Qu'est-ce que le seuil de 10^25 FLOPs de l'AI Act ?

L'article 51(2) du Règlement (UE) 2024/1689 présume qu'un modèle GPAI présente un risque systémique lorsque le cumul de calcul utilisé pour son entraînement dépasse 10^25 opérations en virgule flottante (FLOPs). Le fournisseur doit alors le notifier à la Commission sans délai, au plus tard deux semaines après que le seuil est atteint (article 52), et respecter les obligations renforcées de l'article 55 : évaluations du modèle avec tests adversariaux, atténuation des risques systémiques, notification des incidents graves, cybersécurité.

L'exemption open source de l'article 53(2) dispense-t-elle de toutes les obligations ?

Non. Elle ne couvre que la documentation technique (art. 53(1)(a)) et la documentation aux intégrateurs (art. 53(1)(b)), ainsi que la désignation d'un mandataire (art. 54(6)). Deux obligations subsistent pour tout fournisseur, y compris open source : la politique de conformité au droit d'auteur de l'UE (art. 53(1)(c)) et le résumé public suffisamment détaillé des contenus d'entraînement (art. 53(1)(d)). L'exemption tombe entièrement si le modèle est classé à risque systémique.

Le fine-tuning d'un modèle open source me rend-il fournisseur GPAI ?

Rarement. Les lignes directrices GPAI de la Commission européenne du 18 juillet 2025 retiennent un critère indicatif : un modificateur en aval devient fournisseur du modèle modifié si le calcul d'entraînement utilisé pour la modification dépasse un tiers du calcul d'entraînement du modèle d'origine. Un fine-tuning classique de PME (LoRA, instruction tuning sur quelques milliers d'exemples) reste très en dessous de ce seuil.

Le Digital Omnibus de mai 2026 a-t-il reporté les obligations GPAI ?

Non. L'accord politique du 7 mai 2026 reporte les obligations des systèmes haut-risque (Annexe III au 2 décembre 2027, Annexe I au 2 août 2028), mais ne modifie pas les obligations GPAI : elles sont applicables depuis le 2 août 2025. La Commission peut prononcer des amendes contre les fournisseurs GPAI à partir du 2 août 2026 — jusqu'à 3 % du chiffre d'affaires annuel mondial ou 15 millions d'euros, le plus élevé des deux (article 101).

LLM open source et AI Act : obligations GPAI pour les PME

Q: Utiliser Llama ou Mistral en interne fait-il de mon entreprise un fournisseur GPAI ?

Non, dans le cas général. Une entreprise qui télécharge un modèle open source existant et l'exécute sur ses propres serveurs pour son usage interne est déployeur du système d'IA qu'elle construit avec, pas fournisseur du modèle. Les obligations GPAI des articles 53 à 55 pèsent sur celui qui développe le modèle et le met sur le marché de l'UE (Meta, Mistral AI, etc.). Vous pouvez en revanche devenir fournisseur si vous redistribuez le modèle modifié sous votre marque ou si votre modification est substantielle.

L'essentiel

Utiliser un LLM open source en interne (Llama, Mistral, Qwen auto-hébergés) fait de votre entreprise un déployeur au sens de l'AI Act — pas un fournisseur GPAI. Les obligations des articles 53-55 pèsent sur celui qui développe et met le modèle sur le marché.
Les obligations GPAI sont en vigueur depuis le 2 août 2025 et n'ont pas été reportées par le Digital Omnibus de mai 2026. Les amendes de la Commission (jusqu'à 3 % du CA mondial ou 15 M€, art. 101) deviennent exécutoires le 2 août 2026.
L'exemption open source (art. 53(2)) ne couvre que la documentation technique et la documentation aux intégrateurs — la politique droit d'auteur et le résumé des données d'entraînement restent obligatoires, et tout tombe si le modèle dépasse 10^25 FLOPs (risque systémique).
Le fine-tuning ne vous transforme en fournisseur que si votre calcul de modification dépasse un tiers du calcul d'entraînement du modèle d'origine (critère indicatif des lignes directrices de la Commission du 18 juillet 2025) — un cas très rare en PME.

Beaucoup de PME françaises font tourner un modèle de langage open source sur leurs propres serveurs : assistant interne branché sur la documentation, génération de courriers, classement d'emails, RAG sur une base métier. L'argument est solide — les données ne sortent pas de l'entreprise. Mais une question revient systématiquement dans les audits : en auto-hébergeant un LLM open source, mon entreprise devient-elle « fournisseur de modèle d'IA à usage général » au sens du Règlement (UE) 2024/1689, avec les obligations GPAI qui vont avec ?

La réponse courte : presque jamais. La réponse complète demande de comprendre trois mécanismes du règlement — la définition du modèle GPAI, la frontière fournisseur/déployeur, et l'exemption open source. C'est l'objet de ce guide, appuyé sur le texte du règlement, les lignes directrices GPAI de la Commission du 18 juillet 2025 et les questions-réponses de la CNIL.

1. Qu'est-ce qu'un modèle GPAI au sens de l'AI Act ?

L'article 3(63) du règlement définit le modèle d'IA à usage général (general-purpose AI model, GPAI) comme un modèle entraîné sur de grandes quantités de données, qui présente une généralité significative et est capable d'exécuter avec compétence un large éventail de tâches distinctes, quelle que soit la manière dont il est mis sur le marché. Les grands modèles de langage — GPT, Claude, Gemini, mais aussi les familles open source Llama, Mistral, Qwen ou Gemma — en sont l'exemple type.

Les lignes directrices de la Commission du 18 juillet 2025 ajoutent un critère indicatif pour trancher les cas limites : un modèle dont le calcul d'entraînement dépasse 10²³ FLOPs et qui peut générer du texte, des images ou de la vidéo est présumé relever de la catégorie GPAI. En dessous, un modèle étroit (un classifieur de documents, un modèle de détection d'anomalies) n'est pas un GPAI.

Point essentiel : le règlement distingue le modèle (les poids, l'architecture) du système d'IA construit autour (le chatbot, l'outil RAG, l'application métier). Les obligations GPAI des articles 51 à 55 portent sur le modèle ; les obligations de transparence et de classification de risque portent sur le système. Une même entreprise peut être concernée par les deux régimes — ou par un seul.

2. Auto-hébergement : êtes-vous fournisseur ou déployeur ?

C'est le test décisif. Le fournisseur d'un modèle GPAI est celui qui le développe (ou le fait développer) et le met sur le marché de l'UE. Le déployeur est celui qui utilise un système d'IA sous sa propre autorité dans le cadre de son activité professionnelle (art. 3(4)).

Votre situation	Votre rôle	Obligations principales
Vous téléchargez Llama ou Mistral et l'exécutez en interne (Ollama, vLLM) pour vos équipes	Déployeur du système d'IA que vous construisez	Maîtrise de l'IA (art. 4), transparence si le système interagit avec des personnes (art. 50), RGPD, classification de risque du cas d'usage
Vous faites un fine-tuning léger (LoRA, instruction tuning) pour votre vocabulaire métier, usage interne	Déployeur — la modification reste très sous le tiers du calcul d'origine	Identiques à la ligne précédente, plus la traçabilité de votre adaptation
Vous intégrez le modèle dans un produit que vous commercialisez (SaaS, application)	Fournisseur du système d'IA en aval — pas du modèle	Obligations du système selon son risque ; vous vous appuyez sur la documentation du fournisseur du modèle (art. 53(1)(b))
Vous modifiez le modèle avec un calcul d'entraînement supérieur à un tiers de celui d'origine	Fournisseur GPAI du modèle modifié (critère indicatif des lignes directrices)	Art. 53 sur la modification : documentation, politique droit d'auteur, résumé des données d'entraînement de la modification
Vous développez votre propre modèle de fondation et le distribuez	Fournisseur GPAI plein	Art. 53 complet, art. 54-55 selon le cas, exemption open source possible

Pour la quasi-totalité des PME qui auto-hébergent un LLM open source, le verdict est donc : déployeur. Vos obligations sont celles de tout utilisateur professionnel d'IA — pas celles de Meta ou de Mistral AI. Elles sont détaillées dans notre guide AI Act PME et tiennent en quelques documents : politique IA, registre des systèmes, charte d'usage, information des utilisateurs.

3. Fine-tuning : la règle du tiers du calcul

Les lignes directrices GPAI de la Commission (18 juillet 2025) ont clarifié le cas du downstream modifier — l'acteur qui modifie un modèle existant. Devenir fournisseur du modèle modifié suppose une modification conduisant à un changement significatif de sa généralité, de ses capacités ou de son risque systémique. Le critère indicatif retenu : un calcul d'entraînement de la modification supérieur à un tiers du calcul d'entraînement du modèle d'origine (ou, si ce dernier est inconnu, un tiers de 10²³ FLOPs).

Concrètement : ré-entraîner un tiers de Llama 3.3 70B représente des moyens de calcul hors de portée d'une PME — des milliers de GPU-heures de datacenter. Un fine-tuning LoRA sur quelques milliers d'exemples métier en est éloigné de plusieurs ordres de grandeur. Si vous adaptez un modèle open source pour votre usage interne, vous restez déployeur ; documentez simplement la modification (données utilisées, date, objectif) dans votre registre des systèmes d'IA.

Attention au cas de la redistribution : si vous publiez votre modèle fine-tuné (sur Hugging Face, par exemple) ou l'intégrez dans un produit vendu sous votre marque, l'analyse change — vous mettez un modèle sur le marché. Avant toute redistribution, refaites le test fournisseur/déployeur avec votre conseil.

4. Les obligations des fournisseurs GPAI (article 53)

Si votre entreprise est fournisseur GPAI — ou veut vérifier ce que son fournisseur amont doit lui livrer — voici les quatre obligations de l'article 53(1), applicables depuis le 2 août 2025 :

Obligation	Contenu	Exemption open source ?
53(1)(a) — documentation technique	Élaborer et tenir à jour la documentation du modèle : processus d'entraînement et de test, résultats d'évaluation (Annexe XI)	✅ Oui
53(1)(b) — documentation aux intégrateurs	Fournir aux fournisseurs de systèmes d'IA en aval les informations pour comprendre capacités et limites du modèle (Annexe XII)	✅ Oui
53(1)(c) — politique droit d'auteur	Mettre en place une politique de conformité au droit d'auteur de l'UE, y compris le respect des réserves de droits TDM (art. 4(3) de la directive 2019/790)	❌ Non — toujours due
53(1)(d) — résumé des données d'entraînement	Publier un résumé suffisamment détaillé des contenus d'entraînement, selon le modèle publié par le Bureau de l'IA en juillet 2025	❌ Non — toujours due

S'y ajoute, pour les fournisseurs établis hors UE, la désignation d'un mandataire dans l'Union (article 54). Le Code de bonnes pratiques GPAI, publié en juillet 2025, offre un moyen volontaire de démontrer la conformité à ces obligations.

5. L'exemption open source : réelle, mais étroite

L'article 53(2) exempte des obligations (a) et (b) les modèles publiés sous une licence libre et open source qui permet l'accès, l'utilisation, la modification et la distribution du modèle, et dont les paramètres — poids compris —, l'architecture et les informations d'usage sont rendus publics. Les lignes directrices de la Commission précisent qu'un modèle monétisé (accès payant, licence restrictive) ne bénéficie pas de l'exemption.

Trois limites à garder en tête :

La politique droit d'auteur (c) et le résumé des données d'entraînement (d) restent dus par tout fournisseur, open source ou non.
L'exemption tombe si le modèle est classé à risque systémique (au-dessus de 10²⁵ FLOPs) : toutes les obligations s'appliquent alors, articles 53 et 55 compris.
Toutes les licences « ouvertes » ne se valent pas. Un modèle sous Apache 2.0 (la plupart des modèles Mistral ou Qwen) coche la case « licence libre » ; les licences communautaires assorties de restrictions d'usage ou de seuils commerciaux (famille Llama de Meta) ont un statut plus discuté au regard du texte. Le sujet concerne le fournisseur — pas vous en tant qu'utilisateur — mais il explique pourquoi « open source » et « open weights » ne sont pas synonymes juridiquement.

6. Le seuil 10²⁵ FLOPs et le risque systémique

L'article 51(2) présume qu'un modèle GPAI présente un risque systémique lorsque le cumul de calcul utilisé pour son entraînement dépasse 10²⁵ opérations en virgule flottante (FLOPs). Le fournisseur doit notifier la Commission sans délai — au plus tard deux semaines après que le seuil est atteint ou qu'il est connu qu'il le sera (article 52).

Les modèles à risque systémique relèvent de l'article 55 : évaluations du modèle avec tests adversariaux (red teaming), évaluation et atténuation des risques systémiques au niveau de l'UE, notification des incidents graves au Bureau de l'IA, et niveau adéquat de cybersécurité. Seule une poignée de modèles frontière dépasse aujourd'hui ce seuil — aucun modèle qu'une PME ferait tourner sur un serveur local n'en approche.

7. Calendrier GPAI : ce qui est en vigueur, ce qui arrive

Frise chronologique des échéances de l'AI Act 2025-2027 : interdictions et maîtrise de l'IA au 2 février 2025, obligations GPAI au 2 août 2025, transparence déployeur et sanctions GPAI au 2 août 2026, étiquetage technique et nouvelles interdictions au 2 décembre 2026, mise en conformité des GPAI antérieurs au 2 août 2027, obligations haut-risque Annexe III au 2 décembre 2027 — Échéances de l'AI Act 2025-2027, intégrant l'accord Digital Omnibus du 7 mai 2026 (adoption formelle en cours). Sources : Règlement (UE) 2024/1689, Commission européenne.

Trois dates structurent le volet GPAI :

2 août 2025 — les obligations des articles 53 à 55 sont applicables aux modèles mis sur le marché à partir de cette date.
2 août 2026 — la Commission acquiert ses pouvoirs d'exécution : amendes jusqu'à 3 % du chiffre d'affaires annuel mondial ou 15 millions d'euros, le montant le plus élevé (article 101).
2 août 2027 — date limite de mise en conformité pour les modèles déjà sur le marché avant le 2 août 2025.

Le Digital Omnibus du 7 mai 2026 n'a rien changé à ce calendrier GPAI : les reports concernent les systèmes haut-risque (Annexe III au 2 décembre 2027, Annexe I au 2 août 2028) et l'étiquetage technique des contenus générés (2 décembre 2026). Le détail des huit changements est dans notre guide AI Act PME.

8. Checklist : auto-héberger un LLM open source en conformité

Vous êtes déployeur d'un LLM open source auto-hébergé ? Voici les points de contrôle, dans l'ordre :

Inventoriez le système dans votre registre IA — modèle utilisé (nom, version, licence), cas d'usage, données traitées, utilisateurs concernés. C'est la base de tout audit. Notre pack documentaire inclut le registre type.
Classez le cas d'usage, pas le modèle — le même Mistral auto-hébergé est à risque minimal en résumé de documentation interne, mais bascule en haut-risque s'il trie des CV (Annexe III, emploi). La classification suit l'usage : voir notre guide des systèmes haut-risque.
Formez les utilisateurs (art. 4) — l'obligation de maîtrise de l'IA s'applique depuis le 2 février 2025 : limites du modèle, hallucinations, vérification des sorties, usages interdits.
Préparez la transparence (art. 50) — si le système interagit avec des personnes (chatbot client, assistant RH), elles devront en être informées au plus tard le 2 août 2026.
Traitez le volet RGPD — la CNIL rappelle qu'elle reste pleinement compétente sur les traitements de données personnelles des modèles et systèmes d'IA : base légale, AIPD si nécessaire, minimisation des données injectées en prompt ou en RAG.
Tracez vos fine-tunings — données, date, objectif, et vérification que vous restez très sous le tiers du calcul d'origine (vous l'êtes, sauf projet industriel de ré-entraînement).
Documentez le choix du modèle — licence et conditions d'usage notamment. Les fiches techniques par modèle de quelllm.fr (par exemple Llama 3.3 70B ou Mistral Small 3.1) récapitulent licence, prérequis matériels et cas d'usage — utile pour alimenter votre registre.

9. FAQ

Utiliser Llama ou Mistral en interne fait-il de mon entreprise un fournisseur GPAI ?

Non, dans le cas général. Télécharger un modèle existant et l'exécuter sur vos serveurs pour votre usage interne fait de vous un déployeur du système que vous construisez avec — pas un fournisseur du modèle. Vous devenez fournisseur si vous redistribuez un modèle modifié sous votre marque, ou en cas de modification substantielle.

Qu'est-ce que le seuil de 10²⁵ FLOPs ?

C'est le seuil de calcul d'entraînement au-delà duquel l'article 51(2) présume un risque systémique. Le fournisseur doit alors notifier la Commission sous deux semaines (art. 52) et appliquer les obligations renforcées de l'article 55 (tests adversariaux, gestion des incidents, cybersécurité).

L'exemption open source dispense-t-elle de tout ?

Non. Elle couvre la documentation technique et la documentation aux intégrateurs (art. 53(1)(a) et (b)) ainsi que le mandataire (art. 54(6)). La politique droit d'auteur et le résumé public des données d'entraînement restent obligatoires — et tout s'applique si le modèle est à risque systémique.

Le fine-tuning me rend-il fournisseur ?

Rarement : le critère indicatif des lignes directrices de la Commission est un calcul de modification supérieur à un tiers du calcul d'entraînement d'origine. Les fine-tunings de PME (LoRA, instruction tuning) en sont très loin.

Le Digital Omnibus a-t-il reporté les obligations GPAI ?

Non. L'accord du 7 mai 2026 reporte le haut-risque (Annexe III → 2 décembre 2027) mais laisse le volet GPAI inchangé : obligations applicables depuis le 2 août 2025, amendes exécutoires à partir du 2 août 2026.

Votre LLM interne, en règle sur le papier aussi

Politique IA, registre des systèmes, charte d'usage : le pack regulia génère vos documents de conformité AI Act personnalisés, livrés en une heure.

Générer mon pack documentaire →

LLM open source et AI Act : quelles obligations GPAI pour votre entreprise ?

L'essentiel

1. Qu'est-ce qu'un modèle GPAI au sens de l'AI Act ?

2. Auto-hébergement : êtes-vous fournisseur ou déployeur ?

3. Fine-tuning : la règle du tiers du calcul

4. Les obligations des fournisseurs GPAI (article 53)

5. L'exemption open source : réelle, mais étroite

6. Le seuil 10²⁵ FLOPs et le risque systémique

7. Calendrier GPAI : ce qui est en vigueur, ce qui arrive

8. Checklist : auto-héberger un LLM open source en conformité

9. FAQ

Utiliser Llama ou Mistral en interne fait-il de mon entreprise un fournisseur GPAI ?

Qu'est-ce que le seuil de 10²⁵ FLOPs ?

L'exemption open source dispense-t-elle de tout ?

Le fine-tuning me rend-il fournisseur ?

Le Digital Omnibus a-t-il reporté les obligations GPAI ?

Votre LLM interne, en règle sur le papier aussi

10. Pour aller plus loin

LLM open source et AI Act : quelles obligations GPAI pour votre entreprise ?

L'essentiel

1. Qu'est-ce qu'un modèle GPAI au sens de l'AI Act ?

2. Auto-hébergement : êtes-vous fournisseur ou déployeur ?

3. Fine-tuning : la règle du tiers du calcul

4. Les obligations des fournisseurs GPAI (article 53)

5. L'exemption open source : réelle, mais étroite

6. Le seuil 1025 FLOPs et le risque systémique

7. Calendrier GPAI : ce qui est en vigueur, ce qui arrive

8. Checklist : auto-héberger un LLM open source en conformité

9. FAQ

Utiliser Llama ou Mistral en interne fait-il de mon entreprise un fournisseur GPAI ?

Qu'est-ce que le seuil de 1025 FLOPs ?

L'exemption open source dispense-t-elle de tout ?

Le fine-tuning me rend-il fournisseur ?

Le Digital Omnibus a-t-il reporté les obligations GPAI ?

Votre LLM interne, en règle sur le papier aussi

10. Pour aller plus loin

6. Le seuil 10²⁵ FLOPs et le risque systémique

Qu'est-ce que le seuil de 10²⁵ FLOPs ?