Article 53 du règlement (UE) 2024/1689 — Obligations des fournisseurs de modèles d'IA à usage général présentant un risque systémique. Texte officiel, interprétation pratique, obligations clés et implications en matière de conformité.
Résumé du texte officiel
L'article 53 du règlement (UE) 2024/1689 établit des obligations qui s'appliquent exclusivement aux fournisseurs de modèles d'intelligence artificielle à usage général (IAUSG) classifiés comme présentant un risque systémique en vertu de l'article 51. Il s'agit de modèles entraînés avec une puissance de calcul dépassant 10^25 opérations en virgule flottante (FLOPs), ou de modèles désignés par le Bureau de l'IA sur la base d'une évaluation des capacités ou de l'impact.
En plus des obligations de base applicables à tous les fournisseurs de modèles IAUSG au titre de l'article 52, les fournisseurs relevant de l'article 53 doivent : effectuer des évaluations des modèles, y compris des tests adversariaux conduits conformément à des protocoles normalisés ou à des méthodologies approuvées ; évaluer et atténuer les risques systémiques au niveau de l'Union ; signaler les incidents graves et les dysfonctionnements au Bureau de l'IA sans retard injustifié ; assurer un niveau adéquat de protection de cybersécurité pour le modèle, son infrastructure et son environnement physique ; et documenter les résultats des évaluations des modèles et les mettre à la disposition du Bureau de l'IA sur demande.
L'article 53(2) prévoit que les fournisseurs peuvent s'appuyer sur des codes de bonne pratique adoptés au titre de l'article 56 pour démontrer leur conformité. La Commission européenne est habilitée à adopter des actes délégués précisant le contenu et les procédures des évaluations, et à adapter les seuils au fur et à mesure de l'évolution des connaissances scientifiques. Le Bureau de l'IA surveille la conformité et peut demander des informations supplémentaires ou des mesures correctives.
Ce que cela signifie en pratique
L'article 53 crée un niveau de conformité distinct pour les modèles IAUSG les plus performants et potentiellement les plus impactants sur le marché de l'UE. Toute organisation — quel que soit son lieu d'établissement — qui met un tel modèle à la disposition de déployeurs ou d'utilisateurs finaux dans l'UE doit évaluer si elle dépasse le seuil de risque systémique.
Pour les fournisseurs au-dessus du seuil de calcul de 10^25 FLOPs, les obligations sont automatiques. Pour les fournisseurs en dessous de ce seuil, le Bureau de l'IA peut néanmoins déclencher les obligations de l'article 53 à la suite d'une évaluation au cas par cas fondée sur des indicateurs tels que le nombre d'utilisateurs, l'étendue des capacités ou l'intégration dans des secteurs critiques.
En pratique, la conformité exige la mise en place de processus internes robustes : un programme d'évaluation des modèles capable de mener des exercices de red-teaming et des tests adversariaux avant et après le déploiement ; un registre des risques systémiques et un plan d'atténuation associé ; un cadre de cybersécurité couvrant les poids du modèle, les API et l'infrastructure d'entraînement ; et une procédure de réponse aux incidents liée à l'obligation de notification envers le Bureau de l'IA.
Concrètement, un fournisseur d'un grand modèle de langage de pointe mis à disposition via API à des déployeurs établis dans l'UE doit effectuer des tests adversariaux — tels que des tentatives de contournement et l'extraction de capacités pour du contenu dangereux — documenter les résultats, les conserver et être en mesure de les partager avec le Bureau de l'IA. Si le modèle produit un résultat qui cause ou manque de peu de causer un préjudice grave à une personne ou à une infrastructure critique, cet incident doit être signalé promptement. La participation à un code de bonne pratique approuvé par le Bureau de l'IA au titre de l'article 56 fournit une voie structurée pour démontrer la conformité sans attendre des normes harmonisées.
Obligations clés
- Évaluations des modèles et tests adversariaux : Mener des évaluations approfondies, notamment des exercices de red-teaming et des tests adversariaux, en utilisant des protocoles normalisés ou approuvés par le Bureau de l'IA, avant et après des mises à jour significatives du modèle.
- Évaluation et atténuation des risques systémiques : Identifier, analyser et atténuer les risques systémiques potentiels au niveau de l'Union susceptibles de découler du développement, de la mise sur le marché ou de l'utilisation du modèle.
- Notification des incidents graves : Signaler au Bureau de l'IA sans retard injustifié tout incident grave ou dysfonctionnement lié au modèle d'IAUSG présentant un risque systémique, y compris des informations sur l'incident et les mesures correctives prises.
- Protection de cybersécurité : Mettre en œuvre et maintenir des mesures de cybersécurité appropriées protégeant le modèle, son infrastructure physique et sa chaîne d'approvisionnement — notamment les poids du modèle, les API et les pipelines d'entraînement — proportionnées aux risques identifiés.
- Documentation et transparence envers le Bureau de l'IA : Conserver les dossiers des résultats d'évaluation, des méthodologies de test et des mesures d'atténuation des risques ; les mettre à la disposition du Bureau de l'IA sur demande.
- Voie de conformité par les codes de bonne pratique : Démontrer la conformité avec les obligations de l'article 53 en adhérant aux codes de bonne pratique élaborés au titre de l'article 56, dans l'attente de la disponibilité de normes harmonisées.
Relation avec d'autres articles
L'article 53 ne peut pas être lu de manière isolée. Il s'appuie directement sur l'article 51, qui définit les critères et les procédures de classification d'un modèle IAUSG comme présentant un risque systémique — notamment le seuil de calcul de 10^25 FLOPs et le pouvoir de désignation discrétionnaire du Bureau de l'IA. Les obligations de base de l'article 52 restent pleinement applicables parallèlement à l'article 53 ; ce dernier ajoute une couche supplémentaire plutôt que de remplacer le premier.
L'article 55 régit les présomptions qualifiées de conformité, tandis que l'article 56 établit le mécanisme des codes de bonne pratique que l'article 53(2) mentionne explicitement comme voie de conformité. Le rôle de surveillance du Bureau de l'IA concernant les obligations de l'article 53 est fondé sur les articles 88 à 90, qui définissent les pouvoirs et les procédures d'exécution. Pour les fournisseurs qui sont également des déployeurs de systèmes d'IA à haut risque, les exigences du chapitre III (articles 9 à 16) concernant la gestion des risques et la documentation technique peuvent se recouper avec les travaux d'atténuation des risques systémiques requis par l'article 53, et la coordination entre les équipes de conformité est conseillée pour éviter les doublons.
Calendrier de conformité
Le règlement IA de l'UE est entré en vigueur le 1er août 2024 (vingt jours après sa publication au Journal officiel le 12 juillet 2024). L'article 53, en tant que partie du titre V régissant les modèles d'IA à usage général, est devenu applicable le 2 août 2025 — douze mois après l'entrée en vigueur, conformément à l'article 113(3).
Cela signifie que les fournisseurs de modèles IAUSG présentant un risque systémique étaient tenus d'avoir leurs programmes d'évaluation, leurs procédures de notification des incidents et leurs cadres de cybersécurité opérationnels à cette date. Le calendrier d'application progressive à titre de référence : les pratiques d'IA interdites au titre de l'article 5 s'appliquent depuis le 2 février 2025 (six mois) ; les obligations relatives aux modèles IAUSG, y compris l'article 53, depuis le 2 août 2025 (douze mois) ; les obligations relatives aux systèmes d'IA à haut risque au titre de l'annexe I depuis le 2 août 2026 (vingt-quatre mois) ; et les obligations restantes relatives aux systèmes d'IA à haut risque depuis le 2 août 2027 (trente-six mois). Les fournisseurs doivent également surveiller les actes délégués de la Commission européenne susceptibles de préciser les exigences d'évaluation de l'article 53 ou d'ajuster le seuil de calcul au fur et à mesure de l'évolution des connaissances scientifiques sur les capacités des modèles de pointe.
Calendrier officiel de conformité AI Act
Mis à jour le · Sources : Règlement (UE) 2024/1689 et Digital Omnibus AI 2026.
| Obligation | S'applique à | Date initiale | Nouvelle date | Statut | Compte à rebours | Base légale |
|---|---|---|---|---|---|---|
| Pratiques interdites (Art. 5) | Tous les fournisseurs et déployeurs | active | — | AI Act Art. 5 | ||
| Règles GPAI (chapitre 5) | Fournisseurs de modèles GPAI | active | — | AI Act Art. 51-56 | ||
| IA à haut risque — Annexe III (autonomes) | Fournisseurs de systèmes autonomes Annexe III | deferred | — | Omnibus AI 2026 Art. 6(2) | ||
| IA à haut risque — Annexe I (embarquée) | Systèmes IA embarqués dans produits réglementés Annexe I | deferred | — | Omnibus AI 2026 Art. 6(1) | ||
| Marquage contenu IA (transparence) | Fournisseurs de systèmes GPAI génératifs | active | — | AI Act Art. 50(2) | ||
| Bacs à sable réglementaires | Autorités nationales compétentes | active | — | AI Act Art. 57 |
⬇ Télécharger JSON · CC BY 4.0
Convergence AI Act – DORA – NIS2
Votre organisation est-elle soumise à la fois à l'AI Act et à DORA ? Les deux règlements se croisent sur la résilience opérationnelle des systèmes d'IA financiers. Notre site jumeau regulation-dora.eu couvre DORA en profondeur.
Explorer regulation-dora.eu ↗Questions fréquentes
L'article 53 s'applique aux fournisseurs de modèles d'IA à usage général qui ont été classifiés comme présentant un risque systémique — soit parce qu'ils ont été entraînés en utilisant une quantité cumulée de calcul supérieure à 10^25 FLOPs, soit parce que le Bureau de l'IA les a désignés comme tels à la suite d'une évaluation au titre de l'article 51.
L'article 52 établit des obligations de base pour tous les fournisseurs de modèles d'IA à usage général, notamment en matière de documentation et de transparence. L'article 53 impose des obligations supplémentaires, plus strictes, exclusivement aux fournisseurs de modèles IAUSG présentant un risque systémique, notamment les tests adversariaux, la notification des incidents et les mesures de cybersécurité.
L'article 53 n'impose pas la restriction de l'accès, mais il exige que les fournisseurs mettent en œuvre des politiques et des mesures techniques proportionnées au risque systémique. Cela peut inclure des contrôles d'accès lorsque cela est justifié par les résultats des tests adversariaux ou l'évaluation du risque de cybersécurité.
Un incident grave au sens de l'article 53 désigne tout incident ou dysfonctionnement d'un modèle d'IAUSG présentant un risque systémique qui entraîne, ou est raisonnablement susceptible d'entraîner, un décès, un préjudice grave pour la santé, une perturbation grave d'infrastructures critiques, des dommages matériels ou des effets préjudiciables significatifs sur les droits fondamentaux. Les fournisseurs doivent signaler ces incidents au Bureau de l'IA sans retard injustifié.
L'article 53 est devenu applicable le 2 août 2025, douze mois après l'entrée en vigueur du règlement le 1er août 2024. Cela reflète le calendrier spécifique du règlement IA de l'UE pour les dispositions du titre V régissant les modèles d'IA à usage général.
Restez informé des évolutions AI Act
Recevez les alertes compliance quand les délais ou obligations changent.
Pas de spam. Désabonnement en un clic.