GPAI Code of Practice : un cadre volontaire pour structurer la conformité des modèles d'IA à usage général
Le 10 juillet 2025, le Code de Conduite pour les modèles d’IA à usage général (GPAI - General-Purpose AI) : Modèle d'intelligence artificielle présentant une grande généralité, capable d'exécuter diverses tâches distinctes et pouvant être intégré dans différents systèmes d'IA. est publié. Ce code est un outil de conformité volontaire élaboré par des experts indépendants dans le cadre d'un processus multipartite visant à soutenir la mise en œuvre de la loi européenne sur l'intelligence artificielle (l’AI Act). Ce cadre volontaire, officiellement reconnu par la Commission européenne et l’AI Office, permet aux fournisseurs de modèles d’IA de se conformer aux obligations réglementaires, tout en anticipant les exigences qui entreront pleinement en vigueur en 2026.
L’adoption définitive de l’AI Act par le Conseil de l’Union européenne en mars 2024 a marqué un tournant dans la régulation de l’intelligence artificielle. L’entrée en application des premières obligations en 2025, notamment pour les modèles de fondation, impose aux acteurs de l’IA de structurer leur conformité en amont. Dans ce contexte, le Code de conduite GPAI constitue un levier clé de pré-conformité pour les fournisseurs de modèles à usage général.
Un outil volontaire à haute valeur ajoutée
Les fournisseurs adhérant à ce code doivent se conformer à des pratiques clairement documentées et assurer la transmission des informations requises à l’AI Office et aux parties prenantes de la chaîne de valeur. En retour, ils bénéficient :
- D’une reconnaissance officielle de leur démarche de conformité ;
- D’un allègement des charges probatoires ;
- D’une meilleure sécurité juridique.
En pratique, le Code facilite le dialogue avec les régulateurs, renforce la qualité de la documentation fournie aux intégrateurs (downstream providers), et limite le risque de contentieux lors des phases de mise sur le marché.
La liste des signataires compte déjà plusieurs acteurs majeurs du secteur, dont OpenAI, Microsoft, Mistral AI, IBM ou encore Google.
Une structuration en trois chapitres pour répondre aux principales exigences de l’AI Act
Le Code est structuré en trois chapitres, chacun traitant d'un domaine de conformité spécifique :
Transparence
Le chapitre "Transparence" propose un modèle de documentation standardisé, à destination des régulateurs et des intégrateurs de modèles (downstream providers). Ce document synthétise les informations clés sur le modèle : usages envisagés, données d’entraînement, limitations connues, modalités de mise à jour. Ce dispositif vise à faciliter la supervision tout en responsabilisant l’écosystème de l’IA.
Le chapitre “Transparence” s’appuie sur les articles 53(1)(a) et (b) du règlement. Il propose une documentation structurée, conforme aux annexes XI et XII de l’AI Act, et destinée à assurer la traçabilité, l’explicabilité et l’usage responsable des modèles GPAI. Ce dispositif permet également de faciliter l’intégration de ces modèles dans des systèmes d’IA à haut risque, conformément à l’article 56.
Droit d’auteur
Axé sur la conformité juridique, ce second chapitre traite des obligations relatives au respect du droit d’auteur (Article 53(1)(c) du règlement). Il propose des mesures concrètes que les fournisseurs peuvent prendre pour mettre en place des politiques internes garantissant le respect de la législation européenne en matière de droits d'auteur :
- Respect des protocoles d’exclusion (robots.txt, réservations de droits) ;
- Filtrage des contenus illégaux ou réservés ;
- Mesures techniques pour prévenir la reproduction non autorisée d’œuvres protégées. Il prévoit
également la désignation d’un point de contact pour les ayants droit et un processus de
réclamation
Sécurité et risques systémiques
Le troisième chapitre est spécifiquement destiné aux fournisseurs de modèles considérés comme présentant un risque systémique (Article 55). Il introduit un cadre robuste pour :
- Évaluer et documenter les risques à chaque étape du cycle de vie du modèle ;
- Mettre en place des mesures de sécurité (cryptographie, contrôle d’accès, red teaming, etc.) ;
- Notifier les incidents graves à l’AI Office dans des délais encadrés.
| Obligation | Article | Date d'application | Public cible |
|---|---|---|---|
| Transparence GPAI | 53(1)(a)(b) | 2 août 2025 | Tous fournisseurs GPAI |
| Droit d'auteur | 53(1)(c) | 2 août 2025 | Tous fournisseurs GPAI |
| Risques systémiques | 55 | 2 août 2025 | GPAI à fort impact |
Zoom – GPAI à risque systémique : les obligations clés
Pour les fournisseurs de modèles présentant un risque systémique (article 55 AI Act), le Code impose :
- Un cadre formalisé de gestion des risques, avec critères d’acceptabilité et seuils de déclenchement
- Des tests de robustesse et de sécurité, incluant des évaluations par des experts externes indépendants
- Des mesures de cybersécurité renforcées, pour protéger les poids du modèle et limiter les accès sensibles
- La notification des incidents graves à l’AI Office, sous 2 à 15 jours selon leur gravité
- Un rapport semestriel (Safety & Security Model Report) documentant les risques et les mesures en place
Ces exigences renforcées s’appliquent aux modèles les plus puissants, et préfigurent les standards futurs en matière de gestion des risques algorithmiques.
Une dynamique de pré-conformité structurante
Le Code de Conduite ne crée pas de nouvelles obligations, mais offre un chemin de conformité clair, reconnu et structurant. Il s’inscrit dans une logique de pré-conformité qui préfigure les pratiques de demain et ouvre la voie à une régulation plus harmonisée à l’échelle européenne.
Conclusion
Le Code de Conduite GPAI constitue la première matérialisation concrète des exigences de l’AI Act pour les modèles de fondation :
- Il clarifie les attentes des régulateurs en matière de transparence, de respect des droits et de gestion des risques
- Il fournit un cadre opérationnel utilisable dès aujourd’hui par les acteurs du marché
- Il favorise l’émergence de standards sectoriels partagés, sans attendre l’entrée en application complète du règlement
Dans un environnement en rapide évolution, cette démarche volontariste offre aux fournisseurs de modèles une opportunité stratégique : anticiper les exigences, structurer leur documentation, et renforcer la confiance des utilisateurs et des autorités.
Auteur
À propos de l'auteur
Mehdi Cherkaoui est Manager au sein de la Business Unit Data & IA de Nexialog Consulting. Il accompagne les banques et assurances sur les sujets de gouvernance de l'IA, conformité réglementaire (AI Act, DORA, RGPD) et déploiement de modèles IA en production.
Nexialog Consulting est un cabinet de conseil indépendant fondé en 2006, spécialisé en actuariat, gestion des risques et services financiers. Avec plus de 200 collaborateurs, le cabinet intervient auprès des plus grands acteurs de la banque et de l'assurance en France et en Europe.
Contact expert : Marvin Suzanne, Directeur BU Data et IA - msuzanne@nexialog.com
