La loi sur l'IA de l'UE (AIA), qui est entrée en vigueur cet été, énonce des principes pour les fournisseurs de modèles d'IA à usage général (GPAI). Des interprétations spécifiques et exploitables de ces principes pour les fournisseurs de GPAI seront disponibles en mai 2025, lorsque le Bureau européen de l'IA publiera son Code de Pratique pour GPAI. S'aligner sur le Code de Pratique pour GPAI peut conférer aux fournisseurs de GPAI une « présomption de conformité » avec certaines parties de l'AIA, jusqu'à ce que le Bureau européen de l'IA publie des normes harmonisées.

Ainsi, il était instructif pour les fournisseurs de GPAI de consulter le premier projet du Code de Pratique pour GPAI, publié sur le site de la Commission européenne le 14 novembre. Le projet est le fruit d'un travail collaboratif au sein et entre quatre groupes de travail depuis le 30 septembre :

1 : Règles relatives à la transparence et aux droits d'auteur

2 : Identification et évaluation des risques pour les risques systémiques

3 : Atténuation des risques techniques pour les risques systémiques

4 : Atténuation des risques de gouvernance pour les risques systémiques

Avec la réserve qu'il s'agit du premier de quatre projets dans un processus itératif menant au texte final en mai 2025, le projet de Code de Pratique de 36 pages est remarquable de plusieurs manières.

1. Détermination du Fournisseur

Premièrement, il reconnaît l'importance de la détermination du fournisseur GPAI. Bien que OpenAI, Google, Anthropic, Meta, Cohere, et Mistral soient les exemples les plus évidents de fournisseurs GPAI, l'AIA décrit également des situations dans lesquelles les organisations utilisant des modèles GPAI peuvent être considérées comme fournisseurs (par exemple, si elles apposent leur propre nom ou marque sur un tel modèle). Une zone grise de l'AIA est de savoir si une organisation qui « affine » ces modèles devient un fournisseur. Bien que le projet de Code de Pratique indique que sa version finale apportera des conseils sur ce sujet, il partage que même si une organisation est considérée comme un fournisseur en raison de l'affinement, ses obligations de fournisseur seront limitées aux effets de cet affinage.

2. Taxonomie des Risques Systémiques

Deuxièmement, il décrit une taxonomie de haut niveau des risques systémiques liés aux systèmes GPAI, qui comprend les types, la nature et la source. L'AIA classe certains systèmes d'IA comme posant des risques systémiques (par exemple, si « le montant cumulatif de calcul utilisé pour son entraînement mesuré en opérations en virgule flottante est supérieur à 10(^25) »). La taxonomie décrite par le projet de Code de Pratique indique a) les types de risques allant de l'« infraction cybernétique » à la « discrimination à grande échelle », b) les natures de risques comprenant l'origine, les acteurs à l'origine du risque et l'intention et c) les sources de risques telles que les « capacités dangereuses du modèle ». Bien que la taxonomie soit décrite à un niveau élevé, elle fournit un aperçu des considérations de risques systémiques que le Bureau européen de l'IA est probablement préoccupé par.

3. Transparence

Troisièmement, il apporte une certaine clarté sur les types de « documentation technique » et « informations » que les fournisseurs de GPAI doivent partager avec les déployeurs et avec le Bureau européen de l'IA sous l'article 53 de l'AIA. Cela va des « Politiques d'utilisation acceptable » à « l'Architecture et le nombre de paramètres ». Bien qu'il soit utile que ces éléments soient développés et référencés par rapport aux Annexes de l'AIA, le niveau de détail fourni pour chaque élément varie considérablement.

Le document traite également des questions de droits d'auteur et des évaluations des risques et des atténuations pour les systèmes GPAI posant des risques systémiques.

Il est également à noter que le Bureau européen de l'IA a rendu ce premier projet public, car il est susceptible d'évoluer de manière significative. Cela a potentiellement été fait pour aider les organisations à suivre le processus de rédaction alors qu'elles développent leur conformité à l'AIA et pour souligner la nature publique, collaborative et itérative de l'approche de rédaction. À cette fin, le document indique que « bien que le premier projet soit pauvre en détails, cette approche vise à fournir aux parties prenantes un sens clair de la direction que pourrait prendre la forme et le contenu du Code final ».

Enzai est là pour aider

La plateforme de GRC IA d'Enzai peut aider votre entreprise à déployer l'IA conformément aux meilleures pratiques et aux réglementations, normes et cadres émergents, tels que l'Acte IA de l'UE, l'Acte IA du Colorado, le NIST AI RMF et ISO/IEC 42001. Pour en savoir plus, contactez-nous ici.