Je dois mettre mon organisation luxembourgeoise en conformité au considérant 114 du AI Act (UE 2024/1689). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 114 eclaire les articles 55 et 56 de l'AI Act : les fournisseurs de modèles d'IA a usage general presentant un risque systemique (GPAI au-dela du seuil de 10^25 FLOPs ou désignés par la Commission) doivent prouver qu'ils ont evalue et attenue les risques avant et après mise sur le marché. En pratique, l'EU AI Office sanctionné deux failles : l'absence de red teaming documente avant le lancement, et l'absence de surveillance post-commercialisation continue. Pour les acteurs luxembourgeois qui integrent un GPAI dans leur produit (banque privée, fintech CSSF, healthtech), la responsabilité remonte des que vous franchissez le seuil de substantial modification et devenez vous-meme fournisseur au sens de l'article 25.Ce que le considérant 114 exige concretementRéaliser des essais contradictoires (adversarial testing / red teaming) avant la premiere mise sur le marché, avec documentation horodatee opposable.Mettre en place une politique de gestion des risques systemiques integrant gouvernance, responsabilités nommees et processus d'escalade.Assurer une surveillance post-commercialisation continue (derive du modèle, usages emergents, incidents) et non un audit ponctuel annuel.Cooperer avec les acteurs en aval de la chaîne de valeur IA : transmettre la documentation technique aux deployeurs (article 53) pour qu'ils puissent assumer leurs obligations propres.Garantir un niveau adequat de cybersécurité du modèle lui-meme (poids, données d'entrainement, infrastructure d'inference) au sens de l'article 55(1)(d).Recourir, si nécessaire, a des essais externes independants pour les capacites a haut risque (CBRN, cyberoffensif, manipulation de masse).Le piège spécifique aux integrateurs luxembourgeoisLa plupart des PME et institutions financieres luxembourgeoises ne sont pas fournisseurs de GPAI ; elles integrent GPT-4, Claude, Mistral Large ou Gemini dans leurs produits. Mais le considérant 114 cree une obligation de traçabilite descendante : si votre fournisseur amont ne vous fournit pas la documentation d'évaluation, vous ne pouvez pas assumer vos propres obligations de deployeur. La question a poser des aujourd'hui a votre fournisseur LLM : fournissez-vous le rapport d'adversarial testing, la model card complète et les engagements de surveillance post-commercialisation requis par l'article 55 ?Comment Luxgap automatise ce risqueNotre Luxgap GPAI Systemic Risk Sentinel transforme la conformité article 55 d'une corvee documentaire annuelle en une surveillance continue opposable a l'EU AI Office. L'outil orchestre une batterie d'essais contradictoires automatises sur vos modèles et sur les GPAI tiers que vous integrez (OpenAI, Anthropic, Mistral, Cohere, Meta Llama), croise les résultats avec les frameworks NIST AI RMF, MITRE ATLAS et le Code of Practice de l'AI Office, et produit le dossier de conformité signe cryptographiquement.Execute en continu une batterie de prompts adversariaux couvrant les capacites a risque systemiqu...

Considérant 114 AI Act — Considérant 114

Cadre européenRGPD NIS 2 DORAAI ActLanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 114

Règlement établissant des règles harmonisées sur l'intelligence artificielle · UE 2024/1689

(114)

Les fournisseurs de modèles d’IA à usage général présentant des risques systémiques devraient être soumis non seulement aux obligations prévues pour les fournisseurs de modèles d’IA à usage général mais aussi à des obligations visant à identifier et à atténuer ces risques et à garantir un niveau adéquat de protection de la cybersécurité, que les modèles en question soient fournis en tant que modèles autonomes ou qu’ils soient intégrés dans un système ou un produit d’IA. Pour atteindre ces objectifs, le présent règlement devrait exiger des fournisseurs qu’ils effectuent les évaluations nécessaires des modèles, en particulier avant leur première mise sur le marché, y compris la réalisation et la documentation d’essais contradictoires des modèles, ainsi que, le cas échéant, au moyen d’essais internes ou externes indépendants. En outre, les fournisseurs de modèles d’IA à usage général présentant des risques systémiques devraient évaluer et atténuer en permanence les risques systémiques, y compris, par exemple, en mettant en place des politiques de gestion des risques, telles que des processus de responsabilité et de gouvernance, en mettant en œuvre une surveillance après commercialisation, en prenant des mesures appropriées tout au long du cycle de vie du modèle et en coopérant avec les acteurs pertinents tout au long de la chaîne de valeur de l’IA.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 114 eclaire les articles 55 et 56 de l'AI Act : les fournisseurs de modèles d'IA a usage general presentant un risque systemique (GPAI au-dela du seuil de 10^25 FLOPs ou désignés par la Commission) doivent prouver qu'ils ont evalue et attenue les risques avant et après mise sur le marché. En pratique, l'EU AI Office sanctionné deux failles : l'absence de red teaming documente avant le lancement, et l'absence de surveillance post-commercialisation continue. Pour les acteurs luxembourgeois qui integrent un GPAI dans leur produit (banque privée, fintech CSSF, healthtech), la responsabilité remonte des que vous franchissez le seuil de substantial modification et devenez vous-meme fournisseur au sens de l'article 25.

Ce que le considérant 114 exige concretement

Réaliser des essais contradictoires (adversarial testing / red teaming) avant la premiere mise sur le marché, avec documentation horodatee opposable.
Mettre en place une politique de gestion des risques systemiques integrant gouvernance, responsabilités nommees et processus d'escalade.
Assurer une surveillance post-commercialisation continue (derive du modèle, usages emergents, incidents) et non un audit ponctuel annuel.
Cooperer avec les acteurs en aval de la chaîne de valeur IA : transmettre la documentation technique aux deployeurs (article 53) pour qu'ils puissent assumer leurs obligations propres.
Garantir un niveau adequat de cybersécurité du modèle lui-meme (poids, données d'entrainement, infrastructure d'inference) au sens de l'article 55(1)(d).
Recourir, si nécessaire, a des essais externes independants pour les capacites a haut risque (CBRN, cyberoffensif, manipulation de masse).

Le piège spécifique aux integrateurs luxembourgeois

La plupart des PME et institutions financieres luxembourgeoises ne sont pas fournisseurs de GPAI ; elles integrent GPT-4, Claude, Mistral Large ou Gemini dans leurs produits. Mais le considérant 114 cree une obligation de traçabilite descendante : si votre fournisseur amont ne vous fournit pas la documentation d'évaluation, vous ne pouvez pas assumer vos propres obligations de deployeur. La question a poser des aujourd'hui a votre fournisseur LLM : fournissez-vous le rapport d'adversarial testing, la model card complète et les engagements de surveillance post-commercialisation requis par l'article 55 ?

Comment Luxgap automatise ce risque

Notre Luxgap GPAI Systemic Risk Sentinel transforme la conformité article 55 d'une corvee documentaire annuelle en une surveillance continue opposable a l'EU AI Office. L'outil orchestre une batterie d'essais contradictoires automatises sur vos modèles et sur les GPAI tiers que vous integrez (OpenAI, Anthropic, Mistral, Cohere, Meta Llama), croise les résultats avec les frameworks NIST AI RMF, MITRE ATLAS et le Code of Practice de l'AI Office, et produit le dossier de conformité signe cryptographiquement.

Execute en continu une batterie de prompts adversariaux couvrant les capacites a risque systemique (CBRN, cyberoffensif, auto-replication, manipulation, contournement d'alignement) sur API OpenAI, Anthropic, Mistral, Azure OpenAI et endpoints internes.
Detecte automatiquement la derive comportementale d'un modèle entre deux versions et alerte sur Teams ou Slack des qu'un test de regression echoue sur un critère de risque systemique.
Genere la model évaluation report et la systemic risk assessment pretes a transmettre a l'EU AI Office, alignees sur le template du Code of Practice GPAI.
Recupere et archive les model cards et engagements de vos fournisseurs LLM amont, et alerte des qu'une clause de surveillance post-commercialisation est modifiee unilateralement.
Produit un journal d'incidents IA horodate et scelle, opposable lors d'un contrôle, demontrant la surveillance post-commercialisation exigee par le considérant 114.
Calcule un score d'exposition systemique pour chaque cas d'usage IA de votre organisation et priorisé les remediations.

Disponible en complement d'un mandat DPO ou CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur vos modèles et integrations LLM reels, avec un audit blanc gratuit sous 48h pour mesurer votre exposition systemique avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 114

Ils nous font confiance

Avant de discuter