Cybersécurité : ce que change le nouveau volet de l'IA Act pour les entreprises
Depuis son adoption en 2024, le règlement européen sur l'intelligence artificielle (IA Act) s'applique progressivement. Le 2 février 2025, ses premières dispositions, définissant son cadre général, sont entrées en vigueur. Depuis le 2 août 2025, ce sont ses règles relatives à la sécurité de l'IA à usage général (GPAI) qui doivent être respectées.
Selon le règlement, un GPAI est "entraîné à l'aide d'une grande quantité de données", "fait preuve d'une grande généralité", peut exécuter "un large éventail de tâches" et "être intégré dans une variété de systèmes ou d'applications". Ces règles visent donc les fournisseurs de grands modèles de langage généralistes tels que ChatGPT ou Gemini ainsi que toute entreprise qui développe un GPAI en interne. Leurs clients "peuvent désormais exiger une démonstration de conformité de leurs modèles d'IA à l'IA Act", observe Etienne Drouard, avocat spécialisé en droit de la cybersécurité chez Hogan Lovells.
Des preuves documentaires
L'IA Act fait la différence entre les GPAI standards et les GPAI à risque systémique. Ces derniers présentent des dangers significatifs sur la "sécurité publique", les "droits fondamentaux", la "santé publique" ou "la société dans son ensemble", explique le règlement. Qu'il soit standard ou à risque, les entreprises qui souhaitent intégrer un GPAI dans leur propre système d'IA peuvent exiger du fournisseur "une documentation qui décrit les mesures techniques de sécurité adoptées pour leurs modèles", précise Alexandra Iteanu, avocate spécialisée en droit de la cybersécurité. Ces mesures doivent démontrer que "les données sont manipulées de manière appropriée par les IA et que les algorithmes fonctionnent correctement avec des règles robustes", indique Scott Cadzow, expert à l'Institut européen des normes de télécommunications.
Cette documentation doit permettre aux entreprises clientes de comprendre les capacités et les limite du GPAI utilisé, notamment en termes de sécurité. Elle contient entre autres une description des éléments et du processus d'élaboration du modèle d'IA : les tâches qu'il peut accomplir, la nature des systèmes d'IA dans lesquels il peut être intégré, la manière dont il interagit, etc. Elle indique aussi les données utilisées pour la formation du modèle ainsi que leur type, leur provenance et leur méthode de conservation. "Le document doit expliquer comment la sécurité du stockage des jeux de données utilisés par le modèle est garantie, démontrer que les durées de conservation des données d'entrainement sont proportionnées, etc.", énumère Etienne Drouard.
Les fournisseurs de GPAI doivent tenir à jour la documentation technique du modèle pour la fournir, sur demande, au Bureau européen de l'IA et aux autorités nationales compétentes. Ils doivent également mettre à disposition du public un résumé détaillé du contenu utilisé pour la formation du GPAI. Des obligations supplémentaires incombent aux fournisseurs de GPAI à risque systémique comme la documentation de tests contradictoires du modèle, l'évaluation de ses risques, la garantie d'un niveau adéquat de cybersécurité, le signalement et la documentation des incidents graves au Bureau européen de l'IA et à l'autorité nationale compétente, etc.
Enfin, maintenant que les fournisseurs de GPAI sont soumis à l'IA Act, "leur relation contractuelle avec leurs clients devient désormais formatée au regard du règlement", affirme Etienne Drouard. "Les clients peuvent demander à contractualiser les obligations réglementaires de l'IA Act. Cela leur permet d'être assurés que les données qu'ils confient à l'IA sont en sécurité. Que les données d'entraînement, les données d'identification des utilisateurs, les données de prompts et d'input sont traitées par le fournisseur dans des conditions garantissant leur confidentialité, disponibilité et non-destruction sauf demande contraire."
De nouveaux moyens de pression
Depuis le deuxième volet de l'IA Act, les entreprises disposent d'un moyen juridique supplémentaire pour demander réparation aux fournisseurs de GPAI qui violent des obligations de sécurité, selon Etienne Drouard : "Jusqu'à présent, une obligation de sécurité inscrite dans le contrat de fourniture du modèle d'IA était garantie à hauteur d'une indemnisation de responsabilité négociée et plafonnée. Désormais, lors d'une procédure judiciaire en cas de violation d'une obligation de sécurité de la part du fournisseur, le client peut réclamer plus que cette indemnisation contractuelle. Il peut expliquer au juge qu'il y a aussi eu la violation d'une obligation réglementaire, en l'espèce de l'IA Act. Il s'agit donc d'une faute grave qui relève du droit répressif et qui peut aboutir à des sanctions. Or, quand un cocontractant a commis une faute sanctionnée par le droit répressif, le juge peut étudier le déplafonnement de l'indemnisation contractuelle".
En outre, le client d'un fournisseur de GPAI peut aussi saisir le régulateur national compétent s'il a constaté la violation d'une obligation de sécurité de sa part. L'IA Act dispose que le non-respect des obligations applicables aux fournisseurs de GPAI est puni d'une amende pouvant aller jusqu'à 3% du chiffre d'affaires annuel ou 15 millions d'euros.
Toutefois, en fournissant une documentation détaillée à leurs clients, les fournisseurs se protègent, estime Alexandra Iteanu : "Le client ne peut plus reprocher à son fournisseur des aspects du GPAI notifiés dans la documentation transmise." "A partir du moment où le fournisseur a transmis un certain nombre d'informations en vertu de son obligation de transparence, le client doit prendre ses responsabilités en s'informant avant de signer", approuve Yuksel Aydin, responsable de la sécurité des systèmes d'information au sein de RSM.