Le piège classique
Le considérant 85 visé une situation très concrete : vous integrez un modèle d'IA générique (GPT-4, Claude, Mistral Large, Llama, Gemini) dans votre produit, et ce produit devient un système d'IA a haut risque au sens de l'annexe III (RH, scoring crédit, éducation, infrastructures critiques). Sans cooperation documentee du fournisseur de modèle amont, vous êtes incapable de produire la documentation technique exigee a l'article 11 et l'annexe IV. L'EU AI Office sanctionnera prioritairement le fournisseur aval qui n'a pas obtenu, ou pas exige, les informations nécessaires de son fournisseur amont. La défense 'le fournisseur du modèle ne nous a rien donne' ne tient pas : c'est a vous de contractualiser ce flux d'informations en amont.
Les informations que vous devez exiger de votre fournisseur de modèle GPAI
- Description des capacites et limites du modèle, modalites d'entrainement et données utilisees (article 53 et annexe XI/XII).
- Politique de respect du droit d'auteur de l'Union, notamment opt-out TDM article 4 directive 2019/790.
- Resume suffisamment détaillé du corpus d'entrainement, publie selon le modèle de l'EU AI Office.
- Mesures de mitigation des risques systemiques pour les modèles a usage general presentant un risque systemique (article 55).
- Procédure d'incident grave et canal de notification entre fournisseur amont et fournisseur aval.
- Documentation des évaluations adversariales, red-teaming et benchmarks de sécurité executes sur le modèle.
- Clauses de retro-information : ce que vous, fournisseur aval, devez remonter au fournisseur amont en cas de derive observee en production.
La clause de cooperation amont : votre bouclier contractuel
Le considérant 85 n'est pas auto-executoire : il s'incarne dans vos contrats avec OpenAI, Anthropic, Mistral, Google ou Microsoft Azure OpenAI. Si votre contrat de licence API ne contient pas de clause de cooperation AI Act explicite, vous êtes en risque. Les conditions generales standard de ces fournisseurs sont, à date, très asymetriques et reportent l'essentiel de la conformité sur le client. Une negociation par avenant est possible pour les comptes entreprise, et indispensable des que votre cas d'usage tombe dans l'annexe III.
Comment Luxgap automatise ce risque
Notre Luxgap GPAI Supply Chain Mapper cartographie automatiquement votre chaîne de valeur IA et detecte chaque modèle a usage general consomme par vos applications, même ceux que vos developpeurs ont intégrés sans prévenir la conformité. L'outil se connecte a vos passerelles API (Azure OpenAI, AWS Bedrock, Vertex AI, Mistral La Plateforme), a vos depots GitHub et GitLab, et a vos factures cloud pour reconstituer la liste reelle des modèles amont utilises, version par version.
- Detecte en continu chaque appel API vers un fournisseur GPAI et tag la version de modèle exacte invoquee, avec horodatage et application appelante.
- Vérifié pour chaque fournisseur amont la presence d'une documentation article 53 publique et la complète par les pièces obtenues sous NDA.
- Analyse vos contrats de licence API (clauses de cooperation, propriete intellectuelle, indemnisation AI Act) via un agent LLM spécialisé et signale les clauses manquantes ou desequilibrees.
- Genere automatiquement un dossier de cooperation amont par fournisseur, pret a être presente a l'EU AI Office ou a l'autorité de surveillance du marché IA competente.
- Alerte sur Teams ou Slack des qu'un nouveau modèle GPAI apparait dans votre SI, avant qu'il n'arrive en production sans évaluation de risque.
- Produit un rapport PDF horodate, opposable, qui materialise votre diligence raisonnable sur la chaîne de valeur IA.
Disponible en complement d'un mandat DPO ou CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur vos integrations reelles, avec un audit blanc gratuit sous 48h pour cartographier votre exposition GPAI avant tout engagement.
