Code de pratique GPAI : où en est l'application en 2026 ?

Q: Quelle plateforme utiliser pour soumettre la documentation réglementaire à l'UE ?

La plateforme officielle est **EU SEND**, opérée par la Commission européenne. Elle garantit confidentialité, intégrité et authenticité des soumissions. Tous les documents réglementaires GPAI (notifications de modèles, rapports d'incidents, Safety and Security Frameworks, Model Reports) doivent transiter par EU SEND, à l'exclusion de tout autre canal.

Q: À quelle fréquence le code de pratique sera-t-il mis à jour par la Commission ?

L'AI Office s'est engagé à réviser le Code **au moins tous les deux ans**, avec possibilité de révisions intermédiaires en cas d'évolution technologique majeure ou de modification du paysage des risques. La Signatory Taskforce, présidée par l'AI Office, sert d'instance de remontée des difficultés et alimente le processus de révision.

Le code de pratique GPAI, pierre angulaire du déploiement de l'AI Act

Avant d'entrer dans les détails, posons le décor. Le Règlement (UE) 2024/1689 — l'AI Act — distingue clairement deux régimes : celui des systèmes d'IA (classés par risque, dont les systèmes à haut risque listés à l'annexe III) et celui des modèles d'IA à usage général, ces socles techniques (Mistral Large, GPT-5, Claude, Llama 4) qui servent de base à des milliers d'applications en aval. Cette distinction est cruciale : un cabinet d'avocats qui déploie un assistant juridique RAG basé sur Mistral n'est pas fournisseur GPAI, mais utilisateur en aval (downstream provider). Ses obligations diffèrent radicalement.

Le Code de pratique n'est pas une loi supplémentaire. C'est un outil de mise en conformité volontaire rédigé par treize experts indépendants désignés par l'AI Office, sur la base de quatre groupes de travail thématiques, avec la participation de plus de 1 400 parties prenantes et 1 600 contributions écrites. La Commission, par voie d'avis publié sur son site officiel, a confirmé que le Code constitue un « outil volontaire adéquat » pour démontrer la conformité aux obligations de l'AI Act.

La logique sous-jacente est claire : transformer un texte réglementaire dense (articles 53 et 55 de l'AI Act) en standards industriels prévisibles. J'ai accompagné plusieurs fournisseurs européens dans cette transition. La signature du Code n'est pas un blanc-seing, mais un raccourci opérationnel qui évite à chacun de réinventer sa documentation. Pour les acteurs de l'écosystème français — éditeurs SaaS, intégrateurs, prestataires souverains — la question n'est plus « faut-il prendre le Code au sérieux ? » mais « quel chapitre nous concerne et à quelle échéance ? ».

Qu'est-ce que le code de pratique GPAI et quel est son rôle juridique ?

Le Code de pratique GPAI est juridiquement un instrument sui generis : non contraignant en lui-même, mais reconnu comme présomption de conformité aux obligations contraignantes de l'AI Act. Cette mécanique est analogue à celle des normes harmonisées dans la directive Machines : ne pas signer n'est pas illégal, mais oblige à démontrer autrement sa conformité, ce qui pèse lourd en audit.

Une articulation précise avec les articles 53 et 55

L'article 53 de l'AI Act impose à tous les fournisseurs de modèles GPAI quatre grandes obligations : documentation technique du modèle, information aux fournisseurs en aval, politique de respect du droit d'auteur européen, et publication d'un résumé suffisamment détaillé des données d'entraînement. L'article 55 ajoute des obligations spécifiques aux fournisseurs de modèles présentant un risque systémique : évaluation du modèle, gestion des risques, notification des incidents graves, niveau adéquat de cybersécurité.

Le Code décline ces obligations en trois chapitres opérationnels :

Transparence — couvre l'article 53 §1 a) et b). Fournit un Model Documentation Form (formulaire de documentation modèle) standardisé en DOCX.
Droit d'auteur — couvre l'article 53 §1 c). Propose des solutions pratiques pour respecter la directive 2019/790 sur le droit d'auteur dans le marché numérique unique.
Sécurité et Sûreté — couvre l'article 55. Détaille les pratiques de pointe pour la gestion des risques systémiques.

Caractère volontaire mais effet de présomption

Comme le rappelle la FAQ officielle de la Commission, le Code n'impose aucune obligation supplémentaire au-delà de l'AI Act. Il offre simplement un chemin balisé. La distinction est essentielle : un fournisseur signataire bénéficie d'un streamlined compliance process — la Commission concentre alors son contrôle sur le respect des engagements du Code, plutôt que sur une enquête de conformité ouverte aux contours flous.

Pour comprendre l'écosystème réglementaire complet et les autres obligations qui s'imposent à votre activité, je vous renvoie à notre hub AI Act IAPRO qui détaille les annexes, calendriers et obligations sectorielles.

Les piliers de la conformité : transparence et droit d'auteur pour tous

Les deux premiers chapitres concernent 100 % des fournisseurs GPAI, qu'ils soient grands modèles fermés ou modèles open-weight communautaires. Aleph Alpha, Mistral AI, LINAGORA, IBM, Bria AI : tous les signataires confirmés à ce jour ont adhéré à ces deux chapitres au minimum.

Le chapitre Transparence : documenter pour exister

L'obligation centrale est la production d'une documentation technique du modèle suffisante pour que les autorités et les fournisseurs en aval puissent comprendre ses capacités, limites et risques. Le Code fournit le Model Documentation Form, un formulaire standardisé qui couvre :

Architecture du modèle, modalités, taille en paramètres, ressources de calcul utilisées (en FLOPs)
Données d'entraînement : sources, méthodologies de collecte, méthodes de nettoyage
Méthodes d'évaluation, benchmarks et limites identifiées
Politiques d'utilisation acceptable et restrictions
Empreinte énergétique et environnementale

Pour mes clients qui construisent des stacks RAG souveraines sur Mistral ou Qwen avec Ollama et OpenWebUI, ce point est rassurant : la documentation est en grande partie déjà publiée par les éditeurs, ce qui facilite leur propre conformité en aval. La fiche de Mistral Large ou de Qwen 3 est désormais lisible sans difficulté.

Le chapitre Droit d'auteur : la politique obligatoire

L'article 53 §1 c) de l'AI Act impose à chaque fournisseur GPAI de mettre en place une politique de respect du droit d'auteur de l'Union. Le Code détaille quatre obligations pratiques : identifier les contenus protégés dans les jeux d'entraînement, respecter les opt-out (reservations of rights) exprimés via la directive 2019/790, mettre en place un mécanisme de plainte pour les ayants droit, et publier une documentation transparente sur ces processus.

Selon les données 2024-2026 publiées par l'AI Office, plus de 430 contributions de parties prenantes — dont sociétés de gestion collective et ayants droit — ont nourri le modèle de résumé des données d'entraînement (training data summary template) adopté par la Commission en juillet 2025. Ce template est désormais le standard de fait pour publier la fameuse synthèse exigée par l'AI Act.

Gestion des risques systémiques : le chapitre dédié aux modèles avancés

Le troisième chapitre (Sécurité et Sûreté) est plus restrictif. Il ne s'applique qu'aux modèles présentant un risque systémique, défini à l'article 51 de l'AI Act.

Le critère technique du seuil de calcul

L'AI Act présume qu'un modèle présente un risque systémique lorsqu'il a été entraîné avec un calcul cumulé supérieur à 10^25 opérations flottantes (FLOPs). Ce seuil concerne aujourd'hui une poignée d'acteurs mondiaux : OpenAI, Anthropic, Google, Meta, Mistral AI sur ses modèles les plus avancés, xAI. Il sera très probablement abaissé dans les années à venir, l'AI Office disposant du pouvoir de réviser ce seuil au regard de l'état de l'art.

Les obligations spécifiques

Pour ces modèles, le chapitre Sécurité impose notamment :

Production d'un Safety and Security Framework (cadre de sécurité documenté), soumis à l'AI Office
Production d'un Model Report pour chaque modèle à risque systémique mis sur le marché
Évaluations adversariales (red teaming) sur des risques spécifiés : CBRN, cyber, capacités de manipulation à grande échelle, perte de contrôle
Notification des incidents graves dans des délais courts
Niveau adéquat de cybersécurité pour protéger les poids du modèle (exfiltration)

xAI est un cas intéressant : selon la liste publiée par la Commission, l'entreprise a signé uniquement le chapitre Sécurité, sans Transparence ni Droit d'auteur. Elle devra donc démontrer la conformité aux articles 53 par d'autres moyens, ce qui augmente sa charge de preuve en cas d'enquête.

Calendrier réglementaire : le compte à rebours vers août 2026

Voici le calendrier consolidé tel que confirmé par la page officielle des lignes directrices GPAI de la Commission.

Date	Étape	Portée
2 août 2025	Entrée en application des obligations GPAI (art. 53 & 55)	Tous nouveaux modèles
2 août 2025 → 2 août 2026	Période de bonne foi pour signataires	Collaboration informelle avec l'AI Office
2 août 2026	Pouvoirs de sanction de la Commission	Amendes possibles, jusqu'à 3 % CA mondial ou 15 M€
2 août 2027	Mise en conformité des modèles antérieurs	Modèles placés avant le 2 août 2025

La période de « bonne foi »

Pendant la première année (août 2025 → août 2026), l'AI Office a publiquement annoncé qu'elle adopterait une approche de collaboration informelle avec les signataires du Code. Concrètement, comme l'explique la FAQ officielle, « si ces fournisseurs ne mettent pas immédiatement en œuvre tous les engagements après avoir signé le Code, l'AI Office ne considérera pas qu'ils ont rompu leurs engagements ». Cette tolérance ne s'applique pas aux non-signataires.

Le tournant du 2 août 2026

À partir du 2 août 2026 — soit dans moins de deux mois au moment où j'écris ces lignes — la Commission disposera de pleins pouvoirs d'enquête, de demande d'information, et de sanction financière. Pour les modèles existants placés avant le 2 août 2025, le délai est étendu au 2 août 2027, ce qui donne un peu d'air aux acteurs historiques.

Pour mes clients en France, le sujet rejoint celui des aides à l'investissement IA : la mise en conformité a un coût (audit, documentation, gouvernance) qui est éligible dans certains dispositifs Bpifrance ou France 2030 lorsqu'elle accompagne un projet de déploiement.

Mécanismes opérationnels : plateforme EU SEND et templates de données

Au-delà du texte, la Commission a outillé concrètement la conformité. Deux outils méritent une attention particulière.

La plateforme EU SEND

EU SEND est la plateforme officielle pour toutes les communications réglementaires des fournisseurs GPAI vers l'AI Office. Elle garantit confidentialité, intégrité et authenticité des soumissions, point critique car les Safety and Security Frameworks comportent souvent des informations très sensibles (paramètres internes, vecteurs d'attaque identifiés). Les types de documents soumis via EU SEND incluent :

Notifications d'un modèle GPAI à risque systémique (art. 51 §2 et 52 §2 AI Act)
Demandes de réévaluation (art. 52 §5)
Rapports d'incidents graves (art. 55 §1 c)
Safety and Security Framework et Model Report
Rapports de conformité des non-signataires du Code

Le template de résumé des données d'entraînement

Adopté en juillet 2025, ce template impose un format harmonisé pour publier la synthèse exigée par l'article 53 §1 d). Il distingue trois catégories de sources (données publiquement disponibles, données licenciées, données générées) et impose une granularité suffisante pour permettre aux ayants droit d'identifier l'utilisation de leurs œuvres. C'est probablement la pièce la plus regardée par les éditeurs de presse et les sociétés de gestion collective européennes.

Pour comprendre comment ces obligations interagissent avec votre projet, je recommande la lecture de notre glossaire IA qui clarifie les notions GPAI, fine-tuning, RAG, quantization et leurs implications juridiques.

Avantages stratégiques pour les fournisseurs : réduire la charge administrative

Signer le Code n'est pas un acte purement symbolique. C'est un calcul ROI assez direct.

Trois bénéfices opérationnels mesurables

Sécurité juridique accrue. Un signataire bénéficie d'une présomption de conformité reconnue par la Commission et le Comité IA. L'AI Office concentre son contrôle sur le respect des engagements du Code, ce qui rend les périmètres d'enquête prévisibles.
Charge administrative réduite. Plutôt que de produire une documentation ad hoc dont l'adéquation peut être contestée, le signataire utilise les templates officiels (Model Documentation Form, training data summary), ce qui simplifie audits et inspections.
Effet de confiance sur l'écosystème en aval. Les fournisseurs en aval — typiquement vos clients PME ou ETI qui déploient des assistants IA métier — préfèrent intégrer un modèle dont le fournisseur a signé le Code, car cela réduit leur propre risque juridique. C'est devenu un critère de référencement chez plusieurs DSI français que j'ai pu interroger.

Le coût de ne pas signer

À l'inverse, un fournisseur GPAI européen qui ne signe pas devra produire et soumettre à l'AI Office, via EU SEND, un rapport détaillé expliquant comment il entend se conformer aux obligations de l'AI Act. Ce rapport est en pratique plus long et plus risqué qu'une signature du Code, car son adéquation sera évaluée au cas par cas. Pour une start-up IA française qui voudrait lever des fonds, le risque réglementaire flottant peut peser sur la valorisation.

Notre calculateur de ROI IA intègre désormais le coût de mise en conformité GPAI pour les projets concernés (typiquement les acteurs qui entraînent ou affinent significativement un modèle).

Gouvernance et adaptabilité : un cadre conçu pour être future-proof

L'un des reproches initialement adressés au Code était sa potentielle obsolescence rapide face à l'évolution des modèles. La Commission a anticipé.

Le Signatory Taskforce

Une Signatory Taskforce, présidée par l'AI Office, a été établie pour assurer une application cohérente du Code. Elle réunit les signataires, dispose de règles de procédure consignées dans un Vademecum officiel, et fait remonter les difficultés d'application rencontrées par les fournisseurs. C'est l'instance opérationnelle de pilotage.

Révision périodique

L'AI Office s'est engagé à réviser le Code au moins tous les deux ans. Cette révision peut porter sur les seuils techniques (le 10^25 FLOPs sera presque mécaniquement révisé), sur les pratiques de sécurité au regard de l'état de l'art, ou sur les modalités opérationnelles. Pour les entreprises, cela signifie qu'un audit GPAI ne peut pas être un one-shot : il doit s'intégrer dans une démarche de veille réglementaire continue.

C'est exactement la philosophie défendue par notre partenaire Regulia.fr, spécialisé dans l'audit AI Act et la veille réglementaire automatisée pour les fournisseurs européens.

Convergence IA et RGPD : la double conformité des données

Aucune analyse sérieuse du Code GPAI ne peut faire l'impasse sur le RGPD. Les deux régimes coexistent et s'appliquent simultanément.

Les recommandations CNIL de 2025

La CNIL a publié en février 2025 des recommandations spécifiques sur l'entraînement des systèmes d'IA, qui complètent utilement le Code GPAI. Trois principes structurants :

Finalité : la base légale (intérêt légitime, consentement, mission d'intérêt public) doit être documentée pour chaque source de données personnelles utilisée à l'entraînement.
Information des personnes : les personnes dont les données ont été utilisées doivent pouvoir être informées, fût-ce de manière agrégée, et exercer leurs droits.
Anonymisation et pseudonymisation : la CNIL valide des techniques de réduction du risque de réidentification, en particulier pour les données massives non structurées.

L'articulation pratique

En pratique, pour un fournisseur GPAI français ou européen, la double conformité se traduit par : un training data summary conforme au template AI Office d'un côté, et une analyse d'impact relative à la protection des données (AIPD) conforme à l'article 35 RGPD de l'autre. Les deux documents partagent des éléments communs (sources, finalités, durées de conservation) mais ne se confondent pas. Pour un utilisateur en aval qui déploie un assistant IA sur des données métier (clients d'un cabinet d'avocats, patients d'un cabinet médical), c'est l'AIPD qui domine, articulée avec l'analyse de risque AI Act selon l'annexe III.

Je détaille cette articulation dans notre série dédiée aux métiers réglementés (avocats, médecins, experts-comptables, RH).

Checklist de préparation : s'assurer de la conformité avant le tournant de 2026

Voici la séquence opérationnelle que je préconise à mes clients pour les neuf prochaines semaines.

Qualifier votre statut. Êtes-vous fournisseur GPAI, fournisseur en aval, déployeur, importateur ? Les lignes directrices de la Commission de juillet 2025 précisent les critères techniques. La majorité des PME françaises sont déployeurs, pas fournisseurs GPAI.
Si fournisseur GPAI : évaluer le calcul cumulé de votre modèle (en FLOPs). Au-dessus de 10^25 FLOPs, vous êtes en zone à risque systémique et devez notifier l'AI Office via EU SEND.
Auditer votre documentation existante. Le Model Documentation Form du chapitre Transparence est un standard utile même si vous n'êtes pas fournisseur GPAI : il vous aidera à exiger la même rigueur de vos fournisseurs en amont.
Décider de la signature. Si vous êtes fournisseur GPAI européen, la signature du Code est dans la majorité des cas le choix rationnel. Préparez le formulaire et envoyez-le à EU-AIOFFICE-CODE-SIGNATURES@ec.europa.eu.
Soumettre vos documents via EU SEND. La plateforme est désormais l'unique point d'entrée pour les communications réglementaires GPAI vers la Commission.
Mettre en place une veille. Le Code sera révisé. Les lignes directrices seront enrichies. Votre dispositif de conformité doit prévoir une revue annuelle minimum.

FAQ — Code de pratique GPAI

Qu'est-ce que le code de pratique GPAI ?

Le Code de pratique GPAI est un outil volontaire publié par la Commission européenne le 10 juillet 2025, rédigé par treize experts indépendants avec 1 400 parties prenantes, qui aide les fournisseurs de modèles d'IA à usage général à démontrer leur conformité aux obligations de l'AI Act (Règlement UE 2024/1689), notamment ses articles 53 et 55.

Est-ce que le code de pratique est obligatoire pour toutes les entreprises d'IA ?

Non. Le Code est strictement volontaire. Il ne concerne par ailleurs que les fournisseurs de modèles GPAI eux-mêmes (Mistral, OpenAI, Meta, Google, etc.), pas les déployeurs ni les utilisateurs en aval. Une PME qui intègre Mistral via un RAG n'a pas vocation à signer le Code : ses obligations relèvent du régime déployeur de l'AI Act.

Quelle est la différence entre les obligations générales et celles liées aux risques systémiques ?

Les obligations générales (article 53 AI Act) concernent tous les fournisseurs GPAI : transparence, documentation, droit d'auteur, résumé des données d'entraînement. Les obligations risques systémiques (article 55) s'appliquent uniquement aux modèles dépassant 10^25 FLOPs de calcul cumulé : évaluations adversariales, frameworks de sécurité, notification d'incidents graves, cybersécurité renforcée.

À quelle date précise les sanctions pour non-conformité au AI Act s'appliqueront-elles ?

Le 2 août 2026 pour les modèles GPAI mis sur le marché après le 2 août 2025, avec amendes pouvant atteindre 3 % du chiffre d'affaires mondial ou 15 millions d'euros. Pour les modèles antérieurs au 2 août 2025, la date de conformité obligatoire est repoussée au 2 août 2027.

Quels sont les avantages concrets de signer le code de pratique plutôt que de se conformer seul ?

Trois avantages mesurables : sécurité juridique renforcée par la présomption de conformité, charge administrative réduite grâce aux templates officiels (Model Documentation Form, training data summary), et effet de confiance auprès des utilisateurs en aval qui préfèrent intégrer des modèles signataires pour réduire leur propre risque réglementaire.

Comment savoir si un modèle d'IA est considéré comme ayant un risque systémique ?

L'AI Act fixe une présomption technique : un modèle est présumé à risque systémique s'il a été entraîné avec plus de 10^25 opérations en virgule flottante (FLOPs) cumulées. Ce seuil concerne aujourd'hui une dizaine de modèles mondiaux. Il sera révisé par l'AI Office au regard de l'état de l'art technique.

Quelle plateforme utiliser pour soumettre la documentation réglementaire à l'UE ?

La plateforme officielle est EU SEND, opérée par la Commission européenne. Elle garantit confidentialité, intégrité et authenticité des soumissions. Tous les documents réglementaires GPAI (notifications de modèles, rapports d'incidents, Safety and Security Frameworks, Model Reports) doivent transiter par EU SEND, à l'exclusion de tout autre canal.

Le code de pratique impose-t-il des obligations supplémentaires par rapport au texte initial du AI Act ?

Non. La FAQ officielle de la Commission est explicite : le Code n'impose aucune obligation au-delà de l'AI Act. Il sert uniquement de guidance pour aider les fournisseurs à respecter leurs obligations existantes sans en créer de nouvelles ni étendre les périmètres. C'est un outil d'application, pas une norme additionnelle.

Comment le code de pratique gère-t-il les questions de droit d'auteur sur les données d'entraînement ?

Le chapitre Droit d'auteur propose quatre engagements pratiques : identification des contenus protégés dans les corpus, respect des opt-out exprimés via la directive 2019/790 sur le droit d'auteur dans le marché numérique, mise en place d'un mécanisme de plainte pour les ayants droit, et publication d'une documentation transparente sur ces processus de respect des droits.

À quelle fréquence le code de pratique sera-t-il mis à jour par la Commission ?

L'AI Office s'est engagé à réviser le Code au moins tous les deux ans, avec possibilité de révisions intermédiaires en cas d'évolution technologique majeure ou de modification du paysage des risques. La Signatory Taskforce, présidée par l'AI Office, sert d'instance de remontée des difficultés et alimente le processus de révision.

Pour aller plus loin avec IAPRO

Si vous êtes éditeur SaaS, intégrateur ou fournisseur GPAI européen, notre offre Audit AI Act + Code de pratique GPAI vous accompagne sur les 90 prochains jours : qualification de votre statut, préparation du dossier de signature, mise en place du Model Documentation Form et soumission EU SEND. Si vous êtes une PME ou un cabinet déployant l'IA sur des données métier, c'est plutôt notre offre Installation IA souveraine on-premise qui vous concerne. Pour échanger sur votre cas, contactez-moi directement — j'audite votre périmètre en 30 minutes.