Je dois mettre mon organisation luxembourgeoise en conformité au considérant 100 du AI Act (UE 2024/1689). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 100 ferme une echappatoire majeure : intégrer un modèle d'IA a usage general (type GPT-4, Llama, Mistral Large) dans votre application ne vous fait pas sortir du regime des systèmes d'IA a usage general. Les organisations qui pensent être de simples 'integrateurs' decouvrent qu'elles heritent en réalité d'obligations de fournisseur des que leur produit peut servir a divers usages, ce que l'EU AI Office surveille activement au niveau européen. La CNPD reste en parallele competente sur le volet données personnelles traitées par ces systèmes.Le test pratique du 'variety of purposes'Pour determiner si votre intégration tombe dans la catégorie GPAI system, posez-vous ces questions concretes :Votre interface utilisateur permet-elle un prompt libre, même partiellement (chat, recherché semantique, generation de texte) ?Avez-vous bride techniquement le modèle a une seule finalité (classification fermee, extraction de champs predefinis) ou conserve-t-il sa polyvalence native ?Vos conditions d'utilisation interdisent-elles formellement les usages hors périmètre, et disposez-vous de garde-fous techniques (system prompt verrouille, output filtering, rejet hors-domaine) ?Le modèle sous-jacent est-il appele directement par l'utilisateur final ou orchestré par votre couche metier qui filtre entrees et sorties ?Documentez-vous la chaîne de responsabilité avec le fournisseur du modèle amont (OpenAI, Anthropic, Mistral, Meta) via un accord article 25 sur les obligations transférées ?La cascade des obligationsSi vous êtes qualifié de fournisseur de GPAI system, vous heritez de la documentation technique (annexe XI), des obligations de transparence vis-a-vis des utilisateurs aval, et du respect du droit d'auteur sur les données d'entrainement transmises. Si en plus votre intégration ajoute une finalité a haut risque (annexe III), vous cumulez les obligations chapitre III. L'erreur classique est de croire que le contrat avec OpenAI ou Anthropic suffit : il transféré certaines garanties mais ne vous decharge pas de vos obligations propres en tant que fournisseur du système intégré.Comment Luxgap automatise ce risqueNotre Luxgap GPAI Intégration Scanner elimine l'angle mort des integrations LLM en cartographiant automatiquement chaque appel a un modèle d'IA a usage general dans votre SI et en qualifiant le statut juridique resultant. L'outil deploie une sonde réseau et un agent qui inspecte vos API gateways, vos containers Azure OpenAI, vos endpoints AWS Bedrock, vos clés Mistral et Anthropic, et reconstitue la chaîne d'intégration reelle, sans interroger vos developpeurs.Detecte automatiquement chaque modèle GPAI appele depuis vos applications via inspection des flux sortants vers les API OpenAI, Anthropic, Mistral, Cohere, Google Vertex et Hugging Face Inference.Qualifié chaque intégration selon le test du considérant 100 en analysant le prompt template, les garde-fous techniques et l'ouverture de l'interface utilisateur finale.Gene...

Considérant 100 AI Act — Considérant 100

Cadre européenRGPD NIS 2 DORAAI ActLanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 100

Règlement établissant des règles harmonisées sur l'intelligence artificielle · UE 2024/1689

(100)

Lorsqu’un modèle d’IA à usage général est intégré dans un système d’IA ou en fait partie, ce système devrait être considéré comme un système d’IA à usage général lorsque, en raison de cette intégration, ce système a la capacité de répondre à divers usages. Un système d’IA à usage général peut être utilisé directement ou être intégré dans d’autres systèmes d’IA.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 100 ferme une echappatoire majeure : intégrer un modèle d'IA a usage general (type GPT-4, Llama, Mistral Large) dans votre application ne vous fait pas sortir du regime des systèmes d'IA a usage general. Les organisations qui pensent être de simples 'integrateurs' decouvrent qu'elles heritent en réalité d'obligations de fournisseur des que leur produit peut servir a divers usages, ce que l'EU AI Office surveille activement au niveau européen. La CNPD reste en parallele competente sur le volet données personnelles traitées par ces systèmes.

Le test pratique du 'variety of purposes'

Pour determiner si votre intégration tombe dans la catégorie GPAI system, posez-vous ces questions concretes :

Votre interface utilisateur permet-elle un prompt libre, même partiellement (chat, recherché semantique, generation de texte) ?
Avez-vous bride techniquement le modèle a une seule finalité (classification fermee, extraction de champs predefinis) ou conserve-t-il sa polyvalence native ?
Vos conditions d'utilisation interdisent-elles formellement les usages hors périmètre, et disposez-vous de garde-fous techniques (system prompt verrouille, output filtering, rejet hors-domaine) ?
Le modèle sous-jacent est-il appele directement par l'utilisateur final ou orchestré par votre couche metier qui filtre entrees et sorties ?
Documentez-vous la chaîne de responsabilité avec le fournisseur du modèle amont (OpenAI, Anthropic, Mistral, Meta) via un accord article 25 sur les obligations transférées ?

La cascade des obligations

Si vous êtes qualifié de fournisseur de GPAI system, vous heritez de la documentation technique (annexe XI), des obligations de transparence vis-a-vis des utilisateurs aval, et du respect du droit d'auteur sur les données d'entrainement transmises. Si en plus votre intégration ajoute une finalité a haut risque (annexe III), vous cumulez les obligations chapitre III. L'erreur classique est de croire que le contrat avec OpenAI ou Anthropic suffit : il transféré certaines garanties mais ne vous decharge pas de vos obligations propres en tant que fournisseur du système intégré.

Comment Luxgap automatise ce risque

Notre Luxgap GPAI Intégration Scanner elimine l'angle mort des integrations LLM en cartographiant automatiquement chaque appel a un modèle d'IA a usage general dans votre SI et en qualifiant le statut juridique resultant. L'outil deploie une sonde réseau et un agent qui inspecte vos API gateways, vos containers Azure OpenAI, vos endpoints AWS Bedrock, vos clés Mistral et Anthropic, et reconstitue la chaîne d'intégration reelle, sans interroger vos developpeurs.

Detecte automatiquement chaque modèle GPAI appele depuis vos applications via inspection des flux sortants vers les API OpenAI, Anthropic, Mistral, Cohere, Google Vertex et Hugging Face Inference.
Qualifié chaque intégration selon le test du considérant 100 en analysant le prompt template, les garde-fous techniques et l'ouverture de l'interface utilisateur finale.
Genere la documentation technique annexe XI prefilled, declinee par intégration, prete a être transmise a l'EU AI Office en cas de demande.
Alerte en temps reel des qu'un nouveau modèle GPAI apparait dans vos logs Azure, AWS ou Datadog, evitant le shadow AI des équipes produit.
Vérifié la coherence entre les engagements contractuels du fournisseur de modèle amont et vos obligations residuelles de fournisseur de système aval.
Produit un rapport PDF horodate opposable, demontrant votre cartographie GPAI complète au 2 aout 2026, date d'application des obligations.

Disponible en complement d'un mandat DPO ou CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur vos integrations LLM reelles, avec un scan gratuit sous 48h pour materialiser votre exposition avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 100

Ils nous font confiance

Avant de discuter