Renforcement de la régulation de l'IA en Europe : Analyse de la première ébauche du Code des bonnes pratiques

Écrit par Jade Griffaton | Publié le
Renforcement de la régulation de l'IA en Europe : Analyse de la première ébauche du Code des bonnes pratiques
La Commission européenne, dans le cadre de ses efforts pour réguler l’intelligence artificielle (IA) en Europe, a lancé la première ébauche d’un code de bonnes pratiques sur l’IA à usage général. Le Code des bonnes pratiques s'inscrit dans le cadre de l'AI Act, (ou Règlement sur l'intelligence artificielle), première législation générale au monde sur l’intelligence artificielle, entré en vigueur le 1er aout 2024 et dont l’entrée en application se fera ensuite de façon échelonnée et visant à favoriser un développement et un déploiement responsables de l’intelligence artificielle dans l’UE. Préparée par des experts indépendants, cette version initiale est maintenant soumise à la consultation d’un large éventail de parties prenantes, dont des représentants des États membres de l'UE, des observateurs internationaux, ainsi que des acteurs du secteur privé. L’objectif de ce code est de guider les fournisseurs de modèles d’IA dans le respect de règles de transparence, de gouvernance et de gestion des risques, tout en répondant aux principes de la législation européenne sur l’IA. Ce projet, encore en cours d’élaboration, sera affiné grâce aux retours des parties prenantes, avec pour échéance finale le mois d’avril 2025.

Principes directeurs du Code des bonnes pratiques

Les rédacteurs du Code ont formulé plusieurs principes de haut niveau devant guider la rédaction de ce texte. Ces principes visent à garantir une régulation appropriée et équilibrée :

  • Alignement sur les principes et valeurs de l’UE : Le Code s’appuie sur les principes fondamentaux de l’Union européenne pour guider la régulation de l’IA.
  • Alignement sur la loi sur l’IA et les approches internationales : Il contribue à une application harmonisée de la loi sur l’IA et s’inspire des normes internationales.
  • Proportionnalité aux risques : Les mesures proposées doivent être adaptées aux risques sans imposer une charge excessive.
  • À l’épreuve du temps : Le Code doit être flexible et capable de s’adapter aux évolutions technologiques.
  • Proportionnalité à la taille du fournisseur : Prise en compte de la taille des fournisseurs pour des modes de conformité simplifiés.
  • Soutien et croissance de l’écosystème de la sécurité de l’IA : Encouragement de la coopération entre les parties prenantes et partage des connaissances.

Le Code prévoit des exigences de conformité adaptées à la taille des fournisseurs, afin de permettre aux PME et aux startups de se conformer aux règles sans charge excessive.

Obligations des fournisseurs de modèles d’IA

Une partie importante du code est destinée à décrire les obligations et engagements qui seront destinés aux fournisseurs de modèles d’IA à usage général, en matière de transparence, respect des droits d’auteurs et évaluations des risques systémiques.

  1. Transparence et documentations

Une des principales obligations consiste à fournir une documentation détaillée sur les systèmes d’IA. Cela inclut des informations générales sur le modèle, les tâches prévues, les politiques d’utilisation acceptable, la date de publication, les méthodes de distribution, les interactions matérielles/logiciels, les versions logicielles, l’architecture du modèle, et les données utilisées, parmi d’autres. Cette documentation devra être mise à disposition de l’Office AI et des autorités nationales compétentes. De plus, les fournisseurs devront aussi fournir des documents aux entreprises utilisant leur modèle en aval, afin de garantir la conformité tout au long de la chaîne de valeur.

  1. Respect des droits d’auteur

Le Code des bonnes pratiques met l’accent sur le respect de la législation de l’UE en matière de droits d’auteur et de droits voisins. Voici les principales mesures :

  • Politique interne sur les droits d’auteur : Les fournisseurs doivent mettre en place une politique garantissant le respect des droits d’auteur.
  • Diligence raisonnable en amont : Avant d’utiliser des ensembles de données, les fournisseurs doivent s’assurer qu’ils respectent les droits d’auteur.
  • Mesures en aval : Des mesures doivent être prises pour minimiser les risques de violation des droits d’auteur par les systèmes utilisant ces données.
  • Respect de l’exception TDM (Text and Data Mining) : L’accès aux contenus protégés doit être légal et respecter les droits d’auteur, y compris les réserves de droits exprimées.
  • Respect du fichier robots.txt : Les systèmes d’IA doivent se conformer aux instructions du fichier robots.txt lorsqu’ils explorent des sites web.
  • Engagement pour une norme interopérable : Les fournisseurs doivent participer à des discussions pour élaborer des normes permettant de respecter les droits d’auteur de manière harmonisée.
  • Information du public : Les entreprises doivent rendre publiques les actions prises pour respecter les droits d’auteur.
  • Point de contact unique pour les titulaires de droits : Un point de contact centralisé doit être désigné pour gérer les plaintes et les demandes liées aux droits d’auteur.
  1. Taxonomie des Risques Systémiques

Le Code propose une taxonomie détaillée pour évaluer et atténuer les risques systémiques associés aux modèles d’IA. Cette évaluation inclut les risques liés à la cybercriminalité, aux risques chimiques, à la perte de contrôle, à la manipulation et à la discrimination à grande échelle.

Les fournisseurs doivent prendre en compte plusieurs critères pour évaluer ces risques, tels que :

  • Nature des risques : Origine, acteur responsable, intention, nouveauté, probabilité/gravité du risque, rapidité de sa matérialisation, etc.
  • Sources des risques : Les fournisseurs doivent identifier les risques inhérents aux modèles, tels que les biais, la tromperie ou les configurations dangereuses.

Les fournisseurs devront « suivre une méthodologie rigoureuse d’évaluation des risques, en conformité avec les normes de l’AI Act, afin d’identifier et d’atténuer les risques systémiques associés à l’utilisation des modèles d’IA. ».

***

Cette première version du Code des bonnes pratiques résulte d’une analyse des meilleures pratiques existantes, des contributions des parties prenantes, des ateliers avec les fournisseurs, des approches internationales et de la législation sur l’IA. Il s’agit d’un projet préliminaire qui énonce des principes généraux et propose certaines mesures, mais reste susceptible de modifications.

Les prochaines étapes incluent une révision approfondie des mesures proposées en fonction des retours des parties prenantes, avec l’objectif de finaliser une version plus détaillée pour le 1er mai 2025. Les parties prenantes sont invitées à soumettre leurs commentaires avant le 28 novembre 2024 via une plateforme dédiée.

Jade Griffaton
Avocat Counsel chez DJS Avocats