EU AI Act Article 25 : quand un SaaS hérite des obligations du fournisseur GPAI
L'article 25 de l'EU AI Act crée un risque discret mais sérieux pour les SaaS utilisant des modèles de fondation : si vous modifiez substantiellement un système GPAI, vous pouvez hériter des obligations de fournisseur. Cet héritage n'est pas optionnel — il découle automatiquement de la modification et entraîne l'ensemble des obligations de transparence prévues à l'article 53 (résumé des données d'entraînement, politique en matière de droits d'auteur) ainsi que toutes les obligations documentaires incombant au fournisseur.
Ce que l'article 25 prévoit réellement
L'article 25, paragraphe 1, dispose que tout distributeur, importateur, déployeur ou autre tiers est considéré comme un fournisseur d'un système d'IA à haut risque s'il : (a) appose son nom ou sa marque sur un système d'IA à haut risque déjà mis sur le marché ; (b) apporte une modification substantielle à un système d'IA à haut risque déjà mis sur le marché ; ou (c) modifie la destination d'un système d'IA non classé à haut risque de manière à le rendre à haut risque. L'article 25, paragraphe 4, applique la même logique aux modèles GPAI : un acteur en aval qui modifie substantiellement un modèle GPAI devient fournisseur de ce modèle GPAI.
Ce que signifie la « modification substantielle »
L'acte définit la modification substantielle (article 3, point 23)) comme un changement non prévu par le fournisseur lors de l'évaluation initiale de la conformité, affectant les performances, la destination ou la posture de conformité. Pour les modèles GPAI, le seuil n'est pas encore établi. La consultation du Code de bonnes pratiques GPAI s'est clôturée en mars 2026 sans résolution claire. Interprétations conservatrices : le fine-tuning au-delà des ajustements de niveau LoRA, l'entraînement sur des données propriétaires substantielles, la modification du prompt système pour altérer fondamentalement le comportement, la suppression ou l'affaiblissement des garde-fous de sécurité.
Cas courants en SaaS
Ingénierie de prompt via des API publiquement disponibles : risque d'héritage faible. Fine-tuning léger (adaptateurs LoRA, instruction tuning sur de petits jeux de données) : non résolu — tendance à un risque faible si documenté. Fine-tuning intensif (fine-tuning en poids complets, entraînement sur un corpus propriétaire, RLHF sur des données clients) : risque d'héritage élevé. RAG sur des données propriétaires : risque faible (ne modifie pas le modèle). Orchestration multi-modèles (chaînage de plusieurs modèles avec une logique personnalisée) : risque faible pour les modèles individuels, mais le système orchestré peut lui-même nécessiter une classification en tant que fournisseur.
Obligations de l'article 53 héritées
Si vous héritez du statut de fournisseur GPAI au titre de l'article 25, paragraphe 4, les obligations de l'article 53 s'appliquent : tenir à jour la documentation technique, préparer et mettre à disposition un résumé des données d'entraînement, mettre en œuvre une politique de conformité en matière de droits d'auteur, coopérer avec le Bureau européen de l'IA. Pour les modèles GPAI à risque systémique (ceux dépassant le seuil de calcul ou désignés comme tels), les obligations de l'article 55 s'appliquent également : évaluation du modèle, tests adversariaux, signalement des incidents, protection de la cybersécurité. La plupart des modèles SaaS fine-tunés n'atteignent pas les seuils de risque systémique, mais les obligations de base de l'article 53 sont néanmoins non négligeables.
Comment gérer le risque d'héritage
Premièrement, documentez précisément vos modifications. Une piste documentaire claire démontrant que vous n'avez pas modifié substantiellement le modèle constitue votre meilleure défense lors d'un dialogue avec un régulateur. Deuxièmement, privilégiez les techniques que les orientations non encore établies acceptent généralement comme non substantielles (LoRA, RAG, ingénierie de prompt). Troisièmement, si vous devez procéder à un fine-tuning intensif, planifiez dès le premier jour la conformité à l'article 53 : documentation des données d'entraînement, politique en matière de droits d'auteur, transparence vis-à-vis des utilisateurs en aval. Quatrièmement, envisagez des alternatives commerciales — l'utilisation d'un modèle moins personnalisé mais dont les conditions d'utilisation sont claires, proposé par un fournisseur majeur, est parfois plus judicieuse sur le plan commercial que l'exécution de votre propre fine-tune.
Frequently asked questions
Quand l'article 25 entre-t-il en vigueur ?
Le 2 août 2026 pour les dispositions principales. L'héritage GPAI prévu à l'article 25, paragraphe 4, s'applique à compter du 2 août 2025, car il concerne les fournisseurs GPAI en amont dont les obligations ont été rendues applicables plus tôt.
L'ingénierie de prompt déclenche-t-elle l'article 25 ?
Non — l'ingénierie de prompt via des API publiées ne constitue pas une modification substantielle. Le modèle lui-même reste inchangé.
Le fine-tuning LoRA déclenche-t-il l'article 25 ?
Probablement pas, mais le seuil n'est pas encore établi. Documentez l'adaptateur LoRA, les données d'entraînement et l'écart de performance. La documentation doit permettre de démontrer que vous êtes resté dans le périmètre des modifications prévues.
Quelle est la sanction en cas de manquement à l'article 53 ?
Jusqu'à 15 000 000 € ou 3 % du chiffre d'affaires mondial. Pour les modèles GPAI à risque systémique, le Bureau européen de l'IA dispose d'une compétence d'exécution élargie.
Dois-je désigner un représentant autorisé en cas d'héritage GPAI ?
Si vous êtes établi en dehors de l'UE et que vous devenez fournisseur GPAI au titre de l'article 25, paragraphe 4, l'article 54 vous impose de désigner un représentant autorisé dans l'UE.
Sources
Last updated: 2026-05-28