Modèle d'IA open source et Règlement sur l'Intelligence Artificielle : les obligations qui s'appliquent

« On utilise un modèle d'IA open source, donc le RIA ne nous concerne pas. » Cette affirmation, entendue régulièrement chez les entreprises qui intègrent l'IA dans leurs processus de travail, est fausse dans la grande majorité des cas.

Le règlement européen sur l'intelligence artificielle (RIA), pleinement entré dans son calendrier d'application en 2025, prévoit bien une exemption pour les modèles et systèmes d'IA open source. Mais cette exception est étroite. Elle ne dispense pas l'utilisateur professionnel d'un modèle open source du respect de la plupart des dispositions centrales du règlement.

Décryptage des obligations qui s'appliquent réellement, du calendrier actualisé après le Digital Omnibus du 7 mai 2026, et des autres risques juridiques que l'open source ne neutralise pas.

L'exemption open source du RIA

L'article 2 §12 du RIA prévoit que le règlement ne s'applique pas aux systèmes d'IA publiés sous licence libre et ouverte. Trois exceptions majeures vident cette exemption d'une grande partie de sa portée :

  • Les systèmes à haut risque, listés à l'annexe III du RIA (RH, scoring crédit, éducation, justice, biométrie, etc.).
  • Les pratiques interdites de l'article 5.
  • Les obligations de transparence de l'article 50 (deepfakes, IA émotionnelle, catégorisation biométrique, contenus synthétiques diffusés au public).

Le considérant 103 du RIA ajoute une quatrième exception : les composants d'IA fournis contre rémunération ou monétisés ne bénéficient pas de l'exemption open source.

Pour les modèles d'IA à usage général (GPAI), l'article 53 §2 prévoit une exemption distincte qui dispense partiellement les fournisseurs de modèles open source des obligations de documentation technique. Mais cette exemption ne couvre ni l'obligation de politique de respect du droit d'auteur (article 53 §1 c), ni l'obligation de publier un résumé détaillé des données d'entraînement (article 53 §1 d), publié selon le modèle fourni par l'AI Office le 24 juillet 2025. Et elle ne joue pas du tout si le modèle présente un risque systémique au sens de l'article 55.

Trois articles du RIA qui s'appliquent à tout utilisateur professionnel d'un modèle open source

Si vous utilisez un modèle open source pour produire (génération d'images, brainstorming, code, scoring interne, rédaction), trois dispositions du RIA s'appliquent indépendamment du caractère ouvert du modèle.

Article 4 : niveau de formation suffisant des utilisateurs

L'article 4 du RIA, applicable depuis le 2 février 2025, impose à toute organisation qui déploie de l'IA de garantir un niveau suffisant de connaissance et de formation des personnes qui l'utilisent. La nature du modèle (propriétaire ou open source) est sans incidence sur cette obligation. La formation doit être proportionnée aux usages réels et au profil des utilisateurs internes.

Article 5 : les pratiques interdites

L'article 5 du RIA prohibe certaines pratiques au sein de l'Union européenne, quel que soit le type de modèle utilisé :

  • la manipulation du comportement par des techniques subliminales ;
  • l'exploitation des vulnérabilités liées à l'âge, au handicap, à la situation sociale ou économique ;
  • le scoring social par les autorités publiques ;
  • la reconnaissance faciale non ciblée à partir d'internet ou de la vidéosurveillance ;
  • l'inférence des émotions sur le lieu de travail ou dans l'éducation, hors usages strictement médicaux ou de sécurité ;
  • la catégorisation biométrique fondée sur des caractéristiques sensibles.

Le Digital Omnibus du 7 mai 2026 ajoute une nouvelle interdiction : la génération par IA de contenus intimes non consentis et de contenus pédocriminels. Les sanctions prévues atteignent 35 millions d'euros ou 7 % du chiffre d'affaires mondial.

Article 26 : les obligations du déployeur d'un système à haut risque

Si vous utilisez un modèle, même open source, pour une fonction relevant de l'annexe III du RIA (présélection de CV, scoring crédit, décision affectant l'accès à l'éducation ou à un service essentiel, identification biométrique), vous endossez le statut de « déployeur » d'un système à haut risque. Les obligations spécifiques de l'article 26 s'appliquent alors : supervision humaine, transparence vis-à-vis des personnes concernées, conservation des logs, et, dans certains cas (organismes publics, fournisseurs de services publics, déployeurs de scoring crédit ou d'assurance vie et santé), réalisation d'une analyse d'impact sur les droits fondamentaux au titre de l'article 27.

L'accord politique sur le Digital Omnibus du 7 mai 2026 a repoussé l'application de ces obligations au 2 décembre 2027 pour les systèmes à haut risque de l'annexe III, et au 2 août 2028 pour ceux relevant de l'annexe I. Cette adoption formelle reste attendue avant le 2 août 2026.

Article 50 : la transparence des contenus synthétiques

L'article 50 impose des obligations de transparence aux utilisateurs professionnels de certains systèmes d'IA :

  • informer les personnes lorsqu'elles interagissent avec un système d'IA ;
  • étiqueter les contenus synthétiques (image, son, vidéo, texte) diffusés au public ;
  • divulguer l'usage d'un système d'IA émotionnelle ou de catégorisation biométrique aux personnes exposées ;
  • signaler les deepfakes et certains textes générés par IA publiés sur des sujets d'intérêt général.

Le Digital Omnibus a réduit la période de grâce de six à trois mois et fixé la nouvelle échéance d'étiquetage des contenus générés par IA au 2 décembre 2026. L'exemption open source de l'article 2 §12 ne joue pas pour ces obligations.

Calendrier RIA actualisé après le Digital Omnibus du 7 mai 2026

Le 7 mai 2026, le Conseil et le Parlement ont trouvé un accord politique provisoire sur le Digital Omnibus on AI, confirmé par les représentants des États membres le 13 mai 2026. Cet accord, en cours d'adoption formelle attendue avant le 2 août 2026, modifie sensiblement le calendrier d'application du RIA :

  • Obligations sur les modèles à usage général (article 53) : inchangées, applicables depuis le 2 août 2025.
  • Interdictions de l'article 5 : applicables depuis le 2 février 2025.
  • Obligation de littéracie IA (article 4) : applicable depuis le 2 février 2025.
  • Obligations sur les systèmes à haut risque de l'annexe III (article 26) : reportées du 2 août 2026 au 2 décembre 2027.
  • Obligations sur les systèmes à haut risque de l'annexe I : reportées du 2 août 2027 au 2 août 2028.
  • Étiquetage des contenus synthétiques (article 50) : nouvelle échéance fixée au 2 décembre 2026.
  • Sandboxes réglementaires nationales : reportées au 2 août 2027.

Le report des obligations sur les systèmes à haut risque ne supprime pas les autres obligations. Il offre une fenêtre de mise en conformité, pas une exemption.

Au-delà du RIA : RGPD, droit d'auteur, responsabilité contractuelle

Pour un utilisateur professionnel d'un modèle open source, les vrais points d'exposition juridique se situent souvent ailleurs que dans le RIA.

Le RGPD s'applique pleinement dès qu'un traitement de données personnelles est en cause. Pour un modèle open source utilisé en production, les questions centrales sont la base légale du traitement, la qualification des responsabilités (responsable de traitement, sous-traitant), les transferts hors UE lorsque le modèle est hébergé à l'étranger, et le risque de divulgation de données personnelles dans les outputs (régurgitation, surapprentissage).

Le droit d'auteur encadre les outputs générés par le modèle. Une décision récente du tribunal de Munich (13 février 2026) et le rapport de l'USCO (janvier 2025) convergent sur un point : un prompt général et ouvert ne suffit pas à caractériser un effort créatif humain protégeable par le droit d'auteur. La licence du modèle open source doit également être lue avec attention : toutes les licences ne permettent pas un usage commercial, certaines imposent des conditions de redistribution, d'autres restreignent les usages à haut risque.

La responsabilité contractuelle doit être anticipée vis-à-vis de vos propres clients. Si un livrable créatif ou un conseil professionnel a été produit avec l'aide d'un modèle d'IA, vos contrats existants l'autorisent-ils ? Vos clauses de responsabilité couvrent-elles ce cas ? Vos garanties d'originalité tiennent-elles face à un livrable produit par IA ?

Comment se préparer

Trois questions structurent l'évaluation de votre exposition juridique avant ou pendant l'usage d'un modèle d'IA open source :

  • Vos équipes sont-elles formées au niveau requis par l'article 4 du RIA ?
  • Vos usages relèvent-ils d'une catégorie à transparence renforcée (article 50) ou d'une fonction à haut risque (article 26) ?
  • Vos contrats clients et la licence du modèle couvrent-ils l'usage que vous en faites ?

Une cartographie des usages internes, complétée par un audit des contrats applicables et une mise à jour des politiques internes, permet de stabiliser le cadre. Cette démarche est l'inverse d'une démarche de conformité formelle : elle part des usages réels pour identifier les exigences applicables, pas l'inverse.

Questions fréquentes

Le RIA s'applique-t-il aux modèles d'IA open source ?

Oui, en grande partie. L'article 2 §12 du RIA prévoit une exemption pour les modèles et systèmes diffusés sous licence libre et ouverte, mais cette exemption ne couvre ni les systèmes à haut risque, ni les pratiques interdites de l'article 5, ni les obligations de transparence de l'article 50. Pour les modèles à usage général, l'exemption de l'article 53 §2 est partielle et ne dispense pas de la politique droit d'auteur ni du résumé des données d'entraînement.

Quelles sont les obligations RIA pour un utilisateur professionnel d'un modèle open source ?

Trois articles s'appliquent quoi qu'il arrive : l'article 4 sur la littéracie IA (applicable depuis le 2 février 2025), l'article 50 sur la transparence et l'étiquetage des contenus synthétiques, et, si l'usage relève d'une fonction à haut risque, l'article 26 sur les obligations du déployeur.

Le Digital Omnibus du 7 mai 2026 change-t-il les obligations open source ?

L'accord politique sur le Digital Omnibus reporte certaines échéances. Les obligations pour les systèmes à haut risque sont repoussées au 2 décembre 2027 (annexe III) et l'étiquetage des contenus synthétiques au 2 décembre 2026. Les obligations sur les modèles à usage général restent applicables depuis le 2 août 2025, inchangées.

Quels risques juridiques au-delà du RIA pour un usage professionnel d'un modèle open source ?

Le RGPD reste pleinement applicable (base légale, transferts hors UE, données injectées dans le modèle). Le droit d'auteur encadre les outputs et impose de vérifier la licence du modèle. La responsabilité contractuelle vis-à-vis des clients doit être anticipée lorsque les livrables sont produits avec IA.