Le piège classique
Beaucoup d'entreprises luxembourgeoises qui integrent un modèle d'IA a usage general (GPT-4, Claude, Mistral Large, Gemini) supposent que la conformité AI Act est entièrement portee par le fournisseur amont. Erreur : le considérant 116 prepare le terrain des codes de bonne pratique pilotes par l'EU AI Office, qui deviennent le standard de fait pour démontrer la conformité aux obligations des articles 53 et 55. Une entreprise qui deploie un modèle en aval sans vérifier que son fournisseur adhere au Code de bonnes pratiques GPAI publie en juillet 2025 s'exposé a une rupture de chaîne documentaire, particulièrement scrutee par la CNPD sur le volet données personnelles et par l'EU AI Office sur le volet risques systemiques.
Pourquoi ce considérant change votre pratique d'achat IA
Le considérant 116 transforme les codes de bonne pratique en référence d'interprétation des obligations GPAI. Concretement, votre due diligence fournisseur doit vérifier :
- L'adhesion publique du fournisseur du modèle au Code GPAI de l'EU AI Office (signature, version, date).
- La taxinomie des risques systemiques utilisee par le fournisseur (cyber-offensif, CBRN, perte de contrôle, manipulation cognitive) et son alignement avec la taxinomie de l'AI Office.
- Les mesures d'attenuation spécifiques documentees par le fournisseur (red teaming, évaluations, model cards, incident reporting).
- La traçabilite de la chaîne : fournisseur amont -> integrateur -> votre deploiement, avec preuve que chaque maillon honore le Code.
- La coherence avec les autres référentiels internationaux (NIST AI RMF, ISO/IEC 42001, Hiroshima Process) cites par le considérant.
Comment Luxgap automatise ce risque
Notre Luxgap GPAI Code Tracker transforme la surveillance des codes de bonne pratique GPAI en un radar continu et opposable. L'outil ingere en temps reel les publications de l'EU AI Office, du Scientific Panel et des fournisseurs majeurs (OpenAI, Anthropic, Google DeepMind, Mistral, Meta, Cohere), croise ces signaux avec votre inventaire IA reel (extrait de M365 Copilot, Azure OpenAI, AWS Bedrock, vos integrations API), et materialise instantanement les ecarts entre les engagements amont et vos usages aval.
- Detecte automatiquement chaque modèle GPAI utilise dans votre SI via les logs Azure, AWS CloudTrail, Google Cloud Audit et les factures SaaS connectees.
- Suit la version du Code GPAI signee par chaque fournisseur et alerte en cas de retrait, de non-renouvellement ou de divergence avec la version en vigueur publiee par l'AI Office.
- Classifie chaque modèle selon la taxinomie des risques systemiques de l'AI Office et signale les modèles depassant le seuil de 10^25 FLOPs cumules.
- Genere automatiquement la fiche d'évaluation des risques spécifiques et des mesures d'attenuation, prete a être annexee a votre dossier de conformité article 53.
- Produit un rapport PDF horodate, cryptographiquement scelle, opposable a l'EU AI Office et a la CNPD lors d'un contrôle, demontrant que votre chaîne GPAI respecte le Code de bonne pratique en vigueur.
- Alerte par Teams ou Slack des qu'un fournisseur publie une nouvelle model card, un incident report ou une mise à jour de ses engagements vis-a-vis du Code.
Disponible en complement d'un mandat DPO ou CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre parc IA reel, avec un audit blanc gratuit sous 48h pour mesurer votre exposition GPAI avant tout engagement.
