Accueil IA-Intelligence Artificiellle AVIS JURIDIQUE – IA Act et Code de Bonnes Pratiques : que...

AVIS JURIDIQUE – IA Act et Code de Bonnes Pratiques : que va-t-il concrètement se passer le 2 août 2025 ?

Maître Alexandra Iteanu, avocate à la Cour (numérique, cybersécurité et data)

Le 2 août 2025 marque la mise en place des règles de l’IA Act pour les modèles d’IA à usage général dans les pays membres de l’Union européenne. Alexandra Iteanu, avocate à la Cour, nous éclaire sur les impacts concrets de l’entrée en application de ces nouvelles dispositions.

Le règlement (UE) 2024/1689, dit « IA Act », est la première législation mondiale encadrant les systèmes d’intelligence artificielle. Il impose un cadre strict aux fournisseurs d’IA proposant leurs services dans l’Union européenne, en alignant les technologies sur les valeurs européennes. L’enjeu est de taille : il s’agit de réguler sans freiner l’innovation. Pour préserver cet équilibre, le législateur a prévu une application progressive.

Après une première étape en février 2025 (interdiction de certaines pratiques jugées inacceptables), la date du 2 août 2025 marquera un nouveau tournant : plusieurs obligations entreront en vigueur pour les systèmes d’IA à usage général (dit “GPAI”). Parallèlement, la Commission européenne a publié le 10 juillet 2025 un Code de Bonnes Pratiques, en trois chapitres, destiné à accompagner la mise en conformité de ces acteurs.

Que va-t-il concrètement se passer le 2 août 2025 pour les fournisseurs de système d’IA ? A quoi doivent s’attendre les utilisateurs ?

Un champ d’application large, des définitions encore mouvantes

Le Chapitre V de l’IA Act (articles 51 à 56) consacre un régime spécifique aux GPAI, avec des obligations renforcées pour les modèles présentant un risque systémique. L’article 3, §66 définit les fournisseurs de SIA à usage général comme ceux « fondés sur un modèle d’IA ayant la capacité de répondre à diverses finalités, pour une utilisation directe ou via une intégration dans d’autres systèmes d’IA ».Il s’agit, par exemple, de modèles comme GPT-4, utilisé dans des agents conversationnels, des outils de rédaction automatique ou des assistants juridiques, ou de Midjourney, utilisé pour générer des visuels à partir d’instructions textuelles dans des outils créatifs ou marketing.

La détermination du statut de fournisseur de GPAI peut toutefois s’avérer complexe. Certaines entreprises, qui adaptent ou intègrent des modèles génératifs dans leurs produits, ne se considèrent pas comme fournisseurs au sens du règlement. Pourtant, dès lors qu’un acteur réentraîne, affine ou met à disposition un modèle, il peut entrer dans le champ du Chapitre V.

Un deuxième enjeu d’interprétation porte sur la qualification du « risque systémique », selon l’article 51. Deux critères alternatifs sont prévus : (1) soit le modèle atteint des seuils techniques établis à partir de référentiels reconnus (performances, robustesse, capacités d’impact), (2) soit la Commission européenne le reconnaît comme tel, d’office ou sur alerte d’un comité scientifique indépendant.

Tout l’enjeu de cette première phase sera donc de trouver la bonne qualification, pour appliquer le régime juridique adapté. Et cette étape n’est pas chose aisée, comme nous l’a montré l’expérience avec le RGPD, et les difficultés de qualification entre “responsable de traitement”, “sous-traitant”, ou encore “co-responsable de traitement”.

Ce qui change concrètement le 2 août 2025 pour les fournisseurs de GPAI

L’article 53 de l’IA Act impose, dès le 2 août 2025, les obligations suivantes à tous les fournisseurs de GPAI :

  • la fourniture d’une documentation technique conforme à l’annexe XI (description du modèle, mécanismes de gouvernance, limites, performances) ;
  • un résumé des jeux de données d’entraînement, publié dans un format harmonisé (selon les recommandations du Code de Bonnes Pratiques) ;
  • le respect du droit d’auteur, notamment via une transparence accrue sur les contenus utilisés pour l’entraînement (également précisé par le Code de Bonnes Pratiques, Chapitre “droit d’auteur”).

Les modèles en open source bénéficient d’un régime allégé : ils sont dispensés des deux premières obligations, sauf s’ils sont associés à une activité commerciale ou franchissent les seuils de risque systémique.

Les fournisseurs de GPAI devront donc bâtir une documentation technique et juridique solide, structurée et exploitable, afin de démontrer concrètement la conformité de leurs modèles aux exigences de l’IA Act.

Un régime renforcé pour les modèles à risque systémique

Les fournisseurs de GPAI à risque systémique devront notifier leur statut à la Commission dans un délai de deux semaines après franchissement du seuil, soit au plus tard le 16 août 2025.

Ils seront également soumis à des obligations renforcées :

  • évaluation continue des risques (impact, exploitation abusive, effets indésirables),
  • notification des incidents graves ou failles de sécurité au Bureau de l’IA et aux autorités nationales compétentes,
  • garantie d’un haut niveau de cybersécurité sur l’ensemble de la chaîne technique.

Certaines entreprises industrielles ayant recours à des IA embarquées dans des outils de décision ou des infrastructures critiques ont déjà engagé un audit de conformité, en particulier sur la traçabilité des données, la robustesse des sorties et la sécurité réseau.

Il s’agit ici, en plus de la documentation, d’organiser des audits de conformité, et également de faire des démarches proactives auprès des institutions concernées (Commission européenne pour se déclarer GPAI à risque systémique, et notification au Bureau de l’IA en cas d’incident).

Code de Bonnes Pratiques, Norme harmonisée, Acte délégué… entre guides et casses-tête chinois réglementaires

Prévu par l’article 56, le Code de Bonnes Pratiques a été publié le 10 juillet 2025 par la Commission européenne. Il précise les obligations existantes du Chapitre V. Trois thématiques sont abordées :

  • Transparence : structure du modèle, méthodes d’entraînement, limites connues, biais ;
  • Sûreté et sécurité : documentation des tests, gestion des risques, incidents ;
  • Droit d’auteur : information sur les contenus sous licence, politiques internes.

Bien qu’il ne soit pas juridiquement contraignant, ce code peut servir de preuve d’engagement volontaire en cas de contrôle ou de litige. Mais sa nature transitoire soulève un vrai dilemme : faut-il dès à présent mobiliser des ressources pour s’y conformer, alors qu’il n’a pas de valeur légale et qu’il sera remplacé à terme par une norme européenne harmonisée ?

La Commission européenne pourra également adopter des actes délégués afin de préciser certaines notions clés du règlement, comme la définition du “risque systémique”, encore sujette à interprétation.

En conclusion, l’IA Act, accompagné de textes complémentaires comme le Code de Bonnes Pratiques, inaugure un cadre réglementaire encore en cours de consolidation. Les entreprises doivent naviguer entre règles contraignantes, recommandations provisoires et normes à venir — un ensemble encore flou, souvent technique, et parfois difficile à interpréter.

Le 2 août 2025 marque cependant un tournant : les obligations deviennent concrètes pour les fournisseurs de GPAI. Ils devront structurer leur documentation, clarifier leurs processus, et démontrer leur conformité. Ce travail, bien que complexe, est désormais incontournable.

Il ne s’agit pas de faire de chaque contrainte une opportunité. Mais dans un marché où la transparence et la maîtrise des risques prennent de l’importance, la conformité peut devenir un avantage compétitif.

Alexandra ITEANU