📍82 Boulevard Haussmann, 75008 Paris

Demandez votre démo

Article 75 : Supervision des modèles d'IA à usage général

Table des matières

Explication de l’article

L’article 75 répond à un défi fondamental de l’IA Act : comment surveiller des modèles conçus sans destination d’usage spécifique, mais dont les applications concrètes peuvent relever de régimes de risque très différents ?

L’article organise une double strate de supervision :

Le Bureau de l’IA institué par l’article 64 exerce une supervision centralisée au niveau européen sur les fournisseurs de modèles GPAI. Cette centralisation est logique : les grands modèles tel que les LLMs sont développés par un nombre limité d’acteurs à portée mondiale, et leur surveillance ne peut être efficacement assurée État membre par État membre.

La coopération verticale : lorsqu’un modèle GPAI est intégré dans un système d’IA à haut risque déployé sur le marché, le Bureau de l’IA coopère avec les MSA nationales compétentes pour vérifier que la chaîne de conformité est respectée ; du fournisseur du modèle de base jusqu’au déployeur final.

L’articulation fournisseur de modèle / fournisseur de système : l’article 75 matérialise la distinction introduite aux articles 25 et 53 entre le fournisseur du modèle GPAI (qui fournit la brique de base) et le fournisseur du système d’IA à haut risque (qui intègre cette brique dans une application spécifique). Chacun porte des responsabilités distinctes, et la supervision doit couvrir les deux niveaux.

Notions clés à comprendre

Modèle d’IA à usage général (GPAI) défini à l’article 3(63) : modèle entraîné sur de grandes quantités de données, capable d’accomplir une large gamme de tâches distinctes, et pouvant être intégré dans de nombreux systèmes ou applications en aval. Exemples paradigmatiques : GPT-4, Gemini, Claude, Llama, Mistral.Modèle GPAI à risque systémique, article 51 : sous-catégorie des modèles GPAI dont la puissance de calcul d’entraînement dépasse 10²⁵ FLOPs. Ces modèles sont soumis à des obligations renforcées (évaluation adversariale, notification d’incidents, mesures de cybersécurité) et font l’objet d’une supervision prioritaire par le Bureau de l’IA.

Bureau de l’IA  : organe européen créé au sein de la Commission, opérationnel depuis début 2024. Il est à la fois régulateur, superviseur et coordinateur pour les modèles GPAI. Sa compétence est exclusive pour les modèles GPAI à risque systémique, les États membres ne peuvent pas intervenir en parallèle sur ce segment.

Chaîne de valeur GPAI : notion centrale pour comprendre l’article 75. Un même modèle de fondation peut être utilisé par des centaines de fournisseurs en aval pour construire des systèmes très différents. La supervision doit donc tracer la provenance des capacités et identifier les risques qui remontent du modèle vers les applications.

Coopération verticale vs horizontale :

Verticale : Bureau de l’IA et MSA nationales (art. 75)

Horizontale : MSA entre États membres (art. 74) Ces deux axes forment la trame institutionnelle de surveillance de l’IA Act.

Évaluation de conformité en cascade : lorsque le Bureau de l’IA détecte une non-conformité au niveau du modèle GPAI, cette non-conformité peut se propager à tous les systèmes dérivés. L’article 75 permet de déclencher une alerte en cascade vers les MSA nationales concernées.

Exemple pratique

Contexte : Une entreprise américaine fournit un grand modèle de langage (LLM) via API, qualifié de modèle GPAI à risque systémique en raison de sa puissance de calcul. Une startup française intègre ce LLM dans un système d’aide à la décision médicale (triage aux urgences), classé à haut risque au titre de l’Annexe III.Déroulé de la supervision :

Niveau 1 — Supervision du modèle GPAI par le Bureau de l’IA

Le Bureau de l’IA vérifie que le fournisseur américain respecte ses obligations au titre des articles 53 et 55 :

Documentation technique du modèle (art. 53.1.a)

Politique d’utilisation acceptable

Coopération avec les évaluations adversariales (red-teaming)

Notification au Bureau de l’IA des incidents et des modifications substantielles du modèle

Le Bureau constate que le modèle présente des hallucinations documentées dans des contextes médicaux lors des évaluations internes du fournisseur ; information non communiquée aux intégrateurs en aval.

Niveau 2 — Coopération avec la MSA française

Le Bureau de l’IA transmet l’information à la MSA française (vraisemblablement la HAS en coordination avec la CNIL). La MSA ouvre une investigation sur la startup française :

Le système d’aide au triage a-t-il fait l’objet d’une évaluation de conformité intégrant les limites connues du modèle sous-jacent ?

La documentation technique du système dérivé mentionne-t-elle les risques d’hallucination ?

Les mesures de surveillance humaine (human oversight — art. 14) sont-elles suffisantes pour compenser ces limitations ?

Niveau 3 — Décision coordonnée

Le Bureau de l’IA impose au fournisseur du modèle de mettre à jour sa documentation et d’alerter tous ses intégrateurs en aval. La MSA française suspend temporairement le déploiement du système de triage dans l’attente d’une réévaluation de conformité intégrant les nouvelles informations sur le modèle de base.

Votre modèle d'IA à usage général est-il conforme ?
L'article 75 instaure une coordination directe entre les autorités nationales et le bureau de l'IA. Mieux vaut cartographier vos risques avant qu'une autorité ne le fasse à votre place.
Cartographions votre de conformité

L’IA ACT peut sembler complexe. L’équipe de DPO externe de Mon Expert RGPD vous accompagne pour mettre en conformité votre IA à usage général.

Texte original de l’IA Act

Article 75 : Assistance mutuelle, surveillance du marché et contrôle des systèmes d’IA à usage général

  1. Lorsqu’un système d’IA est fondé sur un modèle d’IA à usage général et que le modèle et le système sont développés par le même fournisseur, l’office AI est habilité à contrôler et à superviser le respect, par ce système d’IA, des obligations prévues par le présent règlement. Pour mener à bien ses tâches de contrôle et de surveillance, l’office AI dispose de tous les pouvoirs d’une autorité de surveillance du marché prévus dans la présente section et dans le règlement (UE) 2019/1020.
  2. Lorsque les autorités de surveillance du marché concernées ont des raisons suffisantes de considérer que les systèmes d’IA à usage général qui peuvent être utilisés directement par les déployeurs pour au moins une finalité classée à haut risque en vertu du présent règlement ne sont pas conformes aux exigences énoncées dans le présent règlement, elles coopèrent avec l’office de l’IA pour effectuer des évaluations de conformité et en informent la commission et les autres autorités de surveillance du marché.
  3. Lorsqu’une autorité de surveillance du marché n’est pas en mesure de conclure son enquête sur le système d’IA à haut risque parce qu’elle n’a pas accès à certaines informations relatives au modèle d’IA à usage général, bien qu’elle ait déployé tous les efforts appropriés pour obtenir ces informations, elle peut présenter une requête motivée à l’office AI, par laquelle l’accès à ces informations est mis en œuvre. Dans ce cas, l’office AI fournit à l’autorité requérante sans délai, et en tout état de cause dans les 30 jours, toute information que l’office AI considère comme pertinente pour établir si un système d’IA à haut risque est non conforme. Les autorités de surveillance du marché préservent la confidentialité des informations qu’elles obtiennent conformément à l’article 78 du présent règlement. La procédure prévue au chapitre VI du règlement (UE) 2019/1020 s’applique mutatis mutandis.

Perspectives avec d’autres textes

Perspectives Européennes

IA Act – Art. 25
Définit la répartition des responsabilités entre fournisseur de modèle GPAI et fournisseur de système dérivé. L’article 75 est le bras armé de cette répartition, il permet au Bureau de l’IA de vérifier que chaque maillon de la chaîne a rempli ses obligations propres.

IA Act – Art. 51-55
Régime spécifique des modèles GPAI à risque systémique. L’article 75 est l’instrument de supervision de ces obligations. Sans art. 75, les art. 51-55 seraient des coquilles vides faute d’autorité pour les faire respecter.

RGPD – Mécanisme de cohérence (Art. 63-67)
Analogie structurelle forte : comme le RGPD a créé le mécanisme de cohérence entre CNIL et CEPD pour les traitements transfrontaliers, l’IA Act crée un mécanisme Bureau de l’IA / MSA pour les modèles GPAI déployés dans plusieurs États. Les leçons du RGPD sur les délais et les blocages dans la coopération devraient inspirer la mise en œuvre de l’art. 75.

Digital Service Act – Art. 33 et suivants
Les très grandes plateformes en ligne utilisant des modèles GPAI pour la recommandation ou la modération relèvent simultanément de la supervision DSA (Commission) et de l’art. 75 IA Act (Bureau de l’IA). Risque de double supervision européenne, nécessité de protocoles de coordination Commission/Commission.

Perspectives Internationales

Droit de la concurrence – Art. 102 TFUE
La concentration du marché des modèles GPAI chez quelques acteurs (Google, OpenAI, Meta, Anthropic, Mistral) crée un risque de dépendance systémique que l’art. 75 ne traite qu’indirectement. La DG COMP pourrait intervenir en parallèle si un fournisseur de modèle GPAI dominant refuse de coopérer avec le Bureau de l’IA.

Droit international privé
La plupart des fournisseurs de grands modèles GPAI sont établis hors UE. L’article 75 s’applique par effet extraterritorial dès que le modèle est utilisé dans l’UE. La question de l’effectivité de la supervision sur des entités américaines ou chinoises reste un point de tension majeur.

AI Liability Directive
En cas de dommage causé par un système dérivé d’un modèle GPAI, la responsabilité peut remonter jusqu’au fournisseur du modèle si le Bureau de l’IA a documenté une non-conformité au niveau du modèle. Les rapports de supervision art. 75 deviennent des éléments de preuve déterminants.

← Article précédent - Article 74 : Surveillance du marché
Article suivant – Article 76 : Essais en conditions réelles

Menu IA Act

Newsletter S'inscrire

Recevez nos derniers articles et actualités directement dans votre boîte de réception !

Votre e-mail est en sécurité 🔒. En entrant votre e-mail, vous acceptez de recevoir nos newsletter et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.