Le déploiement de l'AI Act suit un calendrier échelonné qui s'étend du 2 février 2025 à fin 2027. Cette progressivité vise à donner aux acteurs économiques le temps de se conformer, tout en activant rapidement les protections les plus urgentes.
Inscrites au chapitre V du règlement, les obligations GPAI constituent le cœur de la régulation des modèles fondationaux. Tout fournisseur d'un modèle d'IA à usage général mis sur le marché européen - y compris en open source, avec des exemptions partielles - doit :
Pour les modèles à risque systémique, identifiés par un calcul d'entraînement supérieur à 10²⁵ FLOPS ou désignés par la Commission, s'ajoutent : évaluation des risques de manière continue, tests adversariaux (red-teaming) standardisés, mesures de cybersécurité, signalement des incidents graves au Bureau de l'IA et publication d'un rapport sur la performance énergétique. Au moment de l'entrée en application en août 2025, GPT-4, Gemini Ultra, Claude 3 Opus et Llama 3.1 405B figuraient dans le périmètre. Le seuil pourra être révisé par la Commission pour refléter l'évolution de l'état de l'art.
Pour faciliter la conformité aux articles 53 et 55 avant l'adoption des standards harmonisés, la Commission européenne a lancé en juillet 2024 la rédaction d'un Code de bonnes pratiques pour les modèles d'IA à usage général. Coordonné par le Bureau de l'IA et associant treize experts indépendants ainsi qu'une centaine d'organisations consultées, le code a fait l'objet de plusieurs versions intermédiaires avant sa publication finale le 10 juillet 2025.
Le code articule trois piliers : transparence (publication des informations techniques destinées aux déployeurs et au public), droit d'auteur (procédures opérationnelles pour respecter les opt-out), et sécurité/sûreté pour les modèles à risque systémique. Son adoption est volontaire mais offre une présomption de conformité : un fournisseur qui le suit est considéré comme respectant les exigences correspondantes. Les principaux laboratoires américains et européens ont accepté de s'aligner sur ses dispositions, à l'exception notable de Meta qui a refusé de le signer en juillet 2025, invoquant un cadre incompatible avec ses pratiques sur Llama. Google et Anthropic ont signé avec des réserves, tandis qu'OpenAI, Mistral AI et Microsoft ont apporté leur soutien complet.
L'article 53 est devenu le point de cristallisation du débat sur la coexistence entre IA générative et industries créatives. Son §1(c) impose aux fournisseurs de GPAI de mettre en place une politique de respect du droit d'auteur, et son §1(d) exige la publication d'un résumé suffisamment détaillé des contenus d'entraînement, selon un modèle fourni par le Bureau de l'IA.
Dans la pratique, le mécanisme repose sur le couple exception TDM (text and data mining, article 4 de la directive 2019/790) et opt-out machine-readable. Les ayants droit qui souhaitent s'opposer à l'utilisation de leurs œuvres pour l'entraînement de modèles d'IA doivent exprimer cette réserve dans un format lisible par machine - typiquement via un fichier robots.txt, un en-tête HTTP, ou une métadonnée intégrée à l'œuvre. Plusieurs initiatives - TDM Reservation Protocol du W3C, ai.txt, C2PA - proposent des standards concurrents sans qu'aucun ne se soit imposé en 2026.
Les ayants droit français contestent l'effectivité du dispositif. La SACEM, la SCAM, la SACD et la SDRM dénoncent l'asymétrie d'information et l'absence de sanction effective en cas de non-respect des opt-out. En mai 2026, l'écartement à l'Assemblée nationale de la proposition de loi Darcos, qui visait à introduire un mécanisme probatoire renversé (présomption d'utilisation des œuvres en l'absence de transparence) via l'article L. 331-4-1 du Code de la propriété intellectuelle, a laissé les titulaires de droits sans relais législatif national, les renvoyant à l'application stricte de l'article 53 par la Commission européenne.
L'AI Act crée deux instances européennes centrales. Le Bureau européen de l'IA (European AI Office), institué par décision de la Commission en mai 2024 et rattaché à la DG CONNECT, supervise la mise en œuvre du règlement pour les GPAI et les modèles à risque systémique. Il édite le code de bonnes pratiques, surveille les fournisseurs, instruit les plaintes et peut imposer des sanctions. Au moment de sa création, il comptait une centaine d'agents et était dirigé par Lucilla Sioli.
Le Comité européen de l'intelligence artificielle (European AI Board) réunit les représentants des autorités nationales de surveillance des 27 États membres. Sa première réunion officielle s'est tenue en septembre 2024. Il assure la coordination entre États membres, harmonise l'interprétation du règlement et conseille la Commission. Un Forum consultatif rassemblant industrie, société civile, milieux académiques et PME complète le dispositif.
Au niveau national, chaque État membre désigne une ou plusieurs autorités compétentes. En France, la CNIL coordonne l'application des dispositions touchant aux données personnelles, tandis que la DGCCRF et la DGE interviennent sur les volets produits et marché intérieur. Un groupement de coordination interministériel a été annoncé en 2025 mais n'a pas été formalisé au moment de l'entrée en application des règles GPAI.
L'AI Act prévoit une échelle de sanctions calibrée selon la gravité du manquement :
Les PME et start-ups bénéficient d'un plafond proportionné : c'est le montant le plus faible des deux qui s'applique. Les premières procédures formelles devraient être ouvertes par le Bureau de l'IA fin 2026, après la phase de mise en conformité progressive.
L'AI Act a profondément remodelé l'écosystème européen de l'IA. Pour les grandes entreprises utilisatrices (banques, assurances, santé, RH), il s'agit désormais d'intégrer la conformité dès la conception des systèmes - approche dite compliance by design - ce qui implique cartographie des usages IA, analyses d'impact, documentation technique et gouvernance interne. Des cabinets comme Wavestone, France Digitale et Gide ont publié dès février 2024 des guides pratiques pour accompagner cette montée en compétence.
Pour les fournisseurs de modèles open source, le règlement prévoit des exemptions partielles sur les obligations GPAI lorsque les paramètres, l'architecture et les informations d'usage sont rendus publics - sauf pour les modèles à risque systémique. Une coalition d'acteurs de l'open source européen (Hugging Face, GitHub, Mistral, La Quadrature du Net) avait demandé en juillet 2023 un cadre plus souple pour préserver l'innovation collaborative. Le compromis final maintient ces exemptions tout en imposant la publication du résumé des données d'entraînement et la politique droit d'auteur, ce qui complique le passage à l'échelle de modèles à très grand corpus.
Pour les champions européens - Mistral AI, LightOn, Aleph Alpha, Black Forest Labs - l'AI Act représente un double défi : se conformer dans des délais courts tout en continuant à entraîner des modèles compétitifs face à OpenAI, Anthropic ou Google. Plusieurs voix, dont celle d'Arthur Mensch (Mistral AI), ont mis en garde contre un risque de désindustrialisation européenne si les charges réglementaires devenaient disproportionnées par rapport à celles imposées hors UE. À l'inverse, Yoshua Bengio, Raja Chatila et Nicolas Miailhe estiment qu'un encadrement strict est crucial pour préserver l'autonomie stratégique européenne et la confiance du public.
L'AI Act s'inscrit dans un paysage international fragmenté. Aux États-Unis, l'Executive Order de Biden d'octobre 2023 a été en grande partie abrogé par l'administration Trump en janvier 2025, laissant les agences fédérales et les États (notamment la Californie avec SB 1047) construire des approches sectorielles ou locales. La Chine a, dès août 2023, imposé un système d'autorisation préalable pour les modèles d'IA générative grand public, ayant approuvé plus de 190 LLMs au prix d'un contrôle politique du contenu généré.
Le Royaume-Uni a opté pour une approche fondée sur des principes mis en œuvre par les régulateurs sectoriels existants, sans loi spécifique à ce jour. Le Brésil, le Canada, le Japon et la Corée du Sud avancent sur leurs propres cadres, souvent en s'inspirant de l'approche par les risques européenne. L'effet Bruxelles - extra-territorialité de fait des règlements européens lorsque les fournisseurs internationaux choisissent de s'aligner mondialement plutôt que de gérer plusieurs régimes - devrait jouer comme pour le RGPD, sans qu'il soit encore mesurable en 2026.
Plusieurs sommets internationaux ont jalonné cette construction : AI Safety Summit de Bletchley Park (novembre 2023), Séoul AI Safety Summit (mai 2024), AI Action Summit de Paris (février 2025). Tous ont confirmé l'absence de consensus global sur la régulation, tout en pointant la responsabilité particulière de l'UE comme premier régulateur ayant adopté un texte contraignant.
Les enjeux critiques des 18 prochains mois portent sur :
L'AI Act n'est pas une fin en soi mais un cadre vivant. Sa révision est prévue tous les quatre ans, la première étant attendue en 2028. Son succès se mesurera moins à la lettre du texte qu'à sa capacité à articuler protection des droits fondamentaux, innovation industrielle et souveraineté technologique européenne.
Le règlement est entré en vigueur le 1er août 2024, vingt jours après sa publication au Journal officiel de l'Union européenne le 12 juillet 2024. Son application s'échelonne jusqu'à août 2027 selon la nature des systèmes concernés : interdictions effectives depuis le 2 février 2025, obligations GPAI depuis le 2 août 2025, systèmes à haut risque à partir d'août 2026.
Un modèle est présumé à risque systémique lorsqu'il dépasse le seuil de 10²⁵ FLOPS de calcul cumulé pendant l'entraînement. Au lancement de l'obligation en août 2025, GPT-4, Gemini Ultra, Claude 3 Opus et Llama 3.1 405B étaient concernés. La Commission peut également désigner d'autres modèles selon des critères qualitatifs (nombre d'utilisateurs, modalités, capacités évaluées).
Tout fournisseur de modèle à usage général mis sur le marché européen doit tenir une documentation technique, publier un résumé détaillé des données d'entraînement, mettre en place une politique de respect du droit d'auteur, et coopérer avec le Bureau de l'IA. Les modèles à risque systémique ajoutent des obligations d'évaluation continue, de tests adversariaux, de cybersécurité et de signalement des incidents.
L'article 53 oblige les fournisseurs de GPAI à respecter les opt-out exprimés par les ayants droit en vertu de la directive 2019/790. Cet opt-out doit être lisible par machine (robots.txt, en-têtes HTTP, métadonnées). Les ayants droit français contestent l'effectivité du dispositif, l'écartement de la loi Darcos en mai 2026 ayant laissé les titulaires de droits sans relais législatif national.
Les sanctions vont jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial annuel pour les pratiques prohibées, 15 millions ou 3 % pour les manquements aux obligations applicables aux systèmes à haut risque et aux GPAI, et 7,5 millions ou 1 % pour la fourniture d'informations incorrectes. Le montant le plus élevé s'applique pour les grandes entreprises, le plus faible pour les PME.
C'est un document de référence publié le 10 juillet 2025 par la Commission européenne, élaboré par treize experts indépendants et une centaine d'organisations consultées. Son adoption volontaire procure une présomption de conformité aux articles 53 et 55. OpenAI, Mistral AI, Microsoft, Anthropic et Google l'ont signé, Meta l'a refusé.
Le Bureau européen de l'IA, rattaché à la Commission européenne (DG CONNECT), supervise les fournisseurs de GPAI et les modèles à risque systémique. Le Comité européen de l'IA réunit les autorités nationales des 27 États membres. En France, la CNIL, la DGCCRF et la DGE sont les autorités compétentes selon les volets concernés.
Oui, les modèles dont les paramètres, l'architecture et les informations d'usage sont publiés sous licence libre bénéficient d'exemptions partielles sur les obligations GPAI - sauf si le modèle est à risque systémique. Cependant, la publication du résumé des données d'entraînement et la politique de droit d'auteur restent obligatoires pour tous les modèles open source.
En juillet 2025, plus de 150 dirigeants d'entreprises européennes - dont Carrefour, BNP Paribas, Airbus et TotalEnergies - ont signé une lettre ouverte demandant un moratoire de deux ans sur l'application de l'AI Act. Ils invoquaient un risque de désavantage compétitif face aux acteurs américains et chinois. La Commission européenne a rejeté cette demande, maintenant le calendrier initial.
Le RGPD régit le traitement des données personnelles, tandis que l'AI Act régit la mise sur le marché et l'utilisation des systèmes d'IA, qu'ils traitent ou non des données personnelles. Les deux textes s'appliquent de manière cumulative : un système d'IA à haut risque traitant des données personnelles doit respecter à la fois les obligations AI Act et les principes RGPD (licéité, minimisation, droits des personnes).
La première révision quadriennale du règlement est prévue en 2028. La Commission devra y évaluer l'efficacité du dispositif, l'évolution de l'état de l'art technologique et l'opportunité de modifier les seuils, les listes d'usages à haut risque et les mécanismes de gouvernance.
30 articles liés à ce sujet
La conférence des onze présidents de groupe de l'Assemblée nationale n'a pas retenu, le 12 mai 2026 au matin, la proposition...
Yann Bonnet est co-fondateur du Campus Cyber. Il a été Directeur de cabinet de Guillaume Poupard, DG de l’ANSSI. Il a accompagn&ea...
Les premières dispositions de l'AI Act, entré en vigueur en août 2024, concernant les systèmes d'IA à risque inaccep...
Après une troisième ébauche publiée en mars dernier, la Commission européenne a présenté hier la vers...
Jeudi dernier, une cinquantaine d'entreprises européennes membres de l’EU AI Champions Initiative, créée en fév...
Le Bureau de l'IA de la Commission européenne a publié mardi dernier la troisième ébauche du Code de bonnes pratiques dest...
Après de nombreuses modifications et reports dus notamment à l'essor de la GenAI, l'AI ACT est entré en vigueur le 1er août 2024. Comme prévu, depuis...
Dans une déclaration conjointe publiée le 17 janvier dernier, la Business Software Alliance et 7 cosignataires de premier plan appellent l'UE à rééval...
La Commission européenne a accueilli ce 10 septembre la première réunion officielle du Comité européen de l’IA, marquant une étape importante dans l'...
Meta, la société mère de Facebook, Instagram et WhatsApp, a annoncé qu’elle ne lancera pas son modèle d'IA multimodal Llama 3 en Europe. Cette décisio...
Hub France IA a récemment publié le livrable "Opérationnaliser la gestion des risques des systèmes d’intelligence artificielle" élaboré par son groupe...
La Commission européenne a officiellement annoncé la création du Bureau de l’IA au sein de la Direction générale des réseaux de communication, du cont...
