À partir du 2 août 2025, toute entreprise développant ou commercialisant des modèles d’intelligence artificielle à usage général dans l’Union européenne doit se conformer aux exigences fixées par le règlement IA. Les nouvelles directives publiées par la Commission permettent de clarifier les modalités d’application de ce texte structurant. Elles établissent un socle technique de référence — notamment un seuil de 10²³ opérations en virgule flottante durant l’entraînement — pour définir les modèles dits GPAI, c’est-à-dire capables de générer du contenu dans plusieurs modalités (texte, image, audio, vidéo), avec un haut degré d’autonomie.
L’approche européenne se veut à la fois rigoureuse et progressive. Les obligations couvrent la transparence, l’évaluation des risques, la documentation technique, la cybersécurité, et la traçabilité des incidents. Mais la Commission a prévu une montée en charge étalée dans le temps : seuls les modèles mis sur le marché après août 2025 sont concernés immédiatement, tandis que ceux déjà existants bénéficient d’un délai allant jusqu’à 2027 pour être mis en conformité. L’AI Office, nouvel organe européen dédié à la supervision de ces modèles, joue un rôle central de coordination, en recueillant les déclarations, en publiant des lignes directrices et en accompagnant les fournisseurs dans leurs démarches.
États-Unis : l’innovation d’abord, la régulation ensuite
À l’inverse de l’Europe, les États-Unis n’ont pas adopté de cadre législatif contraignant spécifique à l’intelligence artificielle. L’approche fédérale repose sur une combinaison de recommandations, de normes volontaires, et de partenariats public-privé. L’Executive Order signé par Joe Biden en octobre 2023 a certes amorcé une prise en compte du risque IA, avec des obligations en matière de sécurité des modèles, d’audit, de red teaming et de protection des droits civiques. Mais ces mesures ne relèvent pas du domaine législatif : elles s’appuient sur les agences fédérales (NIST, Department of Commerce, Office of Science and Technology Policy) pour orienter les bonnes pratiques sans imposer de contraintes.Les principaux fournisseurs de modèles (OpenAI, Anthropic, Meta, Google DeepMind) ont signé des engagements volontaires visant à renforcer la sécurité, la transparence des usages, et le contrôle humain. Ces accords n’ont toutefois pas de valeur juridique, et ne comportent ni définition technique des GPAI ni exigence de documentation technique approfondie. L’accent est mis sur la responsabilité des entreprises à innover rapidement, dans un contexte de compétition mondiale où la vitesse de mise sur le marché reste primordiale. Cette logique crée un espace d’agilité pour les acteurs américains, mais expose aussi les utilisateurs à une hétérogénéité forte des garanties apportées.
Chine : l’IA sous contrôle d’État
La Chine s’est engagée dès 2023 dans une stratégie proactive de régulation de l’intelligence artificielle générative. Les règles publiées par la Cyberspace Administration of China (CAC) exigent un enregistrement obligatoire des modèles fondamentaux, une évaluation préalable de leur conformité, et une capacité technique à bloquer la production de contenus contraires aux lois ou aux normes politiques. Le cadre chinois repose sur une vision centralisée de la gouvernance technologique : l’IA est un outil stratégique, mais sa puissance doit rester compatible avec la stabilité sociale et l’idéologie officielle.La notion de modèle GPAI n’est pas formellement définie, mais les obligations s’appliquent dès lors qu’un modèle est accessible au public ou diffusé à grande échelle. Cette approche conduit à une censure automatisée intégrée dans les modèles eux-mêmes, avec une exigence d’alignement fort sur les valeurs étatiques. Les fournisseurs chinois comme Baidu, Alibaba, Huawei ou iFlyTek développent leurs propres modèles, souvent entraînés sur des corpus nationaux, et dans une logique d’indépendance technologique. L’innovation y est indissociable du contrôle, et les acteurs doivent continuellement équilibrer la performance technique, la conformité politique et la souveraineté industrielle.
Open source : un levier d’équilibre fragile
La question des modèles open source est au cœur des débats. En Europe, les directives GPAI reconnaissent une exemption partielle pour les modèles diffusés librement, sous réserve de transparence intégrale : code source, poids, documentation technique, absence de restriction contractuelle. Cette approche vise à préserver la dynamique d’innovation communautaire sans compromettre la sécurité ou la traçabilité. Mais les modèles considérés comme systémiques (en raison de leur puissance ou de leur adoption massive) ne sont pas exemptés des obligations principales du règlement IA, telles que l’évaluation des risques ou la notification auprès de l’AI Office.Dans ce cadre, la stratégie open core, consistant à publier une partie du modèle ou de la pile logicielle en open source tout en réservant certaines fonctionnalités avancées ou outils d’exploitation à une version commerciale, est de plus en plus utilisée. Elle permet aux fournisseurs de maintenir un équilibre entre contribution à l’écosystème et maîtrise de la monétisation. Cette logique est notamment adoptée par des acteurs comme Hugging Face, Stability AI, OepnAI récemment, voire certaines initiatives associées à Mistral AI, qui publient des modèles permissifs mais conservent des briques propriétaires ou des services à valeur ajoutée.
Aux États-Unis, l’écosystème open source connaît une forte croissance, avec des acteurs comme Meta (Llama), Together AI ou les communautés autour de Falcon et RedPajama. Le cadre juridique y est plus permissif, mais la pression monte de la part de certains législateurs et ONG pour encadrer la diffusion de modèles puissants. En Chine, le développement open source reste restreint par les exigences d’enregistrement, de contrôle et de filtrage, limitant la possibilité d’adopter une stratégie open core autonome face aux impératifs politiques.
Un casse-tête de conformité pour les entreprises B2B
Pour les fournisseurs et intégrateurs européens de solutions IA, le nouveau cadre impose une relecture complète des responsabilités. Ceux qui développent leurs propres modèles doivent anticiper les obligations techniques, de gouvernance, et de documentation. Ceux qui réutilisent des modèles existants (notamment via API ou solutions cloud) devront prouver que leur usage ne modifie pas significativement le comportement du modèle, faute de quoi ils seront considérés comme co-responsables. L’encadrement des risques, la gestion des jeux de données d’entraînement, la transparence des objectifs et la maîtrise des biais deviennent des prérequis opérationnels dans toute relation commerciale liée à l’IA générative.Côté utilisateurs finaux, en particulier dans les secteurs réglementés (banque, santé, services publics), l’IA ne peut plus être une boîte noire intégrée sans contrôle. Des processus de sélection, d’audit et de conformité devront être mis en place, parfois en lien avec les DPO et les responsables de la sécurité. La capacité à tracer les modèles utilisés, à documenter les usages métiers, et à anticiper les dérives devient une compétence stratégique à internaliser.
Vers une normalisation ou vers une fragmentation durable ?
La pluralité de cadres réglementaires est un fait, et la question d’une harmonisation mondiale reste en suspens. Des organismes comme l’ISO, l’OCDE ou l’ITU tentent d’élaborer des standards techniques internationaux pour l’évaluation, la transparence et la sécurité des modèles. Mais ces initiatives peinent à s’imposer face à la rapidité d’évolution des technologies et à la polarisation géopolitique. À défaut d’un cadre unifié, les entreprises devront naviguer dans un monde où l’IA n’est pas seulement une technologie, mais un enjeu réglementaire à géométrie variable.Dans ce contexte, le pilotage stratégique des modèles GPAI devient un enjeu majeur pour les DSI, les directions juridiques et les responsables produits. Savoir où un modèle est hébergé, comment il a été entraîné, selon quelles modalités il est exploité, et dans quel cadre juridique il s’inscrit, tout cela devient aussi important que sa performance brute. L’ère des IA généralistes sera aussi celle des architectures réglementaires différenciées, et de la capacité à orchestrer cette complexité pour créer de la valeur sans exposer l’entreprise à des risques de conformité ou de réputation.
