Le règlement européen sur l'intelligence artificielle (AI Act, règlement UE 2024/1689) est le premier cadre juridique complet au monde encadrant l'IA selon son niveau de risque. Le 2 août 2026, le Bureau européen de l'IA obtient ses pleins pouvoirs de sanction sur les modèles d'IA à usage général (GPAI, de l'anglais general-purpose AI), ces grands modèles polyvalents qui alimentent des assistants comme ChatGPT ou Gemini. Les amendes pourront atteindre 15 millions d'euros ou 3 % du chiffre d'affaires mondial annuel.
À la mi-2026, cette échéance se précise. Les obligations applicables aux fournisseurs de modèles GPAI sont entrées en application le 2 août 2025, mais le Bureau européen de l'IA ne disposait pas encore du pouvoir de les faire appliquer. Cette transition, prévue pour le 2 août 2026, marque le passage d'une phase de conformité volontaire à une phase d'exécution. La portée extraterritoriale du règlement la rend pertinente bien au-delà des frontières de l'Union européenne, y compris pour les organisations québécoises.
Que sont les modèles d'IA à usage général (GPAI) ?
Un modèle d'IA à usage général est un modèle entraîné sur de vastes ensembles de données, capable d'accomplir un large éventail de tâches distinctes et d'être intégré dans de nombreux systèmes en aval. L'AI Act distingue deux catégories. La première regroupe tous les modèles GPAI. La seconde vise les modèles présentant un « risque systémique », présumé lorsque l'entraînement dépasse 10²⁵ opérations en virgule flottante (FLOP), un seuil qui cible les modèles les plus puissants du marché.
Cette distinction détermine l'intensité des obligations. Les modèles à risque systémique sont soumis à des exigences renforcées de sécurité, alors que tous les modèles GPAI partagent un socle commun de transparence et de documentation.
Que change le 2 août 2026 ?
À partir du 2 août 2026, le Bureau européen de l'IA peut demander des informations aux fournisseurs, ordonner des mesures correctrices, exiger le retrait d'un modèle du marché et imposer des amendes. Avant cette date, l'approche restait collaborative et fondée sur le risque, selon les lignes directrices publiées par la Commission européenne en juillet 2025.
Les obligations de base que tout fournisseur de modèle GPAI doit respecter se résument en quatre points :
- Documentation technique : tenir et mettre à jour une documentation du modèle, à disposition du Bureau de l'IA et des intégrateurs en aval.
- Résumé des données d'entraînement : publier un résumé suffisamment détaillé du contenu utilisé pour l'entraînement, selon un gabarit fourni par le Bureau de l'IA.
- Politique de respect du droit d'auteur : mettre en place une politique de conformité au droit d'auteur de l'Union européenne.
- Sécurité renforcée pour le risque systémique : pour les modèles dépassant le seuil, évaluation des risques, atténuation, cybersécurité et notification des incidents graves à la Commission.
Un Code de bonnes pratiques GPAI, finalisé en 2025, offre une voie présumée de conformité. L'adhésion à ce code n'exclut pas les sanctions, mais le Bureau de l'IA en tient compte pour évaluer le montant d'une amende.
Le Digital Omnibus a-t-il repoussé ces obligations ?
Non, pas pour les modèles GPAI. Le Digital Omnibus, publié par la Commission européenne le 19 novembre 2025, propose de reporter certaines échéances de l'AI Act. L'accord provisoire conclu le 7 mai 2026 entre le Conseil de l'Union européenne et le Parlement européen reporte l'application des obligations pour les systèmes à haut risque de l'annexe III au 2 décembre 2027, et celles de l'annexe I au 2 août 2028.
Ce report vise les systèmes à haut risque, pas les modèles à usage général. Le calendrier des modèles GPAI, dont l'entrée en vigueur des pouvoirs de sanction au 2 août 2026, demeure inchangé. Les organisations qui suivaient l'évolution de l'AI Act doivent distinguer ces deux régimes, comme le souligne notre veille sur la simplification de l'AI Act.
Pourquoi cela concerne les organisations québécoises ?
L'AI Act s'applique aux fournisseurs qui placent un modèle GPAI sur le marché de l'Union européenne, quel que soit leur lieu d'établissement. Une entreprise québécoise qui développe un modèle d'usage général et le rend disponible dans l'Union, directement ou via un intégrateur, entre dans le champ du règlement. Les organisations qui déploient des modèles étrangers doivent aussi vérifier la conformité de leurs fournisseurs.
Ce cadre contraignant contraste avec la trajectoire canadienne. La Loi sur l'intelligence artificielle et les données (LIAD) est morte au feuilleton lors de la prorogation du Parlement en janvier 2025. Le Canada a plutôt lancé, le 4 juin 2026, la stratégie « L'IA pour tous », une approche distribuée s'appuyant sur les cadres existants en matière de vie privée et de droits de la personne, détaillée dans notre analyse des six piliers de la stratégie fédérale. Pour les organisations québécoises actives sur le marché européen, l'échéance du 2 août 2026 constitue donc une obligation juridique concrète, alors que le cadre canadien reste volontaire.
Questions fréquentes
Quand l'AI Act sanctionne-t-il les modèles d'usage général ?
Les obligations des modèles GPAI s'appliquent depuis le 2 août 2025, mais le Bureau européen de l'IA n'obtient ses pleins pouvoirs de sanction que le 2 août 2026. À partir de cette date, il peut imposer des amendes, ordonner des mesures correctrices ou exiger le retrait d'un modèle du marché de l'Union européenne.
Quelles amendes pour un fournisseur de modèle GPAI ?
Les fournisseurs de modèles d'IA à usage général s'exposent à des amendes pouvant atteindre 15 millions d'euros ou 3 % du chiffre d'affaires mondial annuel, le montant le plus élevé étant retenu. Ce régime de sanction devient applicable le 2 août 2026, avec l'entrée en fonction des pouvoirs d'exécution du Bureau de l'IA.
Une entreprise québécoise est-elle visée par l'AI Act ?
Oui, si elle place un modèle GPAI sur le marché de l'Union européenne, quel que soit son lieu d'établissement. La portée extraterritoriale du règlement s'applique aussi aux organisations qui intègrent ou déploient de tels modèles dans l'Union. Le lieu du siège social ne suffit pas à exclure l'application du règlement.
Le Digital Omnibus a-t-il retardé les obligations GPAI ?
Non. Le Digital Omnibus reporte les obligations des systèmes à haut risque de l'annexe III au 2 décembre 2027, selon l'accord provisoire du 7 mai 2026. Il ne modifie pas le calendrier des modèles d'usage général, dont les pouvoirs de sanction entrent en vigueur le 2 août 2026.
Sources
- Navigating the AI Act (Commission européenne)
- Overview of Guidelines for GPAI Models (EU Artificial Intelligence Act)
- EU AI Act Omnibus Agreement: Postponed High-Risk Deadlines (Gibson Dunn, 2026)
- EU agrees Digital Omnibus deal to simplify AI rules (White & Case, 2026)
- Canada's new AI for All strategy (BLG, juin 2026)
