Source: OJ L, 2024/1689, 12.7.2024Current language: FR
- Artificial intelligence act
Basic legislative acts
- AI act regulation
Article 55 Obligations incombant aux fournisseurs de modèles d’IA à usage général présentant un risque systémique
Summary What does Article 55 of the AI act regulation say?
This article sets out a heightened tier of obligations that apply exclusively to providers of general-purpose AI models with systemic risk, building directly on top of the baseline obligations already established in Articles 53 and 54.
The core thrust is that these providers must actively manage the most serious potential harms their models could cause at Union level — through rigorous evaluation, ongoing risk assessment and mitigation, incident reporting, and cybersecurity protection.
The article also addresses how providers can demonstrate compliance, whether through codes of practice, harmonised standards, or alternative means assessed by the Commission.
Important points:
- Providers of general-purpose AI models with systemic risk must perform adversarial testing, assess and mitigate systemic risks, report serious incidents to the AI Office without undue delay, and ensure adequate cybersecurity protection for the model and its physical infrastructure.
- Compliance with these obligations can be demonstrated by adhering to an approved code of practice or a European harmonised standard; providers who do neither must demonstrate alternative adequate means of compliance for assessment by the Commission.
- All information and documentation obtained under this article, including trade secrets, is subject to the confidentiality obligations set out in Article 78.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Outre les obligations énumérées aux articles 53 et 54, les fournisseurs de modèles d’IA à usage général présentant un risque systémique:
effectuent une évaluation des modèles sur la base de protocoles et d’outils normalisés reflétant l’état de la technique, y compris en réalisant et en documentant des essais contradictoires des modèles en vue d’identifier et d’atténuer les risques systémiques;
évaluent et atténuent les risques systémiques éventuels au niveau de l’Union, y compris leurs origines, qui peuvent découler du développement, de la mise sur le marché ou de l’utilisation de modèles d’IA à usage général présentant un risque systémique;
suivent, documentent et communiquent sans retard injustifié au Bureau de l’IA et, le cas échéant, aux autorités nationales compétentes les informations pertinentes concernant les incidents graves ainsi que les éventuelles mesures correctives pour y remédier;
garantissent un niveau approprié de protection en matière de cybersécurité pour le modèle d’IA à usage général présentant un risque systémique et l’infrastructure physique du modèle.
Les fournisseurs de modèles d’IA à usage général présentant un risque systémique peuvent s’appuyer sur des codes de bonne pratique au sens de l’article 56 pour démontrer qu’ils respectent les obligations énoncées au paragraphe 1 du présent article, jusqu’à la publication d’une norme harmonisée. Le respect des normes européennes harmonisées confère au fournisseur une présomption de conformité dans la mesure où lesdites normes couvrent ces obligations. Les fournisseurs de modèles d’IA à usage général présentant un risque systémique qui n’adhèrent pas à un code de bonnes pratiques approuvé ou ne respectent pas une norme européenne harmonisée démontrent qu’ils disposent d’autres moyens appropriés de mise en conformité et les soumettent à l’appréciation de la Commission.
Toute information ou documentation obtenue en vertu du présent article, y compris les secrets d’affaires, est traitée conformément aux obligations de confidentialité énoncées à l’article 78.
Relevant recitals
Considérant 114 Additional obligations in case of systemic risks
Les fournisseurs de modèles d’IA à usage général présentant des risques systémiques devraient être soumis non seulement aux obligations prévues pour les fournisseurs de modèles d’IA à usage général mais aussi à des obligations visant à identifier et à atténuer ces risques et à garantir un niveau adéquat de protection de la cybersécurité, que les modèles en question soient fournis en tant que modèles autonomes ou qu’ils soient intégrés dans un système ou un produit d’IA. Pour atteindre ces objectifs, le présent règlement devrait exiger des fournisseurs qu’ils effectuent les évaluations nécessaires des modèles, en particulier avant leur première mise sur le marché, y compris la réalisation et la documentation d’essais contradictoires des modèles, ainsi que, le cas échéant, au moyen d’essais internes ou externes indépendants. En outre, les fournisseurs de modèles d’IA à usage général présentant des risques systémiques devraient évaluer et atténuer en permanence les risques systémiques, y compris, par exemple, en mettant en place des politiques de gestion des risques, telles que des processus de responsabilité et de gouvernance, en mettant en œuvre une surveillance après commercialisation, en prenant des mesures appropriées tout au long du cycle de vie du modèle et en coopérant avec les acteurs pertinents tout au long de la chaîne de valeur de l’IA.
Considérant 115 Protection of general-purpose AI models with systemic risks
Les fournisseurs de modèles d’IA à usage général présentant des risques systémiques devraient évaluer et atténuer les éventuels risques systémiques. Si, malgré les efforts déployés pour recenser et prévenir les risques liés à un modèle d’IA à usage général susceptible de présenter des risques systémiques, le développement ou l’utilisation du modèle cause un incident grave, le fournisseur de modèle d’IA à usage général devrait, sans retard injustifié, réaliser un suivi de l’incident et communiquer toute information pertinente et toute mesure corrective éventuelle à la Commission et aux autorités nationales compétentes. En outre, les fournisseurs devraient garantir un niveau approprié de protection en matière de cybersécurité en ce qui concerne le modèle et son infrastructure physique, le cas échéant, tout au long du cycle de vie du modèle. La protection en matière de cybersécurité contre les risques systémiques associés à une utilisation malveillante ou à des attaques devrait tenir dûment compte des fuites accidentelles du modèle, des publications non autorisées, du contournement des mesures de sécurité ainsi que de la défense contre les cyberattaques, l’accès non autorisé ou le vol de modèle. Une telle protection pourrait être facilitée par la sécurisation des poids du modèle, des algorithmes, des serveurs et des jeux de données, notamment au moyen de mesures de sécurité opérationnelle relatives à la sécurité de l’information, de politiques spécifiques en matière de cybersécurité, de solutions techniques établies adéquates, et de contrôles de l’accès physique ou informatique, qui soient adaptés aux circonstances particulières et aux risques encourus.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
mise sur le marché
(En. placing on the market)
Definition
norme harmonisée
(En. harmonised standard)
Definition
infrastructure critique
(En. critical infrastructure)
Definition
fournisseur
(En. provider)
Definition
risque systémique
(En. systemic risk)
Definition
capacités à fort impact
(En. high-impact capabilities)
Definition
Bureau de l’IA
(En. AI Office)
Definition
risque
(En. risk)
Definition
incident grave
(En. serious incident)
- le décès d’une personne ou une atteinte grave à la santé d’une personne;
- une perturbation grave et irréversible de la gestion ou du fonctionnement d’infrastructures critiques;
- la violation des obligations au titre du droit de l’Union visant à protéger les droits fondamentaux;
- un dommage grave à des biens ou à l’environnement;
Definition
système d’IA
(En. AI system)
Definition
modèle d’IA à usage général
(En. general-purpose AI model)