EU AI Act GPAI : le compte a rebours avant le 2 aout 2026

2 août 2026 : les obligations GPAI de l'EU AI Act passent en mode exécution

Dans moins de sept semaines, le 2 août 2026, une nouvelle étape réglementaire majeure entrera en vigueur en Europe. Les dispositions de l'EU AI Act relatives aux modèles d'intelligence artificielle à usage général — désignés sous l'acronyme GPAI pour General Purpose AI — deviendront pleinement opposables. Les sanctions potentielles s'élèvent jusqu'à 3 % du chiffre d'affaires mondial annuel ou 15 millions d'euros, le montant le plus élevé des deux étant retenu. Cette échéance, inscrite dans le règlement européen sur l'IA adopté en 2024 et entré en vigueur en août de la même année, représente un basculement concret dans la gouvernance mondiale de l'intelligence artificielle : pour la première fois, des obligations légalement contraignantes s'appliquent aux fournisseurs des grands modèles de langage et modèles multimodaux qui constituent l'épine dorsale de l'économie IA mondiale.

Le cadre réglementaire applicable aux modèles GPAI repose sur deux piliers distincts. Le premier est le Code de Pratique pour les fournisseurs de modèles GPAI, dont la version finale a été publiée par l'AI Office européen en juillet 2025, après plusieurs mois de consultations intenses associant les acteurs industriels, des chercheurs et des représentants de la société civile. Ce Code couvre trois domaines : la transparence (documentation technique détaillée, résumés publics des données d'entraînement utilisées), le droit d'auteur (politiques pour identifier et respecter les droits des créateurs de contenu), et la sécurité pour les modèles à risque systémique dépassant le seuil de 10^25 FLOP d'entraînement défini par le règlement.

Le second pilier est le Code de Pratique sur le marquage et l'étiquetage des contenus générés par IA, découlant de l'Article 50 du règlement. Ce texte impose aux fournisseurs de systèmes d'IA générative de marquer les contenus produits dans un format lisible par machine (machine-readable watermarking), et aux déployeurs professionnels d'étiqueter explicitement les deepfakes et les textes générés par IA portant sur des sujets d'intérêt public. Concrètement, cela concerne les outils de création de vidéos synthétiques, les générateurs d'articles assistés par IA, et tout contenu visuel ou sonore manipulé numériquement présenté comme réel. La Commission européenne espère finaliser ce second Code en juin 2026, deux mois avant l'entrée en vigueur prévue.

Côté adoption, le Code de Pratique GPAI a été signé par un nombre significatif d'acteurs majeurs du secteur, selon les informations publiées par le cabinet juridique Latham & Watkins et confirmées par l'AI Office. Parmi les signataires figurent Anthropic (concepteur de la famille Claude), Google (Gemini), IBM (WatsonX), Microsoft (Azure OpenAI Service), Mistral (modèles open-weight européens), OpenAI (GPT-4o et successeurs), et Cohere. Ces signatures ne constituent pas une exemption réglementaire, mais elles démontrent un engagement formel à respecter les critères du Code comme voie privilégiée de démonstration de conformité.

Deux absences notables méritent une attention particulière. Meta, le groupe de Mark Zuckerberg, n'a pas signé le Code de Pratique GPAI. Cette décision reflète la posture de plus en plus confrontationnelle de Meta vis-à-vis de la réglementation européenne, notamment ses multiples conflits avec le Comité Européen de Protection des Données (CEPD) sur les questions de traitement des données personnelles. xAI, la société d'Elon Musk qui développe le modèle Grok, n'a signé que le chapitre traitant de la sécurité et des risques systémiques, refusant d'adhérer aux chapitres sur la transparence et le droit d'auteur, pourtant au cœur des préoccupations du législateur européen.

L'AI Office européen, créé spécifiquement pour superviser l'application de l'EU AI Act, dispose à partir du 2 août d'un mandat complet d'investigation et de sanction. Il peut ouvrir des enquêtes d'office sans attendre une plainte, demander l'accès aux modèles et à leur documentation technique, et exiger des évaluations de conformité indépendantes. Pour les modèles présentant un risque systémique — ceux dont la puissance de calcul d'entraînement dépasse le seuil de 10^25 FLOP — des obligations supplémentaires s'appliquent, notamment la réalisation d'évaluations adversariales (red-teaming) par des tiers indépendants et la notification obligatoire d'incidents de sécurité à l'AI Office dans des délais stricts.

Pour les entreprises qui ne sont pas elles-mêmes fournisseurs de modèles GPAI mais qui déploient des outils d'IA générative dans leurs processus métier, la date du 2 août 2026 marque également une échéance de conformité en tant que déployeurs. Ces organisations doivent notamment garantir la transparence vis-à-vis de leurs utilisateurs finaux lorsque ceux-ci interagissent avec des systèmes d'IA, respecter les obligations de marquage des contenus générés, et s'assurer que leur utilisation des API de modèles GPAI respecte les conditions fixées par les fournisseurs pour maintenir leur propre conformité réglementaire. Les départements juridiques et de conformité de nombreuses entreprises françaises travaillent en ce moment à des analyses de gap pour identifier les ajustements nécessaires avant l'échéance.

En France, l'ANSSI et la CNIL ont publié plusieurs guides pratiques d'accompagnement des organisations dans leur démarche de conformité à l'EU AI Act. L'ANSSI a notamment émis des recommandations sur la sécurisation des déploiements de modèles GPAI en contexte d'entreprise, abordant les risques spécifiques liés aux agents IA autonomes, aux architectures RAG (Retrieval Augmented Generation) et aux interfaces d'API exposées à des modèles de fondation. La CNIL a pour sa part publié ses positions sur l'articulation entre l'EU AI Act et le RGPD, rappelant que les deux textes sont cumulativement applicables et que la conformité à l'un ne vaut pas exemption de l'autre.

Une bascule réglementaire qui redéfinit la gouvernance de l'IA à l'échelle mondiale

L'EU AI Act constitue le premier cadre légalement contraignant et systémique au monde pour réguler l'intelligence artificielle. Si d'autres réglementations existent — les ordres exécutifs américains successifs sur l'IA, le cadre chinois sur les algorithmes de recommandation et les modèles génératifs, les voluntary guidelines britanniques — aucune n'atteint l'ambition de couverture du texte européen, qui régule toute la chaîne de valeur de l'IA, de la conception des modèles de fondation jusqu'à leur déploiement dans des applications sectorielles spécifiques. L'entrée en vigueur des obligations GPAI en août 2026 est particulièrement symbolique car elle cible précisément les modèles qui constituent l'infrastructure invisible de l'économie numérique contemporaine.

La question de l'extraterritorialité est centrale pour les acteurs non-européens. À l'instar du RGPD depuis 2018, l'EU AI Act s'applique dès lors qu'un système d'IA produit ses effets sur le territoire de l'Union européenne, indépendamment de la localisation géographique du fournisseur. Les grandes entreprises technologiques américaines — qui ont toutes des utilisateurs européens en nombre significatif — sont donc toutes dans le scope du règlement. Meta et xAI, en n'adhérant pas pleinement au Code de Pratique GPAI, prennent un risque calculé : celui de devoir démontrer leur conformité par d'autres voies plus longues, ou de faire face aux premières actions d'enforcement de l'AI Office.

Pour les professionnels de la cybersécurité, cette réglementation a des implications opérationnelles directes. De nombreux outils de détection des menaces, d'analyse comportementale et de réponse aux incidents utilisent désormais des modèles d'IA générative ou des LLM pour automatiser l'analyse des alertes et la génération de rapports. Ces déploiements entrent dans le périmètre de l'EU AI Act, soit comme systèmes d'IA à haut risque selon l'Annexe III du règlement, soit comme déploiements de modèles GPAI soumis aux règles de transparence. Les RSSI doivent intégrer cette dimension réglementaire dans leur stratégie d'adoption de l'IA, en documentant les systèmes utilisés, les finalités de traitement et les évaluations des risques associées.

Enfin, la dynamique de marché créée par l'EU AI Act mérite d'être observée avec attention. Les entreprises européennes disposent d'un avantage comparatif naissant : en ayant anticipé les exigences réglementaires, elles construisent des produits et des pratiques qui correspondent aux standards émergents. Pour les startups IA européennes comme Mistral, qui a signé le Code de Pratique dès les premières heures, la conformité n'est pas un coût mais un argument commercial différenciant sur les marchés où la confiance dans la provenance et la transparence des modèles est un critère de sélection croissant. L'EU AI Act pourrait ainsi agir, comme le RGPD avant lui, comme un accélérateur inattendu de compétitivité pour les acteurs européens qui s'y conforment proactivement.

Ce qu'il faut retenir

• Le 2 août 2026 marque l'entrée en vigueur des obligations GPAI de l'EU AI Act, avec des sanctions jusqu'à 3 % du chiffre d'affaires mondial pour les non-conformes.
• Les principaux fournisseurs de modèles (Anthropic, Google, Microsoft, OpenAI, Mistral) ont signé le Code de Pratique, mais Meta n'a pas signé et xAI seulement partiellement.
• Toute organisation déployant de l'IA générative dans ses processus doit évaluer sa conformité en tant que déployeur et documenter ses usages avant le 2 août.