Introduction aux codes de pratique de la loi sur l'IA

03 juillet 2024

Mise à jour : 16 avril 2025. Ce billet sera mis à jour au fur et à mesure que de nouvelles informations seront disponibles.

Ce résumé, qui détaille le code de pratique pour les fournisseurs de modèles d'IA à usage général, a été élaboré par Jimmy Farrellco-responsable de la politique de l'UE en matière d'IA à Pour Demainet Tekla Emborgchercheur en politique au Future of Life Institute. Pour toute question complémentaire, veuillez vous adresser à jimmy.farrell@pourdemain.eu.

Au fur et à mesure de la mise en œuvre de la loi sur l'IA, il est important de comprendre les différents mécanismes d'application prévus par le règlement. L'un des plus importants est constitué par les codes de pratique, qui sont actuellement élaborés par l'Office de l'IA et un large éventail de parties prenantes.

A venir dans ce billet :

Résumé rapide des codes de pratique
Introduction
Contexte : les normes et la nécessité d'un code de bonnes pratiques
Quoi ? Contenu du code de pratique (troisième projet)
Qui ? Champ d'application du modèle GPAI Définition du fournisseur
Comment ? Processus de rédaction
Quand ? Prochaines étapes

Un résumé rapide des codes de pratique :

Objet : les codes de pratique de la loi sur l'IA (introduits à l'article 56) constituent un ensemble de lignes directrices pour le respect de la loi sur l'IA. Ils constitueront un outil essentiel pour garantir le respect des obligations de la loi sur l'IA de l'UE, en particulier pendant la période intermédiaire entre l'entrée en vigueur des obligations des fournisseurs de modèles d'IA à usage général ( GPAI) (août 2025) et l'adoption des normes (août 2027 ou plus tard). Bien qu'ils ne soient pas juridiquement contraignants, les fournisseurs de modèles GPAI peuvent adhérer aux codes de pratique pour démontrer qu'ils respectent les obligations des fournisseurs de modèles GPAI jusqu'à ce que les normes européennes entrent en vigueur.
Processus : Les codes sont élaborés dans le cadre d'un processus multipartite, impliquant des groupes de travail, des experts universitaires et indépendants, des fournisseurs de modèles d'IA, des membres de la société civile, etc.
Contenu : Le code comporte trois sections. Les deux premières, Transparence et Droits d'auteur, s'appliquent à tous les fournisseurs de modèles GPAI. La troisième, la section sur la sûreté et la sécurité, ne s'applique qu'aux fournisseurs de modèles GPAI présentant un risque systémique. Pour chaque section, le code définit certains engagements et les mesures correspondantes permettant aux fournisseurs de respecter ces engagements.
Mise en œuvre : L'Office AI de l'UE évaluera l'adéquation des codes et pourra les approuver par le biais d'un acte d'exécution. Si un code de pratique ne peut être finalisé, la Commission peut fournir des règles communes pour la mise en œuvre.

Introduction

Ce billet de blog explique le concept, le processus et l'importance du code de bonnes pratiques, un outil de la loi sur l'IA destiné à combler la période intermédiaire entre l'entrée en vigueur des obligations pour les fournisseurs de modèles d'IA à usage général (GPAI) et l'adoption éventuelle de normes européennes harmonisées pour les modèles GPAI. Suite à la publication du troisième projet de code de bonnes pratiques le 11 mars, ce billet résume les informations les plus importantes et les plus récentes.

Contexte : les normes et la nécessité d'un code de bonnes pratiques

Après l'entrée en vigueur de la loi sur l'IA le 1er août, les obligations prévues par le règlement seront introduites progressivement, comme le montre notre aperçu du calendrier de mise en œuvre, les dispositions relatives aux systèmes d'IA interdits étant déjà en vigueur depuis février 2025. Entre-temps, le processus complexe d'élaboration de normes européennes harmonisées qui concrétisent les obligations de la loi sur l'IA a commencé. Alors qu'une demande officielle de normalisation a été adoptée par la Commission et approuvée par le CEN-CENELEC en ce qui concerne les normes pour les systèmes d'IA, une demande équivalente sur les normes du modèle GPAI doit encore être rédigée. La date à laquelle une telle demande de normalisation sera émise dépend en grande partie de l'efficacité avec laquelle le code de pratique met en œuvre les obligations pertinentes en vertu de la loi sur l'IA. Le processus de normalisation est décrit en détail dans un précédent article de blog.

En vertu de la loi sur l'IA, les obligations relatives aux modèles GPAI, détaillées aux articles 50 à 55, sont exécutoires douze mois après l'entrée en vigueur de la loi (2 août 2025). Toutefois, le processus de normalisation européen, impliquant principalement le Comité européen de normalisation (CEN) et le Comité européen de normalisation électrotechnique (CENELEC), prend souvent jusqu'à trois ans. Ce processus peut durer encore plus longtemps pour les normes plus techniques, telles que celles du GPAI, et si elles sont rédigées en coordination avec des normes internationales, comme le prévoit la loi sur l'IA. L'engagement de plusieurs parties prenantes et la recherche d'un consensus qui caractérisent l'élaboration des normes allongent encore le délai. Il est donc peu probable que les obligations des fournisseurs du modèle GPAI soient mises en œuvre sous la forme de normes techniques dans un avenir proche.

Exigences légales pour le code de bonnes pratiques

L'article 56 de la loi sur l'IA définit le code de bonnes pratiques comme un mode de conformité provisoire permettant de combler le fossé entre l'entrée en vigueur des obligations des fournisseurs de modèles GPAI (douze mois) et l'adoption des normes (trois ans ou plus). Bien qu'ils ne soient pas juridiquement contraignants, les fournisseurs de modèles GPAI peuvent s'appuyer sur les codes de bonnes pratiques pour démontrer qu'ils respectent les obligations des fournisseurs de modèles GPAI dans les domaines suivants les articles 53 et 55 jusqu'à ce que des normes soient élaborées. Ces obligations sont les suivantes

Fourniture de la documentation technique à l'Office AI et aux autorités nationales compétentes
Fourniture d'informations pertinentes aux fournisseurs en aval qui cherchent à intégrer leur modèle dans leur système d'IA ou de GPAI (par exemple, capacités et limites).
Résumé des données de formation utilisées
Politiques visant à se conformer à la législation de l'Union en matière de droits d'auteur

Pour les modèles GPAI présentant un risque systémique (modèles formés au-dessus du seuil de ¹⁰²⁵ FLOPS), d'autres obligations sont prévues :

Évaluation des modèles de l'état de l'art
Évaluation et atténuation des risques
Rapport sur les incidents graves, y compris les mesures correctives
Protection adéquate de la cybersécurité

Les prestataires qui ne se conforment pas au code de bonnes pratiques devront prouver à la Commission qu'ils respectent les obligations susmentionnées par d'autres moyens, éventuellement plus lourds et plus longs à mettre en œuvre.

Le code de pratique est susceptible de constituer la base des normes de la GPAI. Le contenu du code est donc censé refléter fidèlement les intentions de la loi sur l'IA, notamment en ce qui concerne les questions de santé, de sécurité et de droits fondamentaux.

Quoi ? Contenu du code de pratique (troisième projet)

Depuis le début du processus de rédaction en octobre 2024, trois versions préliminaires du code de bonnes pratiques ont été publiées. Alors que la version finale est attendue pour le début du mois de mai, le troisième projet de code le plus récent, datant du 11 mars, donne une bonne indication de la structure et du contenu de la version finale attendue. Les présidents et vice-présidents chargés de la rédaction ont créé une page web interactive contenant le texte intégral, une foire aux questions et des résumés.

Dans l'ensemble, le code comporte trois sections. Les deux premières, Transparence et Droits d'auteur, s'appliquent à tous les fournisseurs de modèles GPAI. La troisième, la section sur la sûreté et la sécurité, ne s'applique qu'aux fournisseurs de modèles GPAI présentant un risque systémique (supérieur au seuil de 10^25), soit actuellement un groupe très restreint de 5 à 15 entreprises dans le monde. Pour chaque section, le code énonce certains engagements et les mesures correspondantes permettant aux fournisseurs de respecter ces engagements.

Section Transparence (tous les fournisseurs de modèles GPAI)

En vertu de cette section, les signataires s'engagent à établir et à tenir à jour une documentation modèle, à fournir les informations pertinentes aux prestataires en aval et à l'Office AI sur demande, et à garantir la qualité, la sécurité et l'intégrité des informations documentées. Le code comprend un formulaire de documentation de modèle qui sera entièrement interactif. Cette section ne s'applique pas aux modèles d'IA à source ouverte, à moins que ces modèles ne soient considérés comme des GPAI présentant un risque systémique.

Section sur les droits d'auteur (tous les fournisseurs de modèles GPAI)

Les signataires s'engagent à élaborer, à tenir à jour et à mettre en œuvre une politique en matière de droits d'auteur. Conformément aux mesures prévues par le code, cette politique doit garantir que les signataires ne reproduisent et n'extraient que des contenus protégés par des droits d'auteur légalement accessibles lorsqu'ils explorent le web, qu'ils respectent les réservations de droits, qu'ils réduisent le risque de production de résultats portant atteinte aux droits d'auteur, qu'ils désignent un point de contact et qu'ils permettent le dépôt de plaintes en cas de non-respect de la politique.

Section relative à la sûreté et à la sécurité (uniquement pour le modèle GPAI avec les fournisseurs de services de gestion du risque systémique)

Cette section ne concerne que les fournisseurs de modèles GPAI présentant un risque systémique. Les signataires s'engagent à adopter et à mettre en œuvre un cadre de sûreté et de sécurité. Ce cadre détaillera l'évaluation, l'atténuation et la gouvernance des risques afin de maintenir les risques systémiques à des niveaux acceptables. Les signataires évalueront et atténueront les risques tout au long du cycle de vie du modèle, identifieront les risques systémiques et les analyseront pour en comprendre la gravité et la probabilité, et définiront des critères d'acceptation des risques. Il s'agit notamment de mettre en œuvre des mesures d'atténuation de la sécurité technique et des mesures d'atténuation de la sécurité de pointe appropriées afin de prévenir les risques liés à l'accès non autorisé à des poids de modèle non diffusés, y compris les menaces d'initiés. Les signataires rendront compte de leur mise en œuvre du code dans des rapports sur les modèles de sécurité et de sûreté pour chacun de leurs modèles GPAI présentant un risque systémique. En outre, les signataires répartiront les responsabilités en interne, procéderont à une évaluation externe indépendante, sauf exceptions, effectueront un suivi des incidents graves, adopteront des mesures de protection contre les représailles, informeront l'Office AI à des étapes précises et documenteront et publieront les informations pertinentes chaque fois que cela sera nécessaire pour que le public comprenne les risques systémiques découlant des modèles de l'AMPI.

Qui ? Champ d'application du modèle GPAI Définition du fournisseur

La première partie du code s'applique à tous les fournisseurs de modèles GPAI. Les "modèles d'IA à usage général" sont définis dans la loi sur l'IA comme des modèles qui font preuve d'une grande généralité et sont capables d'exécuter avec compétence un large éventail de tâches distinctes et qui peuvent être intégrés dans une variété de systèmes ou d'applications en aval. Le mode de diffusion du modèle (poids libres, API, etc.) n'a pas d'importance aux fins de la présente définition, sauf lorsque le modèle est utilisé pour des activités de recherche, de développement ou de prototypage avant sa mise sur le marché. Les fournisseurs de modèles GPAI sont des personnes physiques ou morales, des autorités publiques, des agences ou d'autres organismes qui développent ou font développer un modèle GPAI et le mettent sur le marché sous leur propre nom ou marque, que ce soit à titre onéreux ou gratuit.

En outre, la deuxième partie du code s'applique aux entités fournissant des "modèles GPAI à risque systémique". Le "risque systémique" est défini comme spécifique aux capacités à fort impact des modèles GPAI, ayant un impact significatif sur le marché de l'Union. Cela peut être dû à leur portée ou à des effets négatifs réels ou raisonnablement prévisibles sur la santé publique, la sécurité publique, les droits fondamentaux ou la société dans son ensemble, qui peuvent se propager à grande échelle dans la chaîne de valeur. Les modèles sont présumés avoir des capacités d'impact élevées lorsque le montant cumulé des calculs utilisés pour leur formation est supérieur à 10(^25) opérations en virgule flottante (FLOP). Il s'agit d'une présomption réfutable qui ne qualifie pas automatiquement les modèles. Actuellement, on estime que 11 fournisseurs dans le monde proposent des modèles qui dépassent ce seuil.

Bien que la loi sur l'IA établisse ces définitions, la Commission publiera d'autres orientations sur ce que cela signifie en pratique. Il s'agit notamment de clarifier les lignes directrices relatives aux obligations concernant les modifications de modèles, telles que la mise au point.

Comment ? Processus de rédaction

En raison du délai de douze mois prévu pour l'entrée en vigueur des obligations des fournisseurs de modèles GPAI, le code de bonnes pratiques doit être élaboré avant le 1er mai 2025. Ce délai a pour but de donner à la Commission, après examen par l'Office et le Bureau de l'IA, le temps d'approuver ou de rejeter le code avec un acte d'exécution. Si le code est rejeté, la Commission peut développer d'autres méthodes d'application.

Le processus de rédaction est en cours depuis octobre 2024. Plus d'un millier de parties prenantes y ont participé, à la suite d'un appel à manifestation d'intérêt ouvert, et ont fourni des contributions écrites sur trois projets de code différents. Les participants comprenaient un éventail d'acteurs, notamment des fournisseurs de modèles GPAI, des fournisseurs en aval, des associations commerciales, des universitaires, des experts indépendants et des organisations de la société civile. Ce processus multipartite a été dirigé par treize présidents et vice-présidents indépendants.

Structure du groupe de travail

Les présidents ont divisé la rédaction en quatre catégories de contenu différentes, conformément à la section du modèle GPAI de la loi sur l'IA :

Groupe de travail 1 : Transparence et règles relatives au droit d'auteur

Détailler la documentation destinée aux prestataires en aval et à l'Office AI sur la base des annexes XI et XII de la loi sur l'AI, les politiques à mettre en place pour se conformer à la législation de l'Union sur le droit d'auteur et les droits connexes, et mettre à la disposition du public un résumé du contenu de la formation.

Groupe de travail 2 : Identification des risques et mesures d'évaluation des risques systémiques

Détailler la taxonomie des risques sur la base d'une proposition de l'Office AI et identifier et détailler les mesures techniques pertinentes d'évaluation des risques, y compris l'évaluation des modèles et les tests contradictoires.

Groupe de travail 3 : Mesures d'atténuation des risques systémiques

Identifier et détailler les mesures techniques pertinentes d'atténuation des risques, y compris la protection de la cybersécurité pour le modèle d'IA à usage général et l'infrastructure physique du modèle.

Groupe de travail 4 : Gestion interne des risques et gouvernance pour les fournisseurs de modèles d'IA à usage général

Identifier et détailler les politiques et les procédures pour rendre opérationnelle la gestion des risques dans la gouvernance interne des fournisseurs de modèles d'IA à usage général, y compris le suivi, la documentation et le signalement des incidents graves et des mesures correctives possibles.

Source : Commission européenne Commission européenne

Plénière

Après chaque nouvelle itération du projet, les présidents ont organisé des séances plénières pour répondre aux questions et permettre aux parties prenantes de s'exprimer. Les plénières ont été divisées en quatre groupes de travail, sur la base des différentes catégories de contenu décrites ci-dessus, un seul représentant de chaque organisation étant autorisé dans chaque groupe de travail. La plénière de lancement a eu lieu le 30 septembre 2024. Il s'agissait d'une réunion virtuelle à laquelle ont participé près d'un millier de personnes issues de l'industrie, des détenteurs de droits, de la société civile et du monde universitaire. Depuis lors, trois autres plénières ont eu lieu pour tous les groupes de travail. Parallèlement aux quatre groupes de travail, des ateliers spécialisés réunissant les fournisseurs de modèles GPAI et les présidents/vice-présidents des groupes de travail ont été organisés pour informer chaque cycle de rédaction itératif, car ils sont considérés comme les principaux destinataires de la CdP. En outre, un atelier distinct a été organisé pour les organisations de la société civile.

Le processus de rédaction a généralement respecté le calendrier initialement prévu, à l'exception d'un retard de deux semaines dans la publication du troisième projet et de la séance plénière. À l'issue des trois cycles de rédaction, des ateliers pléniers et des ateliers réservés aux prestataires, la version finale du code de bonnes pratiques devrait être communiquée lors d'une séance plénière de clôture en mai 2025.

Figure 1 : Processus de rédaction de la CdP - Source : Commission européenne

Présidents et vice-présidents

Les présidents et vice-présidents ont joué un rôle essentiel dans le processus de rédaction du code de bonnes pratiques. Ils ont été désignés sur la base de leur expertise avérée dans les domaines concernés, de leur capacité à remplir leur rôle (engagements temporels et expérience opérationnelle) et de leur indépendance, c'est-à-dire "l'absence d'intérêt financier ou autre susceptible d'affecter leur indépendance, leur impartialité et leur objectivité". Ils ont été les "porte-plumes" chargés de rassembler les contributions de toutes les parties prenantes dans un code de bonnes pratiques succinct. Les présidents et leurs antécédents respectifs sont énumérés ci-dessous :

Groupe de travail 1 : Transparence et règles relatives au droit d'auteur

Nom	Rôle	Expertise	Pays
Nuria Oliver	Co-présidence	Directeur de la Fondation ELLIS Alicante	Espagne
Alexander Peukert	Co-présidence	Professeur de droit civil, de droit commercial et de droit de l'information à l'université Goethe de Francfort-sur-le-Main	Allemagne
Rishi Bommasani	Vice-président	Responsable de la société au Centre de recherche sur les modèles de Stanford, qui fait partie de l'Institut de Stanford pour l'IA centrée sur l'homme.	ÉTATS-UNIS
Céline Castets-Renard	Vice-président	Professeur titulaire à la Faculté de droit civil de l'Université d'Ottawa et titulaire de la chaire de recherche Accountable AI in a Global Context	France

Groupe de travail 2 : Identification et évaluation des risques, y compris les évaluations

Nom	Rôle	Expertise	Pays
Matthias Samwald	Président	Professeur associé à l'Institut d'intelligence artificielle de l'Université médicale de Vienne	Autriche
Marta Ziosi	Vice-président	Chercheur postdoctoral à l'Oxford Martin AI Governance Initiative	Italie
Alexander Zacherl	Vice-président	Concepteur de systèmes indépendant. Auparavant, il a travaillé à l'Institut britannique pour la sécurité de l'IA et à DeepMind.	Allemagne

Groupe de travail 3 : Atténuation des risques techniques

Nom	Rôle	Expertise	Pays
Yoshua Bengio	Président	Professeur titulaire à l'Université de Montréal, fondateur et directeur scientifique de Mila - Institut québécois de l'IA (lauréat du prix Turing)	Canada
Daniel Privitera	Vice-président	Fondateur et directeur exécutif du centre KIRA	Italie et Allemagne
Nitarshan Rajkumar	Vice-président	Candidat au doctorat en recherche sur l'IA à l'Université de Cambridge	Canada

Groupe de travail 4 : Gestion interne des risques et gouvernance des fournisseurs d'IA polyvalents

Nom	Rôle	Expertise	Pays
Marietje Schaake	Président	Membre du Cyber Policy Center de Stanford et de l'Institut pour l'IA centrée sur l'humain	Pays-Bas
Markus Anderljung	Vice-président	Directeur de la politique et de la recherche au Centre pour la gouvernance de l'IA	Suède
Anka Reuell	Vice-président	Candidat au doctorat en informatique à l'Université de Stanford	Allemagne

L'engagement en temps pour ces postes conséquents a été important. Toutefois, pour des raisons d'indépendance financière, les postes de président ou de vice-président ne sont pas rémunérés (cela s'applique également à tous les participants à la plénière), mais ils ont été soutenus par des contractants externes, à savoir un consortium de sociétés de conseil comprenant la société de conseil française Wavestone.

Quand ? Prochaines étapes

Les présidents et vice-présidents devraient présenter la version finale du code de bonnes pratiques lors d'une séance plénière de clôture en mai 2025. Par la suite, le Bureau de l'AI et le Conseil de l'AI publieront leur évaluation du code. La Commission peut décider d'approuver le code au moyen d'un acte d'exécution, ce qui lui conférerait une validité générale au sein de l'Union. La loi sur l'IA précise qu'un code de pratique doit être prêt au plus tard le 2 mai 2025. Compte tenu du léger retard pris par le troisième projet, il reste à voir si les présidents et le Bureau AI parviendront à respecter ce délai.

Si un code de bonnes pratiques ne peut être finalisé avant le 2 août 2025, la Commission est habilitée à fournir des règles communes pour la mise en œuvre des obligations des fournisseurs de modèles GPAI par le biais d'actes d'exécution. La Commission a souligné dans le plan d'action pour le continent IA que les mesures de mise en œuvre seront en place à temps pour l'entrée en application.

Le code de bonnes pratiques s'adresse aux "signataires", c'est-à-dire aux entités ayant des obligations au titre de la loi sur l'IA qui s'engagent à utiliser le code comme moyen de démontrer qu'elles respectent leurs obligations au titre de la loi sur l'IA. La signification et les implications exactes du statut de signataire, ainsi que le processus par lequel les entités peuvent signer, ne sont pas clairs à ce stade - par exemple, si les entreprises sont signataires si elles utilisent des parties du code pour démontrer qu'elles respectent certaines obligations, mais trouvent d'autres moyens de démontrer qu'elles se conforment à d'autres mesures. On ne sait pas non plus s'il y aura des conséquences particulières pour les signataires qui ne respectent pas le code par rapport aux non-signataires qui ne respectent pas la loi sur l'IA.

Cet article a été publié le 3 juillet 2024

Articles connexes

Guide de la loi sur l'IA à l'intention des petites entreprises

19 févr. 2025

Tout ce qu'il faut savoir sur la loi sur l'IA, pour les petites et moyennes entreprises (PME) dans l'UE et au-delà.

Offres d'emploi à l'Office européen d'information sur les carrières juridiques et politiques de l'AI

16 décembre 2024

La Commission a lancé deux appels à manifestation d'intérêt afin de recruter de nouveaux membres pour l'Office européen de l'IA. Postulez dès maintenant en tant que juriste ou chargé de mission pour avoir l'opportunité de façonner une IA digne de confiance. La date limite pour la manifestation d'intérêt est le 15 janvier 2025. Le salaire pour...

L'AI Office recrute un conseiller scientifique principal pour l'IA

19 novembre 2024

Cette opportunité est maintenant passée. Un poste très important s'est ouvert à l'Office européen de l'IA : Il s'agit du poste de conseiller scientifique principal pour l'IA. La date limite de candidature est fixée au 13 décembre 2024. Basé sur le conseiller à l'emploi de l'Union européenne, le salaire de base mensuel...

Aperçu de tous les plans nationaux de mise en œuvre de la loi sur l'IA

08 nov. 2024

Ce billet donne un aperçu des autorités nationales qui seront désignées en vertu de la loi sur l'IA et de ce que nous savons des plans nationaux de mise en œuvre.

La loi sur l'IA : Responsabilités de la Commission européenne (AI Office)

22 août 2024

Si vous ne savez pas qui est chargé de mettre en œuvre et d'appliquer la nouvelle loi sur le numérique et quels sont les délais spécifiques, cet article et notre article sur les responsabilités des États membres de l'UE pourraient vous être très utiles. Les tableaux ci-dessous fournissent une liste complète de toutes les...