Un premier projet de Code de Pratique qui s’appliquera aux fournisseurs de modèles d’IA à usage général dans le cadre de l’acte IA de l’Union européenne a été publié, accompagné d’une invitation à partager des commentaires – ouverts jusqu’au 28 novembre – alors que le processus de rédaction se poursuit jusqu’à l’année prochaine, avant que les délais de conformité formels n’entrent en vigueur au cours des prochaines années. La loi pan-européenne, entrée en vigueur cet été, régule les applications de l’intelligence artificielle dans le cadre d’un système basé sur le risque. Mais elle cible aussi certaines mesures sur des modèles d’IA plus puissants et fondamentaux – ou à usage général (GPAI). C’est ici qu’interviendra ce Code de Pratique.
Parmi ceux qui seront probablement concernés figurent OpenAI, qui a créé les modèles GPT soutenant le chatbot AI ChatGPT, Google avec ses GPAI Gemini, Meta avec Llama, Anthropic avec Claude, et d’autres comme Mistral en France. Ils devront respecter le Code de Pratique de l’IA à usage général s’ils veulent s’assurer qu’ils sont en conformité avec l’acte IA et ainsi éviter le risque de sanctions pour non-conformité. Pour être précis, le Code est destiné à fournir des orientations pour remplir les obligations de l’acte IA de l’UE. Les fournisseurs de GPAI peuvent choisir de déroger aux suggestions de meilleures pratiques s’ils pensent pouvoir démontrer la conformité par d’autres mesures.
Ce premier projet de code s’étend sur 36 pages mais risque de s’allonger, peut-être considérablement, comme le préviennent les rédacteurs, car il manque de détails car il s’agit d’un “plan de rédaction de haut niveau qui esquisse nos principes directeurs et objectifs pour le Code”.
Le projet est parsemé de questions “ouvertes” que les groupes de travail chargés d’élaborer le Code n’ont pas encore résolues. Les commentaires recherchés – de l’industrie et de la société civile – joueront clairement un rôle clé dans la définition de la substance de certaines sous-mesures et des indicateurs clés de performance (KPI) qui sont encore à inclure. Mais le document donne une idée de ce qui s’annonce (en termes d’attentes) pour les fabricants de GPAI, une fois que les échéances de conformité pertinentes s’appliqueront. Les exigences de transparence pour les fabricants de GPAI devraient entrer en vigueur le 1er août 2025.
Pour les GPAI les plus puissants – ceux que la loi définit comme présentant un “risque systémique” – l’attente est qu’ils doivent respecter les exigences d’évaluation des risques et d’atténuation 36 mois après leur entrée en vigueur (ou le 1er août 2027). Il y a une autre réserve en ce sens que le code a été conçu dans l’hypothèse qu’il n’y aurait qu’un “petit nombre” de fabricants de GPAI et de GPAI à risque systémique. “Si cette hypothèse s’avère erronée, les futurs projets pourraient devoir être modifiés de manière significative, par exemple en introduisant un système de mesures plus détaillé visant principalement les modèles qui présentent les plus grands risques systémiques”, préviennent les auteurs.
En matière de transparence, le Code précisera comment les GPAI doivent se conformer aux dispositions d’information, y compris dans le domaine du droit d’auteur. Un exemple ici est la “sous-mesure 5.2”, qui engage actuellement les signataires à fournir les détails du nom de tous les robots d’indexation utilisés pour le développement du GPAI et leurs fonctionnalités robots.txt pertinentes “y compris au moment de l’indexation”. Les fabricants de modèles de GPAI continuent de se heurter à des questions sur la manière dont ils ont acquis les données pour entraîner leurs modèles, avec plusieurs poursuites intentées par les détenteurs de droits qui allèguent que les entreprises IA ont traité illégalement des informations protégées par le droit d’auteur.
Un autre engagement défini dans le projet de Code exige des fournisseurs de GPAI qu’ils aient un point de contact unique et une gestion des plaintes pour faciliter la communication des griefs des détenteurs de droits “directement et rapidement”. D’autres mesures proposées liées au droit d’auteur couvrent la documentation que les GPAI devront fournir sur les sources de données utilisées pour “la formation, les tests et la validation et sur les autorisations d’accès et d’utilisation de contenu protégé pour le développement d’une IA à usage général”.
Les GPAI les plus puissants sont également soumis à des règles de l’acte IA de l’UE qui visent à atténuer le prétendu “risque systémique”. Ces systèmes d’IA sont actuellement définis comme des modèles qui ont été formés en utilisant une puissance informatique totale de plus de 10^25 FLOPs. Le Code contient une liste des types de risques que les signataires seront attendus de traiter comme des risques systémiques. Ils comprennent : les risques de cybersécurité offensifs (tels que la découverte de vulnérabilités), le risque chimique, biologique, radiologique et nucléaire, la “perte de contrôle” (dans le sens de l’incapacité de contrôler une “IA à usage général puissante et autonome”) et l’utilisation automatisée de modèles pour la R&D en IA, la persuasion et la manipulation, y compris la désinformation/mésinformation à grande échelle qui pourrait poser des risques aux processus démocratiques ou conduire à une perte de confiance dans les médias, et la discrimination à grande échelle.
Cette version du Code suggère également que les fabricants de GPAI pourraient identifier d’autres types de risques systémiques qui ne sont pas explicitement énumérés, comme les atteintes à la vie privée et la surveillance à “grande échelle”, ou les utilisations qui pourraient poser des risques pour la santé publique. Et l’une des questions ouvertes que le document pose ici demande quels risques devraient être priorisés pour être ajoutés à la taxonomie principale. Une autre question est de savoir comment la taxonomie des risques systémiques devrait aborder les risques liés aux deepfake (liés au matériel d’abus sexuel d’enfants généré par l’IA et à l’imagerie intime non consensuelle).
Le Code cherche également à fournir des orientations sur l’identification des attributs clés qui pourraient conduire à la création de risques systémiques par les modèles, tels que les “capacités de modèle dangereuses” (par exemple, l’offensive cybernétique ou les “capacités d’acquisition ou de prolifération d’armes”), et les “propensions de modèle dangereuses” (par exemple, être en désaccord avec l’intention et/ou les valeurs humaines ; avoir tendance à tromper ; le préjugé ; la fabulation ; le manque de fiabilité et de sécurité ; et la résistance à la modification des objectifs).
Bien que de nombreux détails restent à préciser, au fur et à mesure que le processus de rédaction se poursuit, les auteurs du Code écrivent que ses mesures, sous-mesures et KPI doivent être “proportionnels”, en mettant particulièrement l’accent sur “l’adaptation à la taille et à la capacité d’un fournisseur spécifique, en particulier les PME et les start-ups disposant de moins de ressources financières que ceux à la pointe du développement de l’IA”. Il convient également de prêter attention aux “différentes strat
