Le piège classique
Le considérant 89 cree une zone grise dangereuse : beaucoup d'integrateurs pensent qu'utiliser une brique open source (Hugging Face, LangChain, scikit-learn, modèles fine-tunes sous licence Apache 2.0) les exonere de leurs obligations AI Act. C'est faux. L'exoneration visé le tiers qui publie l'outil, pas le fournisseur qui l'intégré dans un système d'IA mis sur le marché. L'EU AI Office et les autorités nationales de surveillance du marché IA examineront en priorité la chaîne de valeur reelle : qui a intégré quoi, avec quelle documentation amont, et quelles garanties contractuelles ou techniques le fournisseur a obtenues du composant open source.
Le test concret : etes-vous tiers exonere ou fournisseur responsable ?
- Vous publiez un modèle sur GitHub sous licence MIT sans le commercialiser : exoneration probable, mais documentation (model card, data sheet) fortement recommandee par le considérant.
- Vous integrez Llama, Mistral ou un modèle Hugging Face dans un SaaS facture a vos clients : vous êtes fournisseur au sens de l'article 3, l'exoneration ne s'applique pas a vous.
- Vous redistribuez un composant open source avec modifications substantielles : la responsabilité du fournisseur initial s'efface, la votre commence.
- Vous utilisez un composant open source mal documente (pas de model card, pas de data sheet, pas de description des données d'entrainement) : vous heritez du trou documentaire et devrez le combler vous-meme pour respecter vos obligations aval.
Les pratiques documentaires que le considérant encourage
Le legislateur cite explicitement les model cards (format Hugging Face / Google) et les data sheets for datasets (Gebru et al. 2018) comme standards de fait. Adopter ces formats des l'amont accelere votre conformité aval : annexe IV (documentation technique), article 13 (transparence), article 53 (obligations GPAI).
Comment Luxgap automatise ce risque
Notre Luxgap Open Source AI Lineage reconstruit automatiquement la chaîne de valeur IA de votre organisation et qualifié, pour chaque composant detecte, votre statut juridique au sens de l'AI Act : tiers exonere, integrateur fournisseur, ou redistributeur responsable. L'outil scanne vos depots GitHub/GitLab, vos environnements Python (requirements.txt, poetry.lock), vos registres MLflow, Hugging Face Hub et conteneurs Docker pour materialiser la dependance reelle, sans déclaratif developpeur.
- Detecte automatiquement chaque modèle, librairie ou pipeline open source intégré dans vos systèmes d'IA en production via connecteurs natifs GitHub, GitLab, Hugging Face, MLflow et Azure ML.
- Qualifié pour chaque composant la licence (Apache 2.0, MIT, GPL, RAIL, Llama Community) et signale les licences incompatibles avec un usage commercial ou avec l'exoneration du considérant 89.
- Recupere automatiquement les model cards et data sheets disponibles en amont et detecte les trous documentaires que vous devrez combler pour respecter l'annexe IV.
- Genere les model cards et data sheets manquantes au format Hugging Face standard, pre-remplies à partir des metadonnees techniques de vos pipelines.
- Alerte en temps reel quand un composant amont change de licence ou disparait (cas Llama 2 vers Llama 3 Community License) pour anticiper la requalification juridique.
- Produit un rapport PDF horodate opposable a l'autorité de surveillance IA, demontrant la cartographie complète de la chaîne de valeur et la qualification de votre statut.
Disponible en complement d'un mandat DPO ou CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre stack IA reelle, avec un audit blanc gratuit sous 48h pour cartographier vos composants open source et mesurer votre exposition avant tout engagement.
