L'essentiel en 30 secondes
- Le Code de bonne pratique GPAI (General-Purpose AI) encadre les modèles d'IA à usage général au titre du Règlement (UE) 2024/1689, dit EU AI Act.
- L'AI Office EU, créé par décision de la Commission du 24 janvier 2024, supervise l'application des règles GPAI et anime la rédaction du Code.
- Le Code de bonne pratique GPAI a été publié le 10 juillet 2025 par l'AI Office. Les obligations modèles GPAI s'appliquent depuis le 2 août 2025.
- Les PME françaises sont principalement concernées en tant que déployeurs de modèles GPAI ; les fournisseurs de modèles GPAI restent essentiellement de grands acteurs internationaux.
- L'adhésion au Code facilite la présomption de conformité aux Articles 53 et 55 du Règlement (UE) 2024/1689.
- Les sanctions pour les fournisseurs de GPAI atteignent jusqu'à 15 M€ ou 3 % du chiffre d'affaires mondial (Art. 101) — distinct du plafond général de 35 M€ ou 7 % (Art. 99).
1. Contexte : l'AI Office EU et le Code de bonne pratique GPAI
L'AI Office EU est l'autorité de la Commission européenne chargée de superviser l'application du Règlement (UE) 2024/1689 aux modèles d'IA à usage général. Il a été établi par la décision de la Commission C(2024) 390 du 24 janvier 2024, au sein de la DG CNECT.
Son rôle ne se limite pas aux modèles. L'AI Office coordonne aussi les autorités nationales compétentes — en France, ce rôle est progressivement confié à la CNIL et à l'ARCEP selon les compétences sectorielles [à vérifier selon la transposition finale].
Le Code of Practice for General-Purpose AI Models a été publié le 10 juillet 2025 par l'AI Office EU, après plusieurs mois de consultation avec les fournisseurs de modèles, la société civile et les États membres. Il constitue l'outil principal de mise en œuvre des Articles 53 à 55 du Règlement (UE) 2024/1689.
Le Code couvre trois axes : transparence, droit d'auteur, et sûreté et sécurité (uniquement pour les modèles GPAI à risque systémique au sens de l'Article 51).
1.1 Pourquoi ce Code concerne aussi les PME
À première lecture, le Code GPAI vise les fournisseurs de modèles : OpenAI, Anthropic, Google, Mistral AI, Meta, et quelques autres. Une PME française qui ne développe pas son propre modèle de fondation n'en est donc pas signataire directe.
Mais la PME est déployeur au sens de l'Article 3, paragraphe 4 du Règlement (UE) 2024/1689. À ce titre, elle hérite d'obligations en cascade : documentation technique de son fournisseur, journalisation des usages, information des utilisateurs finaux, et — si elle intègre un GPAI dans un système à haut risque listé à l'annexe III — des obligations renforcées au titre du chapitre III.
Pour comprendre le périmètre général applicable aux PME, consultez notre article pillar AI Act et PME françaises.
2. Calendrier d'application : ce qui change en 2025 et 2026
Le calendrier du Règlement (UE) 2024/1689 est échelonné. Voici les jalons qui concernent directement les PME utilisant des modèles GPAI.
| Date | Évènement | Base légale |
|---|---|---|
| 1er août 2024 | Entrée en vigueur du Règlement (UE) 2024/1689 | Art. 113 |
| 2 février 2025 | Application des interdictions de l'Article 5 et obligation de littératie IA | Art. 113, a) |
| 10 juillet 2025 | Publication du Code de bonne pratique GPAI par l'AI Office | Communication AI Office |
| 2 août 2025 | Application des obligations GPAI (Articles 53 à 55) et des sanctions GPAI (Art. 101) | Art. 113, b) |
| 2 août 2026 | Application générale du Règlement, y compris systèmes à haut risque annexe III | Art. 113 |
| 2 août 2027 | Application complète aux systèmes à haut risque listés à l'annexe I | Art. 113, c) |
En 2026, l'enjeu pour les PME est double : sécuriser leurs chaînes d'approvisionnement en GPAI déjà sous obligations, et préparer leur propre mise en conformité pour les systèmes à haut risque qu'elles déploient.
3. Les principes clés du Code de bonne pratique GPAI
Le Code adopté par l'AI Office repose sur trois chapitres opérationnels. Les PME doivent les comprendre car elles devront en exiger l'application contractuelle auprès de leurs fournisseurs.
3.1 Transparence
Ce chapitre opérationnalise l'Article 53, paragraphe 1, points a) et b) du Règlement (UE) 2024/1689. Le fournisseur signataire s'engage à produire et à mettre à disposition une Model Documentation Form standardisée, contenant notamment : architecture, données d'entraînement, capacités, limites, consommation énergétique estimée.
3.2 Droit d'auteur
Ce chapitre met en œuvre l'Article 53, paragraphe 1, point c) : politique interne de respect du droit d'auteur, mécanismes de respect de l'opt-out machine-readable au titre de l'Article 4, paragraphe 3 de la Directive (UE) 2019/790, et procédure de réception des réclamations.
3.3 Sûreté et sécurité
Ce chapitre s'adresse uniquement aux modèles GPAI à risque systémique au sens de l'Article 51, c'est-à-dire ceux entraînés avec une puissance de calcul cumulative supérieure à 10²⁵ FLOPs. Très peu de modèles sont concernés en 2026.
| Chapitre du Code | Articles AI Act visés | Obligation principale | Concerne les PME ? |
|---|---|---|---|
| Transparence | Art. 53(1)(a), 53(1)(b) | Documentation technique et Model Documentation Form | Indirectement (à exiger du fournisseur) |
| Droit d'auteur | Art. 53(1)(c) | Politique copyright et respect de l'opt-out TDM | Indirectement |
| Sûreté & sécurité | Art. 55 | Évaluation systémique, mitigation, reporting incidents | Non, sauf si la PME est fournisseur GPAI |
4. Les obligations réelles pour les PME françaises
Il est essentiel de distinguer ce que le Code impose au fournisseur de ce que la PME doit exiger contractuellement.
4.1 Obligations directes de la PME en tant que déployeur
Au titre de l'Article 26 du Règlement (UE) 2024/1689 (pour les systèmes à haut risque) et de l'Article 50 (pour les obligations de transparence), la PME doit :
- Tenir un registre des systèmes d'IA utilisés dans son organisation.
- Vérifier que le fournisseur a réalisé l'évaluation de conformité prévue à l'Article 43.
- Informer les personnes concernées lorsqu'un système d'IA est utilisé pour la prise de décision les concernant (Art. 26, §11).
- Assurer la supervision humaine (Art. 14) sur les systèmes à haut risque déployés.
- Garantir la littératie IA de son personnel utilisant ces systèmes (Art. 4, applicable depuis le 2 février 2025).
4.2 Obligations à transposer dans les contrats fournisseurs
La PME doit exiger de son fournisseur de GPAI :
- La Model Documentation Form mise à jour.
- Une attestation d'adhésion au Code de bonne pratique GPAI (ou démonstration d'un moyen alternatif de conformité aux Articles 53 et 55).
- Un mécanisme d'information sur les incidents graves (Art. 73 pour les systèmes à haut risque).
- La portabilité de la documentation en cas de fin de contrat.
Auditez votre exposition GPAI en 30 minutes
Notre pack documentaire regulia inclut une grille d'audit fournisseur GPAI alignée sur le Code de bonne pratique publié par l'AI Office le 10 juillet 2025, ainsi qu'un modèle de clause contractuelle à intégrer dans vos accords avec OpenAI, Anthropic, Mistral et autres fournisseurs.
Demander un audit GPAI personnalisé5. Les avantages de l'adhésion au Code (pour les fournisseurs) et leurs effets sur les PME
Si votre PME est elle-même fournisseur d'un modèle GPAI — situation rare mais possible pour les start-ups deep tech françaises — l'adhésion au Code présente des avantages directs.
| Avantage | Pour le fournisseur signataire | Pour la PME déployeur du modèle |
|---|---|---|
| Présomption de conformité Art. 53 & 55 | Oui, explicite (Art. 56, §4) | Indirect : moindre risque juridique sur la chaîne |
| Charge administrative allégée | Documentation pré-formattée | Mêmes formats sur tous les modèles signataires |
| Dialogue privilégié avec l'AI Office | Oui | Non |
| Réputation et confiance des clients | Forte | Moyenne (à valoriser commercialement) |
L'Article 56, paragraphe 4 du Règlement (UE) 2024/1689 prévoit explicitement que l'adhésion à un code de bonne pratique approuvé constitue un moyen de démontrer la conformité, sans que cela soit l'unique voie.
6. Les étapes opérationnelles pour la PME en 2026
Voici une feuille de route pragmatique pour une PME française de 10 à 250 salariés qui utilise un ou plusieurs modèles GPAI.
- Cartographier les usages GPAI : lister tous les services utilisant un modèle de fondation (ChatGPT, Claude, Gemini, Mistral, Copilot, etc.), y compris ceux activés via des SaaS tiers.
- Classer les systèmes : pour chaque usage, déterminer s'il relève d'un système à haut risque (annexe III) ou non. La classification conditionne le niveau d'obligation.
- Récupérer la documentation fournisseur : exiger la Model Documentation Form ou son équivalent.
- Mettre à jour les contrats : insérer une clause AI Act + GPAI dans tous les contrats SaaS renouvelés en 2026.
- Former le personnel : formation à la littératie IA conformément à l'Article 4 — déjà obligatoire depuis février 2025.
- Documenter la supervision humaine : procédures écrites pour chaque système à haut risque.
- Préparer le registre interne : un fichier unique des systèmes d'IA, accessible en cas de contrôle.
Pour les sanctions encourues si ces étapes sont omises, consultez notre article détaillé Sanctions et amendes AI Act pour les PME.
7. Les outils et ressources fournis par l'AI Office EU
L'AI Office a déployé plusieurs ressources publiques et gratuites depuis 2024. Les PME doivent les connaître avant d'investir dans des solutions payantes.
| Ressource | URL | Usage pour la PME |
|---|---|---|
| AI Act Service Desk | ai-act-service-desk.ec.europa.eu | Réponses aux questions juridiques officielles |
| Code of Practice for GPAI | digital-strategy.ec.europa.eu | Texte intégral du Code adopté le 10 juillet 2025 |
| AI Pact | digital-strategy.ec.europa.eu/policies/ai-pact | Engagement volontaire anticipé |
| Newsletter AI Office | inscription via DG CNECT | Veille réglementaire trimestrielle |
Côté français, la CNIL a publié [à vérifier] treize fiches pratiques IA accessibles sur cnil.fr/fr/les-fiches-pratiques-ia, qui complètent utilement les ressources européennes pour les questions RGPD-IA.
Notre glossaire AI Act consolide les définitions clés et nos sources officielles regroupent l'ensemble des références à jour.
8. Les sanctions en cas de non-conformité
Il faut distinguer trois régimes de sanctions dans le Règlement (UE) 2024/1689 — les confondre est une erreur fréquente.
| Régime | Article | Plafond | Cible |
|---|---|---|---|
| Pratiques interdites (Art. 5) | Art. 99, §3 | 35 M€ ou 7 % du CA mondial (le plus élevé) | Tout opérateur |
| Manquements généraux | Art. 99, §4 | 15 M€ ou 3 % du CA mondial | Tout opérateur |
| Information inexacte aux autorités | Art. 99, §5 | 7,5 M€ ou 1 % du CA mondial | Tout opérateur |
| Manquements des fournisseurs GPAI | Art. 101 | 15 M€ ou 3 % du CA mondial | Fournisseurs GPAI uniquement |
Pour les PME et les start-ups, l'Article 99, paragraphe 6 prévoit que les plafonds applicables sont le plus bas des deux montants — et non le plus élevé. C'est une atténuation importante destinée à ne pas tuer les jeunes entreprises.
Au-delà des amendes, les autorités nationales peuvent ordonner le retrait du marché ou la suspension d'un système non conforme (Art. 82).
9. Les bonnes pratiques complémentaires pour les PME
Au-delà du strict respect du Code GPAI, plusieurs bonnes pratiques renforcent la posture de conformité.
9.1 Alignement avec ISO/IEC 42001:2023
La norme ISO/IEC 42001:2023, publiée en décembre 2023, est le premier référentiel certifiable de système de management de l'IA. Sa structure annexe A couvre largement les exigences de l'AI Act. Une PME certifiée ISO/IEC 42001 dispose d'un avantage probatoire fort lors d'un contrôle.
9.2 Comité d'éthique IA interne
Pour les PME de plus de 50 salariés, la constitution d'un comité d'éthique IA — même léger — permet de documenter une gouvernance et de répondre rapidement aux signalements internes. Le Cigref recommande cette pratique dans son guide AI Act de janvier 2025.
9.3 Réévaluation annuelle
L'écosystème GPAI évolue très vite. Une revue annuelle du registre des systèmes d'IA et des contrats fournisseurs est indispensable. À chaque nouveau modèle déployé, refaire l'analyse de classification annexe III.
9.4 Articulation avec le RGPD
Tout traitement de données personnelles via un GPAI déclenche les obligations du Règlement (UE) 2016/679. La CNIL exige une analyse d'impact (AIPD) systématique pour les systèmes d'IA à haut risque traitant des données personnelles. L'AIPD et la fiche d'usage AI Act peuvent — et doivent — être consolidées dans un document unique.
10. Conclusion : préparer votre PME pour 2026
Le Code de bonne pratique GPAI publié le 10 juillet 2025 marque une étape opérationnelle majeure. Pour les PME françaises, les conséquences directes sont limitées : vous n'êtes pas signataires du Code. Mais les conséquences indirectes sont substantielles : vous devez exiger de vos fournisseurs qu'ils s'y conforment, mettre à jour vos contrats, et documenter votre propre chaîne d'usage.
L'échéance critique reste le 2 août 2026, date d'application générale du Règlement (UE) 2024/1689 aux systèmes à haut risque listés à l'annexe III. Une PME qui démarre la cartographie de ses systèmes IA en juin 2026 sera en difficulté ; commencer dès le premier trimestre 2026 est raisonnable.
Trois actions prioritaires pour les six prochains mois :
- Cartographier vos systèmes IA et les classer selon l'annexe III.
- Réviser vos contrats avec OpenAI, Anthropic, Microsoft Copilot, Mistral AI ou tout autre fournisseur GPAI.
- Former votre personnel à la littératie IA (Art. 4) — obligation déjà en vigueur.
Pack documentaire conformité AI Act 2026
Le pack regulia inclut 22 modèles de documents prêts à l'emploi : registre des systèmes IA, clauses contractuelles GPAI, procédure de supervision humaine, modèle d'AIPD-IA consolidée, et grille d'audit fournisseur alignée sur le Code AI Office du 10 juillet 2025.
Commander le pack AI Act PMEFAQ
Quelles sont les obligations des PME pour le Code de bonne pratique GPAI 2026 ?
Les PME ne sont pas signataires directes du Code de bonne pratique GPAI publié par l'AI Office le 10 juillet 2025. Le Code engage les fournisseurs de modèles. En tant que déployeurs au sens de l'Article 3, §4 du Règlement (UE) 2024/1689, les PME doivent toutefois exiger contractuellement de leurs fournisseurs la conformité aux Articles 53 et 55, récupérer la Model Documentation Form, et documenter leurs propres usages dans un registre interne.
Quels sont les avantages de l'adhésion au Code de bonne pratique GPAI ?
L'adhésion procure une présomption de conformité explicitement prévue à l'Article 56, §4 du Règlement (UE) 2024/1689. Pour un fournisseur signataire, cela réduit la charge probatoire en cas de contrôle de l'AI Office. Pour une PME qui choisit des fournisseurs signataires, cela sécurise sa chaîne d'approvisionnement et facilite ses propres audits. L'adhésion permet aussi d'accéder à un dialogue privilégié avec l'AI Office et améliore la confiance commerciale.
Quelles sont les sanctions en cas de non-conformité avec les obligations GPAI ?
Le Règlement (UE) 2024/1689 distingue deux régimes. Pour les fournisseurs GPAI, l'Article 101 fixe le plafond à 15 M€ ou 3 % du chiffre d'affaires mondial annuel, le plus élevé étant retenu. Pour les autres opérateurs, l'Article 99 prévoit jusqu'à 35 M€ ou 7 % pour les pratiques interdites, et 15 M€ ou 3 % pour les autres manquements. L'Article 99, §6 atténue ces plafonds pour les PME et start-ups en retenant le plus bas des deux montants.
Comment les PME peuvent-elles obtenir un code de bonne pratique GPAI ?
La question repose sur un malentendu fréquent : le Code GPAI n'est pas un agrément délivré à la PME. C'est un référentiel auquel les fournisseurs de modèles adhèrent. La PME ne « reçoit » pas de code. Elle doit en revanche : (1) vérifier que ses fournisseurs sont signataires, (2) documenter sa propre conformité aux Articles 26 et 50 pour ses usages, (3) tenir un registre de ses systèmes IA, (4) réaliser les AIPD requises par le RGPD.
Quels sont les outils et ressources fournis par l'AI Office EU pour aider les PME ?
L'AI Office met à disposition gratuitement le AI Act Service Desk (ai-act-service-desk.ec.europa.eu) pour les questions juridiques, le texte intégral du Code GPAI sur digital-strategy.ec.europa.eu, et l'AI Pact qui permet aux organisations de s'engager volontairement par anticipation. En complément, la CNIL propose des fiches pratiques IA spécifiquement adaptées au contexte français [à vérifier]. Aucun service payant n'est imposé par l'AI Office.
Sources officielles
- Texte consolidé de l'AI Act : artificialintelligenceact.eu
- Règlement (UE) 2024/1689 — version officielle : eur-lex.europa.eu
- AI Act Service Desk (Commission européenne) : ai-act-service-desk.ec.europa.eu
- CNIL — fiches pratiques IA : cnil.fr
- Norme ISO/IEC 42001:2023 — Systèmes de management de l'IA (référentiel certifiable)
- Norme ISO/IEC 23894:2023 — Gestion des risques liés à l'IA
- Guide AI Act du Cigref — janvier 2025
- Guide AI Act de Numeum — mars 2025
Pour aller plus loin
- AI Act et PME françaises : le guide complet
- Sanctions AI Act : amendes applicables aux PME
- Glossaire AI Act et IA générative
- Sources officielles et veille réglementaire
Avertissement. Cet article fournit des informations générales sur l'EU AI Act applicables aux PME françaises. Il ne constitue pas un conseil juridique. Pour toute décision opérationnelle, faites valider votre démarche par votre DPO ou conseil juridique. regulia décline toute responsabilité quant à l'usage qui peut être fait de ces informations.