des risques :

  • Les fournisseurs doivent réaliser des évaluations, y compris des tests adverses, pour détecter et atténuer les risques systémiques, en documentant les résultats.

  • Tout incident grave ou vulnérabilité détectée doit être signalé sans délai au bureau de l'IA et aux autorités nationales compétentes, avec documentation des mesures correctives prises.

  • Ils doivent garantir que leurs systèmes disposent de protections en cybersécurité adéquates.

Identification et gestion proactive des risques systémiques :
Les signataires doivent aller au-delà en identifiant activement, quantifiant et gérant les risques systémiques liés à certains modèles GPAI, ce qui inclut :

  • Estimer quand un modèle peut dépasser les seuils de risque applicables,

  • Définir ce qui constitue un niveau acceptable de risque systémique,

  • Maintenir des stratégies claires d’atténuation,

  • Documenter de manière transparente les contrôles de sécurité existants.

Une fois les risques identifiés, les fournisseurs doivent vérifier s’ils restent dans les limites internes de tolérance au risque, et appliquer des mesures d’atténuation si nécessaire jusqu’à ce que le risque soit ramené à un niveau acceptable.

Approche proactive et évolutive de la gestion des risques :
Le Code encourage des stratégies de gouvernance des risques flexibles et prospectives, capables de s’adapter aux menaces émergentes et aux évolutions des capacités des modèles.

Plus de documentation, moins de responsabilité intégrée ?
Pour l’instant, la gestion des risques est souvent perçue comme un processus parallèle au développement de l’IA, plutôt qu’intégrée au cycle de vie même du modèle. Bien que les outils comme les rapports de modèle et la surveillance post-commercialisation facilitent la conformité, ils peuvent aussi engendrer des procédures lourdes sans forcément améliorer les résultats techniques ou éthiques.

Le véritable changement envisagé par le Code est d’intégrer la conscience des risques au cœur du développement des systèmes d’IA, notamment :

  • Avant la sélection des données d’entraînement,

  • Avant la conception des architectures de modèles,

  • Avant les décisions de déploiement.

Intégrer cet état d’esprit tout au long du cycle de développement, au lieu de s’appuyer uniquement sur la conformité a posteriori , sera essentiel pour construire des systèmes d’IA plus fiables.

Envie d’en savoir plus sur comment Dastra peut vous aider à vous conformer à l’AI Act ? Cliquez ici.

A propos de l'auteur
Dastronaut
Leïla Sayssa
Inscrivez-vous à notre newsletter

Nous vous enverrons quelques emails pour vous tenir informé de notre actualité et des nouveautés de notre solution

* Vous pourrez toujours vous désinscrire sur chaque newsletter.