Ce qui vient de changer depuis le 2 août 2025
Depuis le 2 août 2025, le volet » modèles d’IA à usage général » (GPAI) de l’AI Act européen est entré en application pour les nouveaux modèles placés sur le marché. Concrètement, les fournisseurs doivent publier des informations de transparence (résumé des données d’entraînement, capacités/limites, évaluations, politique copyright) et mettre en place une gouvernance des risques. La Commission européenne a publié un Code européen de bonne pratique GPAI qui sert d’outil d’alignement anticipé, avec des engagements concrets en matière de sécurité, traçabilité, contenu et reporting. Pour les modèles déjà commercialisés avant le 2 août 2025, un délai jusqu’au 2 août 2027 est prévu pour atteindre la conformité complète, comme l’expliquent des synthèses juridiques récentes (AIAct.eu; Jones Day; Baker McKenzie).
Si vous travaillez avec une agence ia ou une agence intelligence artificielle, ces nouveautés changent immédiatement vos due diligences, vos clauses contractuelles et vos critères de sélection. Pour prendre de l’avance, consultez notre analyse des conséquences immédiates pour les entreprises et le rôle du Code européen de bonne pratique IA.
| Échéance | Exigences clés GPAI | Sources |
|---|---|---|
| 2 août 2025 | Obligations de transparence et gouvernance pour les nouveaux modèles GPAI; Code de pratique disponible comme voie d’alignement anticipée. | Commission européenne |
| 2 août 2025 → | Obligations applicables aux fournisseurs de GPAI; supervision renforcée par l’UE. | Simmons & Simmons |
| Jusqu’au 2 août 2027 | Période de mise en conformité pour les modèles déjà sur le marché avant le 2/08/2025. | AIAct.eu |
Objectif de cet article: vous livrer, dès cette semaine, une check-list opérationnelle pour auditer vos prestataires et sécuriser vos appels d’offres à l’aune des nouvelles exigences GPAI.
Impacts immédiats pour les entreprises et leurs agences IA
Dès maintenant, demandez à vos partenaires – cabinets, intégrateurs et agences IA – des preuves concrètes. Le Code de pratique de la Commission définit des attentes claires en matière de sécurité, de traçabilité des données et de contenus (EC Code GPAI). Voici les éléments à exiger:
- Dossier de transparence par modèle : model card, évaluations, limites connues, provenance des données et résumé d’entraînement » suffisamment détaillé « , politique copyright et sources (cf. vue d’ensemble GPAI).
- Statut par rapport au Code de pratique : signataire ou non, périmètre couvert, jalons et publications publiques récentes.
- Gestion des risques : red teaming, stress tests, évaluation des risques systémiques pour modèles puissants, plan de mitigation, incidents et reporting vers l’UE le cas échéant.
- Propriété intellectuelle et contenus : politique copyright, filtrage et détection, provenance/watermarking des contenus générés, respect des licences.
- Chaîne d’approvisionnement IA : liste des modèles/fournisseurs tiers, versions, localisation des traitements et des données, sous-traitants (tenez un Model Bill of Materials – MBOM).
- Impacts RGPD : bases légales, DPA, minimisation, journalisation, sécurité, conservation, transferts hors UE.
- Continuité d’activité : modèles de repli, escrow/équivalents, portabilité des prompts/datasets, réversibilité contractuelle.
Résultat attendu: la capacité de l’agence à livrer une » preuve de conformité raisonnable » et une feuille de route documentée 2025–2027. Pour comprendre les effets organisationnels et juridiques, reportez-vous à notre article sur les conséquences immédiates pour les entreprises, et à ce décryptage de l’entrée en vigueur du 2 août 2025.
Astuce: explicitez l’impact sur vos cas d’usage d’automatisation ia (ex. service client, achats, conformité). En cadrant tôt vos exigences, vous évitez les frictions ultérieures et réduisez le risque de re-travail coûteux.
Check-list RFP/contrat (7 clauses prioritaires à exiger dès cette semaine)
Intégrez ces clauses dans vos appels d’offres et contrats cadres pour aligner vos agences IA sur l’AI Act. Référencez explicitement le Code européen de bonne pratique GPAI comme cadre d’exécution et de publication de métriques.
- Adhésion au Code GPAI : statut, périmètre, jalons trimestriels, indicateurs clés (logs de sécurité, incidents, publications).
- Transparence technique obligatoire : Model Card + Evaluation Card + résumé des données d’entraînement par modèle; liens publics ou lettre d’attestation fournisseur.
- Gouvernance des risques et audits : red teaming périodique, reporting, droits d’audit client, plan d’escalade incidents, communication avec l’UE si nécessaire.
- Propriété intellectuelle & indemnisation : garanties copyright, traitement des réclamations, couverture assurantielle, seuils d’exposition, politiques de contenu.
- Chaîne d’approvisionnement IA : Model Bill of Materials (MBOM), versions, localisation/data residency, sous-traitants, SLA de mise à jour des modèles.
- Conformité RGPD & sécurité : DPA, chiffrement, journalisation, minimisation, tests d’intrusion, politiques de conservation/effacement.
- Réversibilité & continuité : multi-sourcing, modèles de repli, portabilité (prompts/datasets), pénalités contractuelles en cas de non-conformité AI Act.
Pour calibrer vos exigences, voyez comment le Code européen de bonne pratique IA rebattait déjà les cartes de la sélection en 2025, et pourquoi certaines agence ia investissent dans des certifications IA pour vous donner des garanties tangibles.
| Clause | Livrable vérifiable attendu |
|---|---|
| Transparence | Model Card + Evaluation Card + résumé d’entraînement publié ou attesté |
| Supply chain | MBOM à jour (modèles, versions, localisation, sous-traitants) |
| Risques | Rapports de red teaming et plan de mitigation datés |
Grille de scoring express pour comparer les agences IA sur la conformité GPAI
Pour objectiver votre comparatif, attribuez une note sur 100 selon la grille ci-dessous. Elle s’appuie sur les attentes publiques de l’AI Act et du Code GPAI (v. aperçu du Code et Baker McKenzie).
| Critère | Points | Preuves à exiger |
|---|---|---|
| Transparence démontrée | 25 | Model cards, évals indépendantes, résumé d’entraînement publié, letter of attestation fournisseur |
| Engagement Code de pratique | 20 | Signature + jalons, conformité partielle, posts/rapports publics récents |
| Gestion des risques | 15 | Red teaming, stress tests, process d’incident et reporting, couverture assurantielle |
| RGPD & sécurité | 15 | DPA, data mapping, transferts, sécurisation, politiques de conservation, audits |
| Chaîne d’approvisionnement | 10 | MBOM, localisation UE, maîtrise des sous-traitants, SLA de mises à jour |
| Continuité & réversibilité | 10 | Fallbacks, portabilité, clauses de sortie, absence de verrouillage fournisseur |
| Références sectorielles conformes | 5 | Cas d’usage régulés, audits clients post-2 août 2025 |
Conseil: privilégiez les prestataires qui publient des artefacts techniques réutilisables (model cards standardisées, MBOM versionné). Demandez que chaque agences intelligence artificielle candidate vous fournisse un dossier de preuve pour 2–3 cas d’usage représentatifs, plutôt que des promesses générales.
Plan d’action en 14 jours (Conclusion)
Voici un plan express pour mettre vos prestataires au pas de la conformité GPAI – et sécuriser vos décisions d’achat.
- Jours 1–3 : recensez tous les modèles GPAI utilisés via vos partenaires. Demandez MBOM + model/eval cards + statut Code de pratique. Établissez la cartographie RGPD (bases légales, transferts, conservation).
- Jours 4–7 : mettez à jour votre RFP type et vos contrats avec les 7 clauses prioritaires. Programmez un audit flash (revue documentaire + interview sécurité/compliance). Intégrez des exigences inspirées du Code GPAI.
- Jours 8–14 : scorez vos prestataires avec la grille 100 pts. Négociez des plans de remédiation contractualisés, des modèles de repli et des métriques publiées trimestriellement. Communiquez aux métiers un guide d’usage conforme.
À retenir: le 2 août a déclenché une nouvelle norme d’achat. Faites de la conformité GPAI un critère éliminatoire dès vos shortlists d’agence ia. Pour éviter les pièges classiques de sélection, relisez notre guide sur les 7 erreurs à éviter et, selon vos besoins d’automatisation ia, ajustez vos exigences par filière métier.
Besoin d’un cadrage plus poussé? Croisez ce plan avec notre analyse des conséquences immédiates du AI Act et notre éclairage sur le rôle structurant du Code de bonne pratique IA. Avec ces ressources, vous êtes armés pour comparer, négocier et choisir votre agence intelligence artificielle en toute confiance.