Introduction aux codes de pratique de la loi sur l'IA

03 juillet 2024

Mise à jour : 21 août 2024. Ce billet sera mis à jour au fur et à mesure que de nouvelles informations seront disponibles.

Alors que la mise en œuvre de la loi sur l'IA est en cours, il est important de comprendre les différents mécanismes d'application prévus par le règlement.

Ce résumé, qui détaille le code de pratique pour les fournisseurs de modèles d'IA à usage général, a été élaboré par Jimmy Farrellresponsable de la politique de l'UE en matière d'IA à Pour Demain. Pour toute question complémentaire, veuillez le contacter à l'adresse suivante jimmy.farrell@pourdemain.eu.

Introduction

Ce billet de blog explique le concept, le processus et l'importance du code de pratique, un outil de la loi sur l'IA destiné à combler la période intermédiaire entre l'entrée en vigueur des obligations pour les fournisseurs de modèles d'IA à usage général (GPAI) et l'adoption éventuelle de normes européennes harmonisées pour les modèles GPAI. Suite à l'annonce détaillée faite le 30 juillet par les offices européens de l'IA sur le déroulement de ce processus, ce billet résume les informations les plus importantes.

Normes et nécessité d'un code de pratique

Suite à l'approbation finale de la loi sur l'IA par le Conseil européen le 21 mai¹la publication de la loi sur l'IA au journal officiel de l'UE le 12 juillet²et l'entrée en vigueur du règlement le 1er août, les obligations prévues par le règlement seront introduites progressivement au cours des trois prochaines années, comme indiqué dans un précédent article de blog. Entre-temps, le processus complexe d'élaboration de normes européennes harmonisées, afin de rendre opérationnelles les obligations de la loi, a commencé. Alors qu'une demande officielle de normalisation a été adoptée par la Commission et approuvée par le CEN-CENELEC en ce qui concerne les normes pour les systèmes d'IA³une demande similaire concernant les normes modèles du GPAI doit encore être rédigée. La date à laquelle une telle demande de normalisation sera émise dépend en grande partie de l'efficacité avec laquelle le code de pratique peut mettre en œuvre les obligations pertinentes en vertu de la loi sur l'IA. Le processus de normalisation est également détaillé dans un précédent billet de blog.

En vertu de la loi sur l'IA, les obligations relatives aux modèles d'IA à usage général, décrites aux articles 50 à 55, sont exécutoires douze mois après l'entrée en vigueur de la loi.⁴ après l'entrée en vigueur de la loi (août 2025). Toutefois, le processus de normalisation européen, qui implique principalement des⁵ le Comité européen de normalisation (CEN) et le Comité européen de normalisation électrotechnique (CENELEC), peut souvent prendre jusqu'à trois ans.⁶. Ce processus peut être encore plus long pour les normes plus techniques, telles que celles du GPAI, et si elles sont rédigées en coordination avec des normes internationales⁷comme le prévoit la loi sur l'AI⁸. La nécessité d'un engagement multipartite et la recherche d'un consensus prennent encore plus de temps. Il est donc peu probable que les obligations des fournisseurs de modèles de l'AMPI soient mises en œuvre sous forme de normes techniques dans un avenir proche.

Code de pratique

L 'article 56 de la loi sur l'IA présente le code de bonnes pratiques comme un mode de conformité provisoire permettant de combler le fossé entre l'entrée en vigueur des obligations des fournisseurs de modèles GPAI (douze mois) et l'adoption des normes (trois ans ou plus). Bien qu'il ne soit pas juridiquement contraignant, le respect des mesures énoncées dans les codes de bonnes pratiques par les fournisseurs de modèles GPAI servira de présomption de conformité aux obligations des fournisseurs de modèles GPAI énoncées aux articles 53 et 55 jusqu'à ce que les normes entrent en vigueur. Ces obligations sont les suivantes⁹:

Fourniture de la documentation technique à l'Office AI et aux autorités nationales compétentes

Fourniture d'informations pertinentes aux fournisseurs en aval qui cherchent à intégrer leur modèle dans leur système d'IA ou de GPAI (par exemple, capacités et limitations).

Résumé des données de formation utilisées

Politiques visant à se conformer à la législation de l'Union en matière de droits d'auteur

Pour les modèles GPAI présentant un risque systémique (modèles formés au-dessus du seuil de 10^25 FLOPS), les obligations supplémentaires sont les suivantes¹⁰:

Évaluation des modèles de l'état de l'art

Évaluation et atténuation des risques

Rapport sur les incidents graves, y compris les mesures correctives

Protection adéquate de la cybersécurité

Les prestataires qui ne se conforment pas au code de pratique devront prouver à la Commission qu'ils se conforment aux obligations susmentionnées par d'autres moyens.¹¹ce qui pourrait s'avérer plus lourd et plus long. Cette situation se retrouve actuellement dans un cas parallèle de la politique numérique de l'UE, X (anciennement Twitter) se retirant du Code de bonne pratique renforcé sur la désinformation¹²qui a récemment été intégré en tant que code de conduite dans le cadre de la corégulation de la loi sur les services numériques¹³.

Le code de pratique est susceptible de constituer la base des normes de la GPAI. Le contenu du code est donc censé refléter fidèlement les intentions de la loi sur l'IA, notamment en ce qui concerne les questions de santé, de sécurité et de droits fondamentaux.

Processus de rédaction

En raison du délai de douze mois prévu pour l'entrée en vigueur des obligations des fournisseurs de modèles GPAI, le code de bonnes pratiques doit être rédigé dans les neuf mois suivant l'entrée en vigueur de la loi sur l'IA (au plus tard le 1er mai 2025). Ce délai vise à donner à la Commission le temps de les approuver ou de les rejeter par le biais d'un acte d'exécution.¹⁴et, dans ce dernier cas, d'élaborer d'autres méthodes de mise en œuvre.

Dans une communication récente, la Commission a décrit la structure du processus de rédaction, y compris un appel à manifestation d'intérêt à l'intention d'un éventail diversifié de parties prenantes pour participer à la plénière du code de bonnes pratiques, l'ouverture d'une consultation multipartite et des "ateliers" parallèles dédiés aux fournisseurs et aux présidents et vice-présidents des groupes de travail de la plénière.

Le tableau suivant fournit de plus amples informations sur chaque opportunité, la date limite, les participants impliqués et les critères d'éligibilité de chaque participant :

Opportunité	Date limite	Participants*	Critères d'éligibilité
Participation au processus de rédaction de la CdP (plénière)	Dimanche 25 août 2024, 18:00 CET	Présidents ou vice-présidents des groupes de travail (universitaires ou autres experts indépendants)	- Expertise démontrée dans les domaines pertinents et - Capacité à remplir le rôle (engagements temporels et expérience opérationnelle) et - Indépendance**.
		Fournisseurs de modèles GPAI	- Opérations existantes dans l'UE ou - Opérations prévues dans l'UE
		- Fournisseurs en aval - Autres organisations sectorielles	- Activités existantes dans l'UE ou - Activités prévues dans l'UE et - Intérêt légitime démontré
		- Milieu universitaire - Experts indépendants - Organisations connexes	Démontrer une expertise pertinente Peut également se porter volontaire pour être président/vice-président d'un groupe de travail.
		Autres organisations de parties prenantes (y compris les organisations de la société civile représentant un groupe de parties prenantes spécifique ou les organisations représentant les détenteurs de droits)	- Présence dans l'UE et - Intérêt légitime démontré et - Représentation démontrée d'un groupe de parties prenantes pertinent
Consultation des parties prenantes	Mardi 18 septembre 2024, 18:00 CET	Toutes les parties prenantes	N/A
Ateliers pour les fournisseurs*	N/A	- Fournisseurs de modèles GPAI - Présidents/vice-présidents des groupes de travail	N/A

* L'annonce de la Commission précise également que les représentants des États membres seront étroitement associés au processus de rédaction de la CdP.

** L'indépendance des présidents ou des vice-présidents se réfère à "l'absence d'intérêt financier ou autre susceptible d'affecter leur indépendance, leur impartialité et leur objectivité".

***L'annonce mentionne également des "ateliers dédiés" pour accompagner les groupes de travail (probablement avec tous les membres du groupe) afin d'explorer en profondeur des sujets spécifiques.

Plénière

La plénière sera divisée en quatre groupes de travail, sur la base des différentes catégories de contenu décrites dans la section du modèle GPAI de la loi sur l'IA mentionnée ci-dessus :

Groupe de travail 1 : Transparence et règles relatives au droit d'auteur
Détailler la documentation destinée aux prestataires en aval et à l'Office AI sur la base des annexes XI et XII de la loi sur l'AI, les politiques à mettre en place pour se conformer à la législation de l'Union sur le droit d'auteur et les droits connexes, et mettre à la disposition du public un résumé du contenu de la formation.
Groupe de travail 2 : Identification des risques et mesures d'évaluation des risques systémiques
Détailler la taxonomie des risques sur la base d'une proposition de l'Office AI et identifier et détailler les mesures techniques pertinentes d'évaluation des risques, y compris l'évaluation des modèles et les tests contradictoires.
Groupe de travail 3 : Mesures d'atténuation des risques systémiques
Identifier et détailler les mesures techniques pertinentes d'atténuation des risques, y compris la protection de la cybersécurité pour le modèle d'IA à usage général et l'infrastructure physique du modèle.
Groupe de travail 4 : Gestion interne des risques et gouvernance pour les fournisseurs de modèles d'IA à usage général
Identifier et détailler les politiques et procédures visant à rendre opérationnelle la gestion des risques dans la gouvernance interne des fournisseurs de modèles d'IA à usage général, y compris le suivi, la documentation et le signalement des incidents graves et des mesures correctives possibles.

Source : Commission européenne Commission européenne

Une fois que les participants éligibles auront été sélectionnés et répartis dans chaque groupe de travail (les participants peuvent faire partie de plusieurs groupes de travail), la plénière se réunira pour un "coup d'envoi", prévu pour septembre 2024. À cette occasion, les détails du processus de rédaction seront précisés et un premier projet de code de bonnes pratiques, basé sur les contributions de la consultation multipartite, sera partagé. Ensuite, trois sessions de rédaction à distance du groupe de travail auront lieu au cours de la période de rédaction de neuf mois.

*Figure 1 : Processus de rédaction de la CdP - Source :* *Commission européenne*

À l'issue des trois cycles de rédaction et à la fin de la période de 9 mois, en avril 2025, la version finale du code de bonnes pratiques sera communiquée lors d'une séance plénière de clôture.

Parallèlement, des ateliers spécialisés réunissant les fournisseurs de modèles GPAI et les présidents/vice-présidents des groupes de travail se tiendront pour informer chaque cycle de rédaction itératif. Ce niveau d'implication supplémentaire est justifié par la Commission par le fait que les fournisseurs de modèles GPAI sont les "principaux destinataires" du code de bonnes pratiques, et donc la partie prenante la plus importante. Pour garantir la transparence de ces ateliers supplémentaires, l'Office AI s'est engagé à communiquer les procès-verbaux des réunions à tous les participants à la plénière tout au long du processus.

*Figure 2 : Calendrier de rédaction de la CdP - Source :* *Commission européenne*

Présidents et vice-présidents

Les rôles du président et des vice-présidents de chaque groupe de travail, ainsi que d'un président coordinateur qui assurera la cohérence des quatre groupes de travail, constitueront un élément essentiel du processus de rédaction du code de bonnes pratiques. Comme indiqué dans le tableau ci-dessus, les présidents peuvent être des universitaires ou d'autres experts indépendants et doivent remplir un ensemble rigoureux de critères, notamment l'expertise technique, le temps disponible, l'expérience opérationnelle et l'indépendance par rapport à des intérêts financiers ou autres conflictuels. Ils seront principalement chargés de rassembler les contributions de toutes les parties prenantes dans un code de bonnes pratiques succinct ; un rôle souvent appelé "le porte-plume".

Le président et les vice-présidents ont d'autres tâches à accomplir :

Synthèse des contributions des autres participants à la plénière
Modération, programmation et facilitation des discussions du groupe de travail
Faciliter la fourniture et la qualité d'une rédaction efficace
Établissement et mise en œuvre de l'ordre du jour
Participer à des ateliers distincts, suivre les progrès et rendre compte régulièrement des activités pertinentes.

Il n'est pas surprenant que, pour des postes aussi importants, le temps à consacrer soit considérable. Même si les présidents et vice-présidents bénéficieront d'un soutien logistique et administratif de la part de contractants externes (probablement un consortium de cabinets de conseil) ainsi que du bureau AI, les fonctions exigeront des engagements hebdomadaires et des périodes de travail intensives tout au long de la période de 9 mois allant de septembre 2024 à avril 2025.

En outre, pour des raisons d'indépendance financière, les postes de président ou de vice-président ne sont pas rémunérés (de même que tous les participants à la plénière). Néanmoins, ces postes sont susceptibles de jouer un rôle extrêmement important dans la production d'un code de bonne pratique final qui soit à la fois techniquement réalisable et protecteur de la santé, de la sécurité et des droits fondamentaux des citoyens de l'UE. Les manifestations d'intérêt doivent être envoyées par l'intermédiaire de l'application pour la plénière avant le dimanche 25 août.

Contenu du code de bonnes pratiques

Bien que la structure générale du processus de rédaction ait été annoncée, le contenu réel du code et la manière dont il peut être structuré restent une question ouverte à laquelle il faudra répondre lors du coup d'envoi de la session plénière. C'est pourquoi la description qui suit s'appuie sur des spéculations issues de processus antérieurs similaires.

Le contenu produit par chaque groupe de travail peut être structuré de manière similaire au code de bonne pratique renforcé sur la désinformation, si les signataires concernés le souhaitent.¹⁵ conviennent d'engagements de haut niveau, contenant des mesures de sous-niveau qui peuvent être détaillées sous forme d'éléments de rapport qualitatif (EQR) ou d'indicateurs de niveau de service (ISL), ou encore d'indicateurs clés de performance (ICP) qui incluraient à la fois les éléments suivants¹⁶. Cette approche, qui intègre un large éventail de sujets dans des groupes de travail spécifiques, qui implique toutes les parties prenantes concernées et qui présente un large éventail de lignes directrices, des plus générales aux plus spécifiques, vise à aboutir à un code de bonnes pratiques complet et exhaustif.

Parmi les autres outils utilisés dans les précédents codes de bonnes pratiques, on peut citer les indicateurs structurels¹⁷ (utilisés parallèlement aux indicateurs clés de performance), qui sont conçus pour atténuer les risques systémiques en mesurant les résultats. Parmi les exemples d'indicateurs structurels, on peut citer la "fréquence et la durée des défaillances ou des pannes du modèle GPAI" ou la "fréquence des cyberattaques impliquant du contenu généré par le GPAI (par exemple, hameçonnage, logiciels malveillants)". Enfin, rien n'a encore été annoncé en ce qui concerne les processus de suivi et de mise à jour après l'adoption du code de bonnes pratiques. Après la première itération, un groupe de travail permanent pourrait être mis en place, composé de signataires du code et d'autres organismes de surveillance, afin d'examiner et d'adapter le code en fonction des évolutions technologiques, sociétales, commerciales et législatives. Cette démarche est conforme à la loi sur l'IA elle-même, qui prescrit à l'office de l'IA de faciliter "l'examen et l'adaptation fréquents des codes de pratique"¹⁸.

Prochaines étapes

Les deux fenêtres importantes de participation des parties prenantes étant désormais ouvertes, à savoir la plénière et la consultation multipartite, toutes les parties intéressées ont maintenant la possibilité de contribuer à ce processus de rédaction extrêmement important. Dans l'intervalle, les présidents et vice-présidents potentiels éligibles doivent également manifester leur intérêt et s'assurer que leurs affaires pratiques sont en ordre.

Notes et références

Le Conseil européen approuve la loi sur l'IA ︎
EUR-Lex ︎
Demande de normalisation pour les systèmes d'intelligence artificielle ︎
Article 113, point b) ︎
L'Institut européen des normes de télécommunications (ETSI) peut également être impliqué. ︎
CEN-CENELEC ︎
ISO ︎
Article 40, paragraphe 3 ︎
Article 53 ︎
Article 55 ︎
Article 53, paragraphe 4, et article 55, paragraphe 2 ︎
Le commissaire chargé du marché intérieur, Thierry Breton, insiste sur la nécessité de poursuivre la mise en conformité de X par d'autres moyens. ︎
Code de bonne pratique renforcé sur la désinformation ︎
Article 56, paragraphe 9 ︎
Entreprises, organisations et associations impliquées dans le processus de rédaction et listées dans une annexe des codes finaux. ︎
Les QRE sont des normes de rapport qualitatives, tandis que les SLI sont des mesures quantifiables. Les QRE et les SLI sont utilisés dans les codes de pratique sur la désinformation. Les ICP sont spécifiquement mentionnés à l'article 56 de la loi sur l'IA. ︎
Renforcement des codes de bonnes pratiques en matière de désinformation ︎
Article 56, paragraphe 8 ︎

Cet article a été publié le 3 juillet 2024

Articles connexes

La loi sur l'IA : Responsabilités de la Commission européenne (AI Office)

22 août 2024

Si vous ne savez pas qui est chargé de mettre en œuvre et d'appliquer la nouvelle loi sur le numérique et quels sont les délais spécifiques, cet article et notre article sur les responsabilités des États membres de l'UE pourraient vous être très utiles. Les tableaux ci-dessous fournissent une liste complète de toutes les...

La loi sur l'IA : Responsabilités des États membres de l'UE

22 août 2024

Si vous ne savez pas qui est chargé de la mise en œuvre et de l'application de l'Acte de l'UE sur l'IA et quels sont les délais spécifiques, cet article et notre article sur les responsabilités de la Commission européenne (Office de l'IA) pourraient vous être très utiles. Les tableaux ci-dessous vous donnent un aperçu...

Pourquoi travailler à l'Office AI de l'UE ?

07 juin 2024

Ce n'est probablement pas pour tout le monde, mais il y a beaucoup d'excellentes raisons de l'envisager, notamment la possibilité d'avoir un impact sur la gouvernance de l'IA dans le monde entier, de tirer parti de l'avantage du premier arrivé, et bien plus encore.

Une gouvernance solide pour la loi sur l'IA : Perspectives et points forts de Novelli et al. (2024)

24 mai 2024

Dans leur récente publication sur une gouvernance européenne solide de l'IA, Claudio Novelli, Philipp Hacker, Jessica Morley, Jarle Trondal et Luciano Floridi poursuivent deux objectifs principaux : expliquer le cadre de gouvernance de la loi sur l'IA et fournir des recommandations...

L'AI Office recrute

22 mars 2024

La Commission européenne recrute des agents contractuels spécialisés dans les technologies de l'IA afin de régir les modèles d'IA les plus pointus. La date limite de candidature est fixée au 27 mars à 12h00 CET (formulaire de candidature). Rôle Il s'agit d'une opportunité de travailler au sein d'une équipe...