Le piège classique
L'Annexe XII liste la documentation technique qu'un fournisseur de modèle d'IA a usage general (GPAI) doit transmettre aux fournisseurs en aval qui integrent son modèle. Le piège : la plupart des integrateurs luxembourgeois (fintech CSSF, editeurs SaaS, cabinets de conseil) ne recoivent JAMAIS cette documentation de OpenAI, Anthropic, Mistral ou Google, et ne savent même pas qu'ils peuvent l'exiger contractuellement. Résultat : impossible de remplir leurs propres obligations article 13 (transparence), article 14 (supervision humaine) ou article 11 (documentation technique) sur leur système IA aval. L'EU AI Office contrôle directement les fournisseurs de GPAI, mais c'est l'integrateur aval qui sera epingle par la CNPD si son chatbot RH hallucine sans qu'il puisse documenter pourquoi.
Les 11 elements que la documentation GPAI doit contenir, et que vous devez exiger
- Taches prévues et types de systèmes d'IA cibles (point 1.a) : verifiez que votre cas d'usage entre dans le périmètre declare.
- Politiques d'usage acceptable (point 1.b) : la clé pour savoir si vous êtes en violation contractuelle des CGU OpenAI/Anthropic en l'integrant dans un workflow médical ou RH.
- Date de publication et méthodes de distribution (point 1.c) : permet de tracer la version exacte utilisee en production.
- Interactions hardware/software externes (point 1.d) : critique pour les agents IA qui appellent des outils tiers.
- Versions logicielles liées (point 1.e) : indispensable pour reproductibilite et gestion d'incident.
- Architecture et nombre de paramètrès (point 1.f) : permet d'évaluer empreinte carbone et risque souveraineté.
- Modalites et format des entrees/sorties (point 1.g) : texte, image, audio, vidéo.
- Licence du modèle (point 1.h) : open weight, proprietaire, restrictions commerciales.
- Moyens techniques d'intégration (point 2.a) : API, SDK, infrastructure requise.
- Taille maximale des entrees/sorties dont fenetre de contexte (point 2.b).
- Données d'entrainement : type, provenance, méthodes d'organisation (point 2.c) : le point le plus sensible, souvent absent ou flou.
Le reflexe contractuel a intégrer dans VOS contrats fournisseurs IA
Si vous êtes integrateur aval (vous brancez GPT-4o, Claude, Mistral Large, Gemini dans votre produit), vos contrats avec ces fournisseurs DOIVENT exiger la livraison de cette documentation Annexe XII a chaque mise à jour majeure du modèle. Sans cela, vous êtes structurellement incapable de respecter vos propres obligations AI Act et vous transferez le risque vers vos clients finaux.
Comment Luxgap automatise ce risque
Notre Luxgap GPAI Documentation Vault transforme la collecte chaotique de PDF techniques fournisseurs en un coffre-fort vivant, versionne et opposable. L'outil monitore en continu les portails de documentation publique d'OpenAI, Anthropic, Mistral, Google DeepMind, Meta AI et Cohere, telecharge automatiquement les fiches Annexe XII publiees, et les confronte ligne par ligne aux 11 points obligatoires pour détecter les manques exploitables contractuellement.
- Scrape quotidiennement les pages model cards, system cards et technical reports des principaux fournisseurs GPAI et detecte toute mise à jour de version.
- Mappe automatiquement chaque element publie aux 11 exigences Annexe XII et produit un score de completude par modèle (GPT-4o : 8/11, Claude 3.5 Sonnet : 9/11, Mistral Large 2 : 7/11).
- Detecte les modèles GPAI reellement utilises dans votre SI en analysant les logs Azure OpenAI, AWS Bedrock, Google Vertex AI et les clés API sortantes via votre proxy ou votre Defender for Cloud Apps.
- Genere automatiquement la clause contractuelle a inserer dans vos accords fournisseurs IA pour exiger la documentation manquante, en français, anglais et allemand.
- Alerte par Teams ou email des qu'un fournisseur publie une nouvelle version de modèle que vous utilisez en production, avec diff des elements documentaires.
- Produit un rapport PDF horodate, opposable a l'EU AI Office et a la CNPD, qui démontré votre diligence raisonnable de fournisseur aval au sens de l'article 53.
Disponible en complement d'un mandat DPO ou CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez une demonstration et nos équipes realisent un scan gratuit sous 48h de vos appels API vers les modèles GPAI pour mesurer votre exposition documentaire avant tout engagement.