Le règlement européen sur l’IA (AIA), entré en vigueur cet été, énonce des principes à l’intention des fournisseurs de modèles d’IA à usage général (GPAI). Des interprétations spécifiques et actionnables de ces principes pour les fournisseurs de GPAI seront disponibles d’ici mai 2025, lorsque l’Office européen de l’IA publiera son code de bonnes pratiques pour les GPAI. L’alignement sur le code de bonnes pratiques pour les GPAI peut conférer aux fournisseurs de GPAI une « présomption de conformité » pour certaines parties de l’AIA, jusqu’à ce que l’Office européen de l’IA publie des normes harmonisées.

Il était donc utile, pour les fournisseurs de GPAI, d’accéder au premier projet du code de bonnes pratiques pour les GPAI, publié sur le site web de la Commission européenne le 14 novembre. Ce projet est le fruit d’un travail collaboratif mené au sein et entre quatre groupes de travail depuis le 30 septembre :

1 : Règles de transparence et relatives au droit d’auteur

2 : Identification et évaluation des risques systémiques

3 : Atténuation technique des risques systémiques

4 : Atténuation des risques de gouvernance liés au risque systémique

En gardant à l’esprit qu’il ne s’agit que du premier de quatre projets dans un processus itératif menant au texte final en mai 2025, le projet de code de bonnes pratiques de 36 pages se distingue à au moins trois égards.

1. Détermination du fournisseur

Tout d’abord, il reconnaît l’importance de la détermination du statut de fournisseur de GPAI. Si OpenAI, Google, Anthropic, Meta, Cohere et Mistral sont les exemples les plus évidents de fournisseurs de GPAI, l’AIA décrit également des situations dans lesquelles des organisations utilisant des modèles GPAI peuvent être considérées comme des fournisseurs (par exemple, si elles apposent leur propre nom ou leur propre marque sur un tel modèle). Une zone grise de l’AIA concerne la question de savoir si une organisation qui « affine » de tels modèles devient un fournisseur. Si le projet de code de bonnes pratiques précise que sa version finale apportera des orientations sur ce sujet, il indique également que, même si une organisation est considérée comme un fournisseur en raison de l’affinage, ses obligations de fournisseur seront limitées aux effets de cet affinage.

2. Taxonomie des risques systémiques

Deuxièmement, il présente une taxonomie de haut niveau des risques systémiques liés aux systèmes GPAI, qui comprend le type, la nature et la source. L’AIA classe certains systèmes d’IA comme présentant des risques systémiques (par exemple, si « le volume cumulé de calcul utilisé pour son entraînement, mesuré en opérations en virgule flottante, est supérieur à 10(^25) »). La taxonomie exposée dans le projet de code de bonnes pratiques définit a) des champs de type de risque allant de « cybercriminalité » à « discrimination à grande échelle », b) des champs de nature du risque incluant l’origine, le ou les acteurs à l’origine du risque et l’intention, et c) des champs de source du risque tels que « capacités dangereuses du modèle ». Bien que cette taxonomie soit présentée à un niveau élevé, elle apporte un éclairage sur les considérations relatives au risque systémique susceptibles d’intéresser l’Office européen de l’IA.

3. Transparence

Troisièmement, il apporte un certain degré de clarté sur les types de « documentation technique » et d’« informations » que les fournisseurs de GPAI doivent partager avec les déployeurs et avec l’Office européen de l’IA au titre de l’article 53 de l’AIA. Ceux-ci vont de « politiques d’utilisation acceptable » à « l’architecture et le nombre de paramètres ». S’il est utile que ces éléments soient détaillés et rattachés aux annexes de l’AIA, le niveau de détail fourni pour chacun varie considérablement.

Le document se penche également sur les questions de droit d’auteur ainsi que sur les évaluations et les mesures d’atténuation des risques pour les systèmes GPAI présentant des risques systémiques.

Il convient également de noter que l’Office européen de l’IA a rendu public ce premier projet, car celui-ci est susceptible d’évoluer de manière significative. Cette publication visait peut-être à aider les organisations à suivre le processus de rédaction au fur et à mesure qu’elles développent leur mise en conformité avec l’AIA, et à souligner la nature publique, collaborative et itérative de cette approche de rédaction. À cet égard, le document précise que « bien que le premier projet soit peu détaillé, cette approche vise à fournir aux parties prenantes une orientation claire quant à la forme et au contenu potentiels du code final. »

Enzai est là pour vous aider

La plateforme AI GRC d’Enzai peut aider votre entreprise à déployer l’IA conformément aux meilleures pratiques ainsi qu’aux réglementations, normes et cadres émergents, tels que le EU AI Act, le Colorado AI Act, le NIST AI RMF et l’ISO/IEC 42001. Pour en savoir plus, contactez-nous ici.

Enzai est la plateforme de gouvernance de l’IA d’entreprise de référence, conçue spécifiquement pour aider les organisations à passer de politiques abstraites à une supervision opérationnelle. Notre plateforme de gestion des risques liés à l’IA fournit l’infrastructure spécialisée nécessaire pour piloter la gouvernance de l’IA agentique, maintenir un inventaire complet de l’IA et garantir la conformité à l’AIA. En automatisant des flux de travail complexes, Enzai permet aux entreprises de déployer l’IA à grande échelle en toute confiance, tout en restant alignées sur des normes mondiales telles que l’ISO 42001 et NIST.