TL;DR
L'essentiel en 30 secondes - Les startups deeptech qui développent des modèles d'IA à usage général (GPAI) sont qualifiées de « fournisseurs » au sens de l'Article 51 du Règlement (UE) 2024/1689. - Les obligations documentaires (Art. 53) entrent en vigueur le 2 août 2025 pour les nouveaux modèles GPAI mis sur le marché. - Les sanctions peuvent atteindre 15 millions d'euros ou 3 % du chiffre d'affaires mondial annuel pour les manquements liés aux GPAI (Art. 101). [à vérifier — distinct du plafond général Art. 99 à 7 %] - Les GPAI à risque systémique (>10²⁵ FLOPs d'entraînement) déclenchent des obligations renforcées au titre de l'Art. 55. - Une procédure simplifiée existe pour les PME et startups (Art. 56, code de pratiques). - Le Bureau européen de l'IA propose un service d'aide : ai-act-service-desk.ec.europa.eu.
1. Contexte : AI Act et impact sur les startups deeptech
Le Règlement (UE) 2024/1689, dit « AI Act », est entré en vigueur le 1ᵉʳ août 2024. Il crée un régime juridique inédit pour les modèles d'IA à usage général, appelés GPAI (General-Purpose AI).
Les startups deeptech françaises sont en première ligne. Beaucoup entraînent ou affinent des modèles fondationnels destinés à plusieurs cas d'usage : génération de texte, vision par ordinateur, modélisation moléculaire, raisonnement multimodal. Cette polyvalence les place dans le périmètre des Articles 51 à 56.
Le calendrier est serré. Les obligations GPAI s'appliquent à partir du 2 août 2025 pour les modèles mis sur le marché après cette date. Les modèles antérieurs bénéficient d'une période transitoire jusqu'au 2 août 2027.
Trois enjeux concrets pour une startup :
- Qualifier ou non son modèle comme GPAI au sens de l'Art. 51.
- Constituer la documentation technique exigée par l'Art. 53.
- Identifier le seuil de risque systémique (Art. 51 §2 et Art. 55).
Ce guide détaille chaque étape. Pour une vision d'ensemble sectorielle, voir notre pillar AI Act PME France.
2. Définition du fournisseur de GPAI
L'Article 3 §63 du Règlement (UE) 2024/1689 définit un modèle d'IA à usage général comme un modèle « qui présente une généralité significative et est capable d'exécuter de manière compétente un large éventail de tâches distinctes ». La définition vise explicitement les modèles entraînés sur de grandes quantités de données avec auto-supervision à grande échelle.
Le fournisseur est défini à l'Art. 3 §3 comme la personne physique ou morale qui développe le modèle ou le fait développer, et le met sur le marché ou en service sous son propre nom.
2.1 Cas typiques chez les deeptech françaises
| Profil startup | Activité | Statut probable |
|---|---|---|
| Studio LLM open-source | Entraînement d'un modèle de langage 7B paramètres publié sur Hugging Face | Fournisseur GPAI (Art. 51) |
| Fine-tuner sectoriel | Adaptation d'un modèle base via LoRA pour usage médical | Fournisseur en aval (Art. 25) ou GPAI selon ampleur |
| API d'IA spécialisée | Reconnaissance d'images pour contrôle qualité industriel | IA à usage spécifique — hors GPAI |
| Plateforme multi-modèles | Distribution sous marque propre de modèles tiers | Fournisseur GPAI si modification substantielle |
2.2 Frontière entre GPAI et système d'IA spécifique
Un modèle entraîné pour une tâche unique (ex. détection de défauts sur images de soudures) n'est pas un GPAI. Un modèle utilisable pour traduction, résumé, génération de code et questions-réponses est un GPAI.
L'Article 51 fixe également un seuil quantitatif présomptif : un modèle entraîné avec une puissance de calcul cumulée supérieure à 10²⁵ opérations en virgule flottante est présumé à risque systémique.
2.3 Cas particulier des modèles open-source
L'Art. 53 §2 prévoit une exemption partielle pour les modèles GPAI publiés sous licence libre, sauf s'ils présentent un risque systémique. L'exemption ne couvre pas les obligations en matière de droits d'auteur (Art. 53 §1 c).
3. Obligations légales : Articles 51-56 détaillés
Les Articles 51 à 56 forment le chapitre V du Règlement. Voici la cartographie complète.
| Article | Objet | Échéance | Impact startup |
|---|---|---|---|
| Art. 51 | Classification GPAI et seuil de risque systémique | 2 août 2025 | Auto-évaluation obligatoire |
| Art. 52 | Procédure de désignation par la Commission | 2 août 2025 | Notification dans les 2 semaines si seuil atteint |
| Art. 53 | Obligations communes à tout fournisseur GPAI | 2 août 2025 | Documentation technique + politique droits d'auteur |
| Art. 54 | Mandataire pour fournisseurs établis hors UE | 2 août 2025 | Concerne deeptech US/UK avec utilisateurs UE |
| Art. 55 | Obligations renforcées GPAI à risque systémique | 2 août 2025 | Évaluation modèle, mitigation, cybersécurité |
| Art. 56 | Codes de pratiques sectoriels | En cours | Voie de conformité simplifiée |
3.1 Article 53 : le socle documentaire
L'Art. 53 §1 impose à tout fournisseur GPAI quatre obligations cumulatives :
- Documentation technique du modèle (Annexe XI) : architecture, processus d'entraînement, jeux de données, consommation énergétique.
- Information des fournisseurs en aval qui intègrent le modèle (Annexe XII).
- Politique de respect du droit d'auteur de l'Union, incluant le respect des opt-out TDM (Art. 4 §3 directive 2019/790).
- Résumé public suffisamment détaillé des données d'entraînement, selon le modèle publié par le Bureau de l'IA.
3.2 Article 55 : risque systémique
Le franchissement du seuil de 10²⁵ FLOPs déclenche quatre obligations supplémentaires :
- Évaluation du modèle selon protocoles standardisés (red-teaming compris).
- Évaluation et atténuation des risques systémiques au niveau de l'Union.
- Documentation et signalement au Bureau de l'IA des incidents graves.
- Niveau adéquat de cybersécurité du modèle et de l'infrastructure.
4. Processus d'inscription et notification
Contrairement à une idée répandue, il n'existe pas de « registre des fournisseurs GPAI » au sens strict. Le Règlement prévoit en revanche une obligation de notification à la Commission européenne via le Bureau de l'IA.
4.1 Quand notifier
L'Art. 52 §1 impose la notification dès lors qu'un modèle atteint ou dépasse le seuil de 10²⁵ FLOPs cumulés d'entraînement. Le délai est de deux semaines à compter du moment où l'exigence est satisfaite ou devient connue.
4.2 Contenu de la notification
La notification doit comporter les informations énumérées à l'Annexe XI section 2 :
- Nom et coordonnées du fournisseur.
- Description générale du modèle, capacités, limitations.
- Puissance de calcul d'entraînement et méthode d'estimation.
- Modalités de mise à disposition (API, téléchargement, intégration).
4.3 Contestation de la présomption
L'Art. 52 §2 permet au fournisseur de présenter des arguments démontrant que son modèle, malgré le franchissement du seuil, ne présente pas de risque systémique. La Commission dispose de six mois pour statuer.
Modèles de documentation GPAI prêts à l'emploi
regulia propose un pack documentaire conforme à l'Annexe XI : fiche modèle, registre des risques, politique droits d'auteur et résumé d'entraînement.
Demander le pack GPAI deeptech5. Obligations de transparence et documentation
La transparence est le pivot du régime GPAI. L'Annexe XI structure la documentation technique en deux sections.
5.1 Documentation interne (Annexe XI section 1)
Le fournisseur doit conserver et maintenir à jour :
- Description du modèle, tâches, modalités d'intégration.
- Politiques d'usage acceptable, date de publication, méthode de distribution.
- Architecture du modèle, nombre de paramètres, modalité d'entrée/sortie, licence.
- Processus d'entraînement, méthodologie, infrastructures, durée, consommation énergétique.
- Données d'entraînement, validation, test : nature, provenance, méthodes de curation, biais détectés.
5.2 Documentation à fournir en aval (Annexe XII)
Les fournisseurs intégrateurs (start-ups SaaS, éditeurs d'applications) ont besoin de :
- Description technique du modèle et de ses capacités.
- Description des éléments du modèle et de son processus de développement.
- Modalités d'interaction avec du matériel ou logiciel externe.
- Versions logicielles concernées et exigences d'infrastructure.
5.3 Résumé public des données d'entraînement
L'Art. 53 §1 d impose un résumé « suffisamment détaillé » des données utilisées. Le Bureau de l'IA publie un modèle harmonisé. L'objectif : permettre aux ayants droit d'identifier les contenus qui pourraient avoir été utilisés et exercer leurs droits.
5.4 Droits d'auteur et opt-out TDM
L'Art. 53 §1 c oblige le fournisseur à mettre en œuvre une politique respectant la directive 2019/790. Concrètement : identifier et respecter les réserves d'usage exprimées par les ayants droit, y compris via des standards techniques comme robots.txt ou des métadonnées TDM Reservation Protocol.
Pour le détail terminologique, consulter le glossaire regulia.
6. Procédures de contrôle et conformité
Le Règlement instaure une supervision à deux niveaux pour les GPAI.
6.1 Compétence du Bureau de l'IA
Contrairement aux systèmes d'IA à haut risque (supervisés par les autorités nationales — pour la France, probablement la CNIL et l'ANSSI), les GPAI relèvent directement du Bureau européen de l'IA établi au sein de la DG CNECT. Cette centralisation simplifie le dialogue pour les startups paneuropéennes.
6.2 Pouvoirs d'enquête
L'Art. 91 confère au Bureau de l'IA le pouvoir de :
- Demander toute documentation au fournisseur.
- Réaliser des évaluations du modèle, y compris via des tiers indépendants.
- Exiger des mesures correctives.
- Imposer un rappel ou un retrait du marché.
6.3 Codes de pratiques (Art. 56)
L'Art. 56 prévoit l'élaboration de codes de pratiques sectoriels facilitant la conformité. Le premier Code de pratique GPAI a été publié par le Bureau de l'IA en juillet 2025 [à vérifier — version définitive]. L'adhésion au code crée une présomption de conformité aux obligations correspondantes.
Pour une startup, l'adhésion représente la voie la plus économique :
| Voie de conformité | Coût indicatif | Sécurité juridique | Effort |
|---|---|---|---|
| Adhésion au Code de pratiques | Faible | Présomption (réfragable) | 2-4 semaines |
| Démonstration directe Art. 53 | Élevé | Aucune présomption | 3-6 mois |
| Normes harmonisées CEN-CENELEC | Moyen | Présomption (à venir) | 6-12 mois |
7. Sanctions et risques pour les startups
Le régime de sanctions est défini à l'Article 101, distinct du régime général de l'Art. 99 (haut risque).
7.1 Plafond financier
L'Art. 101 §1 fixe les amendes GPAI à un maximum de :
- 15 000 000 € ou
- 3 % du chiffre d'affaires annuel mondial total de l'exercice précédent
selon le montant le plus élevé. Ce plafond est inférieur au régime général (jusqu'à 7 % du CA mondial pour les pratiques interdites — voir sanctions AI Act), mais reste critique pour une startup.
7.2 Manquements visés
Le plafond Art. 101 s'applique aux infractions suivantes :
- Violation des obligations Art. 53 (documentation, droits d'auteur).
- Violation des obligations Art. 55 (risque systémique).
- Non-respect des mesures correctives ordonnées par le Bureau.
- Refus d'accès à la documentation ou au modèle pour évaluation.
- Communication d'informations inexactes ou trompeuses.
7.3 Critères de modulation
L'Art. 101 §2 énumère les facteurs pris en compte :
- Gravité et durée de l'infraction.
- Taille du fournisseur (atténuation explicite pour PME et startups).
- Coopération avec le Bureau de l'IA.
- Caractère intentionnel ou négligent.
- Bénéfice tiré de l'infraction.
7.4 Risques non financiers
Au-delà de l'amende, une startup deeptech s'expose à :
- Suspension de la mise à disposition dans l'UE.
- Atteinte réputationnelle auprès des clients B2B (qui répercutent leurs propres obligations AI Act).
- Perte d'éligibilité aux marchés publics européens.
- Difficultés de levée de fonds (due diligence régulatoire devenue standard).
8. Exonérations et procédures simplifiées pour PME
Le Règlement reconnaît la spécificité des PME et startups à plusieurs endroits.
8.1 Modèles open-source non systémiques
L'Art. 53 §2 exempte les fournisseurs de GPAI publiés sous licence libre et ouverte des obligations de documentation technique (Annexe XI) et d'information aux fournisseurs en aval (Annexe XII), à trois conditions cumulatives :
- Les paramètres, l'architecture et les modalités d'utilisation sont accessibles publiquement.
- Le modèle ne présente pas de risque systémique.
- Le résumé public des données d'entraînement et la politique droits d'auteur restent obligatoires.
8.2 Activités de recherche et développement
L'Art. 2 §6 exclut du champ d'application les modèles « développés et mis en service à seule fin de recherche scientifique ». Une startup en phase pré-commerciale peut donc bénéficier d'un sursis, mais l'exception cesse dès le premier acte de mise sur le marché.
8.3 Mesures de soutien aux PME (Art. 62)
L'Art. 62 du Règlement impose aux États membres de prévoir :
- Un accès prioritaire des PME aux bacs à sable réglementaires (Art. 57-58).
- Des actions de sensibilisation et formation.
- Des canaux dédiés de communication avec les autorités compétentes.
En France, la coordination est assurée par la CNIL et la DGE. Voir les fiches pratiques CNIL.
8.4 Mandataire UE pour fournisseurs hors UE
Une startup deeptech française qui s'installe aux États-Unis ou au Royaume-Uni mais conserve un marché européen doit, en vertu de l'Art. 54, désigner un mandataire établi dans l'UE. Cette obligation s'applique avant la mise sur le marché du modèle GPAI.
Audit de qualification GPAI en 5 jours
regulia analyse votre architecture modèle et détermine votre statut Art. 51, votre exposition risque systémique et votre plan documentaire Annexe XI.
Réserver l'audit GPAI startup9. Comment se préparer : étapes pratiques
Voici la feuille de route opérationnelle pour une startup deeptech française entre 2025 et 2027.
9.1 Phase 1 — Qualification (semaines 1 à 4)
- Cartographier l'ensemble des modèles entraînés ou affinés en interne.
- Calculer la puissance de calcul cumulée d'entraînement par modèle (FLOPs).
- Évaluer le caractère « usage général » au regard de l'Art. 3 §63.
- Documenter la décision de qualification (GPAI ou non, risque systémique ou non).
9.2 Phase 2 — Documentation (semaines 5 à 12)
- Constituer la fiche modèle conforme à l'Annexe XI section 1.
- Préparer la documentation à destination des intégrateurs (Annexe XII).
- Rédiger la politique de respect du droit d'auteur.
- Préparer le résumé public des données d'entraînement.
9.3 Phase 3 — Notification et gouvernance (mois 4 à 6)
- Si seuil 10²⁵ FLOPs atteint : notifier le Bureau de l'IA dans les deux semaines.
- Mettre en place un système de management de l'IA (ISO/IEC 42001:2023).
- Désigner un référent AI Act au sein de l'équipe (Tech Lead + Legal).
- Adhérer au Code de pratiques GPAI publié par le Bureau de l'IA.
9.4 Phase 4 — Surveillance continue
- Suivre les évaluations modèle (benchmarks, red-teaming).
- Tenir le registre des incidents graves (Art. 55).
- Mettre à jour la documentation à chaque version majeure.
- Préparer l'auditabilité : conserver les traces d'entraînement pendant 10 ans (Art. 18).
9.5 Checklist condensée
| Action | Échéance | Responsable type | Référence |
|---|---|---|---|
| Qualification GPAI | T0 + 4 sem. | CTO + Conseil | Art. 51 |
| Documentation Annexe XI | T0 + 12 sem. | Tech Lead | Art. 53 |
| Politique droits d'auteur | T0 + 8 sem. | Legal | Art. 53 §1 c |
| Notification Bureau IA | Si seuil atteint | DPO / Legal | Art. 52 |
| Adhésion Code de pratiques | Dès publication | Direction | Art. 56 |
| Évaluations modèle | Continu | ML Engineering | Art. 55 |
Pour approfondir les sources officielles, voir notre page sources regulia.
FAQ
Q : Quelle est la différence entre un fournisseur de GPAI et un fournisseur d'IA spécifique ?
Un fournisseur de GPAI développe et met sur le marché un modèle généraliste capable d'exécuter un large éventail de tâches : traduction, génération de texte, vision, code. Un fournisseur d'IA spécifique propose un système conçu pour une finalité bien définie, comme la reconnaissance de défauts sur images médicales ou la détection de fraude bancaire. Les obligations GPAI (Art. 51-56) ne s'appliquent qu'aux premiers ; les seconds relèvent du régime « haut risque » ou « risque limité » de l'AI Act selon leur usage. Les startups deeptech proposant des modèles fondationnels polyvalents sont quasi systématiquement qualifiées de fournisseurs GPAI.
Q : Quelles sont les étapes pour notifier un GPAI au Bureau de l'IA ?
- Constituer la documentation technique conforme à l'Annexe XI (Art. 53). 2. Calculer la puissance d'entraînement cumulée et vérifier le franchissement du seuil 10²⁵ FLOPs. 3. Transmettre la notification au Bureau de l'IA dans les deux semaines (Art. 52 §1). 4. Le cas échéant, contester la présomption de risque systémique (Art. 52 §2). 5. Maintenir la documentation à jour à chaque version. Le service d'aide européen est accessible à ai-act-service-desk.ec.europa.eu.
Q : Les startups deeptech peuvent-elles bénéficier d'exonérations ?
Oui, partiellement. L'Art. 53 §2 exempte les modèles publiés sous licence libre et ouverte des obligations de documentation Annexe XI et XII, à condition de ne pas présenter de risque systémique. L'Art. 2 §6 exclut les modèles utilisés uniquement à des fins de recherche scientifique pré-commerciale. En revanche, le résumé public des données d'entraînement et la politique droits d'auteur restent obligatoires dans tous les cas. Aucune exonération ne couvre les GPAI mis sur le marché à titre commercial.
Q : Quelles sont les conséquences d'une non-conformité avec l'AI Act ?
Les sanctions financières spécifiques aux GPAI atteignent 15 millions d'euros ou 3 % du chiffre d'affaires mondial annuel (Art. 101). Des mesures correctives peuvent inclure la suspension, le rappel ou l'interdiction de mise à disposition du modèle dans l'Union. Les conséquences indirectes pèsent souvent davantage : perte de clients B2B, blocage en due diligence d'investisseurs, exclusion des marchés publics. La conformité par conception (compliance by design) reste l'approche la plus économique.
Q : Où puis-je trouver de l'aide pour comprendre l'AI Act ?
Consulter notre guide AI Act pour PME françaises, notre dossier sanctions et amendes Article 99 et notre glossaire technique. Le service d'aide officiel du Bureau européen de l'IA est disponible à ai-act-service-desk.ec.europa.eu. La CNIL publie également 13 fiches pratiques sur l'IA accessibles sur cnil.fr.
Sources officielles
- Règlement (UE) 2024/1689 — texte intégral EUR-Lex
- AI Act consolidé — artificialintelligenceact.eu
- Service d'aide AI Act — Commission européenne
- Fiches pratiques IA — CNIL
- ISO/IEC 42001:2023 — Système de management de l'IA
- ISO/IEC 23894:2023 — Gestion du risque IA
- Cigref, Guide AI Act pour les grandes entreprises, janvier 2025
- Numeum, Guide AI Act pour l'écosystème tech français, mars 2025
Disclaimer Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.