Introduction aux codes de pratique de la loi sur l'IA

03 juillet 2024

Mise à jour : 30 octobre 2024. Ce billet sera mis à jour au fur et à mesure que de nouvelles informations seront disponibles.

Ce résumé, qui détaille le code de pratique pour les fournisseurs de modèles d'IA à usage général, a été élaboré par Jimmy Farrell, responsable de la politique européenne en matière d'IA chez Pour Demain, et Afek Shamir, membre de Pour Demain. Pour toute question, veuillez contacter jimmy.farrell@pourdemain.eu.

Alors que la mise en œuvre de la loi sur l'IA est en cours, il est important de comprendre les différents mécanismes d'application prévus par le règlement. L'un des plus importants est constitué par les codes de pratique, qui sont actuellement élaborés par l'Office de l'IA et un large éventail de parties prenantes.

Un résumé rapide des codes de pratique :

  • Objet : les codes de pratique de la loi sur l'IA (introduits à l'article 56) constituent un ensemble de lignes directrices pour le respect de la loi sur l'IA. Ils constitueront un outil essentiel pour garantir le respect des obligations de la loi sur l'IA de l'UE, en particulier pendant la période intermédiaire entre l'entrée en vigueur des obligations des fournisseurs de modèles d'IA à usage général (août 2025) et l'adoption des normes (août 2027 ou plus tard). Bien qu'elles ne soient pas juridiquement contraignantes, le respect de ces lignes directrices servira de "présomption de conformité" aux obligations des fournisseurs de modèles GPAI jusqu'à l'entrée en vigueur de normes plus robustes.
  • Processus : Les codes sont élaborés dans le cadre d'un processus multipartite, impliquant des groupes de travail, des experts universitaires et indépendants, des fournisseurs de modèles d'IA, des membres de la société civile, etc.
  • Contenu : Bien que la structure ait été esquissée, le contenu des codes de pratique n'a pas encore été déterminé. Il contiendra des objectifs, des mesures et des indicateurs clés de performance (ICP).
  • Mise en œuvre : L'Office AI de l'UE évaluera l'adéquation des codes et pourra les approuver par le biais d'un acte d'exécution. Si un code de pratique ne peut être finalisé, la Commission peut fournir des règles communes pour la mise en œuvre.

Introduction

Ce billet de blog explique le concept, le processus et l'importance du code de pratique, un outil de la loi sur l'IA destiné à combler la période intermédiaire entre l'entrée en vigueur des obligations pour les fournisseurs de modèles d'IA à usage général (GPAI) et l'adoption éventuelle de normes européennes harmonisées pour les modèles GPAI. Suite à l'annonce détaillée faite le 30 juillet par les offices européens de l'IA sur le déroulement de ce processus, ce billet résume les informations les plus importantes et les plus récentes. 

Normes et nécessité d'un code de pratique 

Suite à l'approbation finale de la loi sur l'IA par le Conseil européen le 21 mai1la publication de la loi sur l'IA au journal officiel de l'UE le 12 juillet2et l'entrée en vigueur le 1er août, les obligations prévues par le règlement seront introduites progressivement au cours des trois prochaines années, comme indiqué dans notre calendrier de mise en œuvre. Entre-temps, le processus complexe d'élaboration de normes européennes harmonisées, afin de rendre opérationnelles les obligations de la loi, a commencé. Alors qu'une demande officielle de normalisation a été adoptée par la Commission et approuvée par le CEN-CENELEC concernant les normes pour les systèmes d'IA3une demande similaire concernant les normes modèles du GPAI doit encore être rédigée. La date à laquelle une telle demande de normalisation sera émise dépend en grande partie de l'efficacité avec laquelle le code de pratique peut mettre en œuvre les obligations pertinentes en vertu de la loi sur l'IA.

Le processus de normalisation est également détaillé dans un autre article de blog. 

En vertu de la loi sur l'IA, les obligations relatives aux modèles d'IA à usage général, décrites aux articles 50 à55, sont exécutoires douze mois après l'entrée en vigueur de la loi.4 après l'entrée en vigueur de la loi (août 2025). Toutefois, le processus de normalisation européen, qui implique principalement des5 le Comité européen de normalisation (CEN) et le Comité européen de normalisation électrotechnique (CENELEC), peut souvent prendre jusqu'à trois ans.6. Ce processus peut être encore plus long pour les normes plus techniques, telles que celles du GPAI, et si elles sont rédigées en coordination avec des normes internationales7comme le prévoit la loi sur l'AI8. La nécessité d'un engagement multipartite et la recherche d'un consensus prennent encore plus de temps. Il est donc peu probable que les obligations des fournisseurs de modèles de l'AMPI soient mises en œuvre sous forme de normes techniques dans un avenir proche.

Code de pratique

L'article 56 de la loi sur l'IA définit le code de bonnes pratiques comme un mode de conformité provisoire permettant de combler le fossé entre l'entrée en vigueur des obligations des fournisseurs de modèles GPAI (douze mois après l'entrée en vigueur) et l'adoption des normes (trois ans ou plus après l'entrée en vigueur). Bien qu'il ne soit pas juridiquement contraignant, le respect des mesures énoncées dans les codes de bonnes pratiques par les fournisseurs de modèles de l'AMPI servira de présomption de conformité aux obligations des fournisseurs de modèles de l'AMPI énoncées aux articles 53 et 55 jusqu'à ce que les normes entrent en vigueur. Ces obligations sont les suivantes9:

  • Fourniture de la documentation technique à l'Office AI et aux autorités nationales compétentes
  • Fourniture d'informations pertinentes aux fournisseurs en aval qui cherchent à intégrer leur modèle dans leur système d'IA ou de GPAI (par exemple, capacités et limitations).
  • Résumé des données de formation utilisées
  • Politiques visant à se conformer à la législation de l'Union en matière de droits d'auteur

Pour les modèles GPAI présentant un risque systémique (modèles formés au-dessus du seuil de 10^25 FLOPS), les obligations supplémentaires sont les suivantes10:

  • Évaluation des modèles de l'état de l'art
  • Évaluation et atténuation des risques
  • Rapport sur les incidents graves, y compris les mesures correctives
  • Protection adéquate de la cybersécurité

Les prestataires qui ne se conforment pas au code de pratique devront prouver à la Commission qu'ils se conforment aux obligations susmentionnées par d'autres moyens.11ce qui pourrait s'avérer plus lourd et plus long. Cette situation se retrouve actuellement dans un cas parallèle de la politique numérique de l'UE, X (anciennement Twitter) se retirant du Code de bonne pratique renforcé sur la désinformation12qui a récemment été intégré en tant que code de conduite dans le cadre de la corégulation de la loi sur les services numériques13

Le code de pratique est susceptible de constituer la base des normes de la GPAI. Le contenu du code est donc censé refléter fidèlement les intentions de la loi sur l'IA, notamment en ce qui concerne les questions de santé, de sécurité et de droits fondamentaux.

Processus de rédaction

En raison du délai de douze mois prévu pour l'entrée en vigueur des obligations des fournisseurs de modèles GPAI, le code de bonnes pratiques doit être rédigé dans les neuf mois suivant l'entrée en vigueur de la loi sur l'IA (au plus tard le 1er mai 2025). Ce délai doit permettre à la Commission, après examen par l'office et le conseil de l'IA, de14d'approuver ou de rejeter les codes de pratique par le biais d'un acte d'exécution15et, dans ce dernier cas, d'élaborer d'autres méthodes d'application. 

Dans une communication récente, la Commission a décrit la structure du processus de rédaction, y compris un appel à manifestation d'intérêt à l'intention d'un éventail diversifié de parties prenantes pour participer à la plénière du code de bonnes pratiques, l'ouverture d'une consultation multipartite et des "ateliers" parallèles dédiés aux fournisseurs et aux présidents et vice-présidents des groupes de travail de la plénière. 

La Commission a précisé que la structure du processus de rédaction comprend un appel à manifestation d'intérêt à l'intention d'un éventail diversifié de parties prenantes pour participer à la plénière du code de bonnes pratiques, l'ouverture d'une consultation multipartite et des "ateliers" parallèles dédiés aux prestataires et aux présidents et vice-présidents des groupes de travail de la plénière. Cet appel à manifestation d'intérêt et la première consultation multipartite sont maintenant passés, et la Commission informera les parties prenantes concernées de l'état de leur participation dans le courant du mois de septembre 2024.

Le tableau suivant fournit de plus amples informations sur chaque opportunité, la date limite, les participants impliqués et les critères d'éligibilité de chaque participant :

OpportunitéDate limiteParticipants*Critères d'éligibilité
Participation au processus de rédaction de la CdP (plénière)

25 août 2024
(délai dépassé)		Présidents ou vice-présidents des groupes de travail (universitaires ou autres experts indépendants)
- Expertise démontrée dans les domaines pertinents
et
- Capacité à remplir le rôle (engagements temporels et expérience opérationnelle)
et
- Indépendance**.
Fournisseurs de modèles GPAI- Opérations existantes dans l'UE
ou
- Opérations prévues dans l'UE 
- Fournisseurs en aval
- Autres organisations sectorielles		- Activités existantes dans l'UE
ou
- Activités prévues dans l'UE
et
- Intérêt légitime démontré
- Milieu universitaire
- Experts indépendants
- Organisations connexes		Démontrer une expertise pertinente

Peut également se porter volontaire pour être président/vice-président d'un groupe de travail.
Autres organisations de parties prenantes (y compris les organisations de la société civile représentant un groupe de parties prenantes spécifique ou les organisations représentant les détenteurs de droits)- Présence dans l'UE
et
- Intérêt légitime démontré
et
- Représentation démontrée d'un groupe de parties prenantes pertinent
Consultation des parties prenantes18 septembre 2024
(délai dépassé)		Toutes les parties prenantesN/A
Ateliers pour les fournisseurs*N/A- Fournisseurs de modèles GPAI
- Présidents/vice-présidents des groupes de travail		N/A
* L 'annonce de la Commission précise également que les représentants des États membres seront étroitement associés au processus de rédaction de la CdP.
** L'indépendance des présidents ou des vice-présidents se réfère à "l'absence d'intérêt financier ou autre susceptible d'affecter leur indépendance, leur impartialité et leur objectivité".

Plénière

La plénière est divisée en quatre groupes de travail, sur la base des différentes catégories de contenu décrites dans la section du modèle GPAI de la loi sur l'IA mentionnée ci-dessus :

  • Groupe de travail 1 : Transparence et règles relatives au droit d'auteur
    Détailler la documentation destinée aux prestataires en aval et à l'Office AI sur la base des annexes XI et XII de la loi sur l'AI, les politiques à mettre en place pour se conformer à la législation de l'Union sur le droit d'auteur et les droits connexes, et mettre à la disposition du public un résumé du contenu de la formation.
  • Groupe de travail 2 : Identification des risques et mesures d'évaluation des risques systémiques
    Détailler la taxonomie des risques sur la base d'une proposition de l'Office AI et identifier et détailler les mesures techniques pertinentes d'évaluation des risques, y compris l'évaluation des modèles et les tests contradictoires.
  • Groupe de travail 3 : Mesures d'atténuation des risques systémiques
    Identifier et détailler les mesures techniques pertinentes d'atténuation des risques, y compris la protection de la cybersécurité pour le modèle d'IA à usage général et l'infrastructure physique du modèle.
  • Groupe de travail 4 : Gestion interne des risques et gouvernance pour les fournisseurs de modèles d'IA à usage général
    Identifier et détailler les politiques et procédures visant à rendre opérationnelle la gestion des risques dans la gouvernance interne des fournisseurs de modèles d'IA à usage général, y compris le suivi, la documentation et le signalement des incidents graves et des mesures correctives possibles.

Source : Commission européenne Commission européenne

Figure 1 : Processus de rédaction de la CdP - Source : Commission européenne

Après que les participants éligibles ont été sélectionnés et placés dans chaque GT (les participants peuvent faire partie de plusieurs GT, mais seul un représentant de chaque organisation peut être présent), la plénière s'est réunie pour un "coup d'envoi" le 30 septembre 2024. Cette réunion virtuelle, qui a rassemblé près de 1000 participants16a permis d'informer les participants sur la procédure de rédaction et les sujets qui seront discutés dans chaque groupe de travail. La Commission aurait reçu des contributions diverses, l'industrie, les titulaires de droits, la société civile et le monde universitaire étant tous représentés17.

À son tour, une semaine avant la première réunion plénière de novembre, l'avant-projet de code de bonnes pratiques sera communiqué aux parties prenantes participantes. Ce projet sera en grande partie basé sur les quelque 430 contributions que la Commission a reçues dans le cadre de la consultation multipartite.18. Celles-ci ont révélé un large éventail de positions entre les fournisseurs de GPAI et d'autres parties prenantes19. La réception du premier projet lancera un processus itératif de trois sessions de rédaction à distance du groupe de travail, qui se dérouleront au cours de la période d'élaboration de neuf mois. 

Parallèlement, des ateliers spécialisés réunissant les fournisseurs de modèles GPAI et les présidents/vice-présidents des groupes de travail se tiendront pour informer chaque cycle de rédaction itératif. Ce niveau d'implication supplémentaire est justifié par la Commission par le fait que les fournisseurs de modèles GPAI sont les "principaux destinataires" du code de bonnes pratiques, et donc la partie prenante la plus importante. Pour garantir la transparence de ces ateliers supplémentaires, l'Office AI s'est engagé à communiquer les procès-verbaux des réunions à tous les participants à la plénière tout au long du processus. 

Figure 2 : Calendrier de rédaction de la CdP - Source : Commission européenne (Ce document est désormais obsolète, mais ne peut être partagé pour des raisons de confidentialité)

Après les trois cycles de rédaction et les ateliers réservés aux prestataires, et à la fin de la période de 9 mois, en avril 2025, la version finale du code de bonnes pratiques sera communiquée lors d'une séance plénière de clôture. 

Présidents et vice-présidents

Les rôles du président et des vice-présidents de chaque groupe de travail, ainsi que du président coordonnateur qui assurera la cohérence des quatre groupes de travail, constituent un élément essentiel du processus de rédaction du code de bonnes pratiques. Ils seront principalement chargés de rassembler les contributions de toutes les parties prenantes dans un code de bonnes pratiques succinct ; un rôle souvent appelé "le porte-plume". Ces rôles ont été choisis et publiés par la Commission en fonction de leur expertise technique, du temps dont ils disposent, de leur expérience opérationnelle et de leur indépendance vis-à-vis d'intérêts financiers ou autres.

Annuaire des présidents des groupes de travail

La liste des présidents et de leurs antécédents respectifs figure ci-dessous :

Groupe de travail 1 : Transparence et règles relatives au droit d'auteur
NomRôleExpertisePays
Nuria OliverCo-présidenceDirecteur de la Fondation ELLIS AlicanteEspagne
Alexander Peukert Co-présidenceProfesseur de droit civil, de droit commercial et de droit de l'information à l'université Goethe de Francfort-sur-le-MainAllemagne
Rishi BommasaniVice-présidentResponsable de la société au Centre de recherche sur les modèles de Stanford, qui fait partie de l'Institut de Stanford pour l'IA centrée sur l'homme.ÉTATS-UNIS
Céline Castets-RenardVice-présidentProfesseur titulaire à la Faculté de droit civil de l'Université d'Ottawa et titulaire de la chaire de recherche Accountable AI in a Global ContextFrance

Groupe de travail 2 : Identification et évaluation des risques, y compris les évaluations
NomRôleExpertisePays
Matthias Samwald PrésidentProfesseur associé à l'Institut d'intelligence artificielle de l'Université médicale de VienneAutriche
Marta ZiosiVice-présidentChercheur postdoctoral à l'Oxford Martin AI Governance InitiativeItalie
Alexander ZacherlVice-présidentConcepteur de systèmes indépendant. Auparavant, il a travaillé à l'Institut britannique pour la sécurité de l'IA et à DeepMind.Allemagne

Groupe de travail 3 : Atténuation des risques techniques
NomRôleExpertisePays
Yoshua BengioPrésidentProfesseur titulaire à l'Université de Montréal, fondateur et directeur scientifique de Mila - Institut québécois de l'IA (lauréat du prix Turing)Canada
Daniel PriviteraVice-présidentFondateur et directeur exécutif du centre KIRAItalie et Allemagne
Nitarshan RajkumarlVice-présidentCandidat au doctorat en recherche sur l'IA à l'Université de CambridgeCanada

Groupe de travail 4 : Gestion interne des risques et gouvernance des fournisseurs d'IA polyvalents
NomRôleExpertisePays
Marietje SchaakePrésidentMembre du Cyber Policy Center de Stanford et de l'Institut pour l'IA centrée sur l'humainPays-Bas
Markus AnderljungVice-présidentDirecteur de la politique et de la recherche au Centre pour la gouvernance de l'IASuède
Anka ReuellVice-présidentCandidat au doctorat en informatique à l'Université de StanfordAllemagne

Le président et les vice-présidents ont d'autres tâches à accomplir :

  • Synthèse des contributions des autres participants à la plénière 
  • Modération, programmation et facilitation des discussions du groupe de travail
  • Faciliter la fourniture et la qualité d'une rédaction efficace
  • Établissement et mise en œuvre de l'ordre du jour
  • Participer à des ateliers distincts, suivre les progrès et rendre compte régulièrement des activités pertinentes.

Il n'est pas surprenant que, pour des postes aussi importants, le temps à consacrer soit considérable. Bien que les présidents et vice-présidents bénéficient d'un soutien logistique et administratif de la part de contractants externes (un consortium de consultants comprenant le cabinet français Wavestone20) ainsi que par le bureau de l'IA, les fonctions exigeront des engagements hebdomadaires et des périodes de travail intensives tout au long de la période de neuf mois allant de septembre 2024 à avril 2025. 

En outre, pour des raisons d'indépendance financière, les postes de président ou de vice-président ne sont pas rémunérés (de même que tous les participants à la plénière). Néanmoins, ces postes sont susceptibles de jouer un rôle extrêmement important dans l'élaboration d'un code de bonne pratique final qui soit à la fois techniquement réalisable et protecteur de la santé, de la sécurité et des droits fondamentaux des citoyens de l'UE.

Contenu du code de bonnes pratiques

Bien que la structure générale du processus de rédaction ait été annoncée, le contenu réel du code reste une question ouverte à laquelle il faudra répondre au fur et à mesure de l'émergence des projets à venir.

Néanmoins, le code contiendra des objectifs, des mesures et des indicateurs clés de performance (ICP), d'une manière similaire (mais non identique) au code de bonne pratique renforcé sur la désinformation. Cette approche, qui intègre un large éventail de sujets dans des groupes de travail spécifiques, implique toutes les parties prenantes concernées et propose un large éventail de lignes directrices, des plus générales aux plus spécifiques, est censée aboutir à un code de bonnes pratiques complet et exhaustif.

Enfin, rien n'a encore été annoncé en ce qui concerne les processus de suivi et de mise à jour après l'entrée en vigueur du code de bonnes pratiques. En guise de spéculation, un groupe de travail permanent pourrait être mis en place - composé de signataires du code et d'autres organismes de surveillance - afin d'examiner et d'adapter le code en fonction des évolutions technologiques, sociétales, commerciales et législatives. Cela est conforme à la loi sur l'IA elle-même, qui prescrit à l'office de l'IA de faciliter "l'examen et l'adaptation fréquents des codes de pratique"21.

Prochaines étapes

Les deux fenêtres de participation des parties prenantes sont fermées, les présidents et vice-présidents ont été choisis et la plénière de lancement a eu lieu. Au cours des prochains mois, les participants à la plénière et aux ateliers réservés aux fournisseurs entameront un processus itératif en tandem avec l'Office de l'IA afin de parvenir à des lignes directrices mutuellement acceptables pour les modèles et systèmes d'IA à usage général.

Ce billet sera mis à jour au fur et à mesure que de nouvelles informations seront disponibles.

Notes et références

  1. Le Conseil européen approuve la loi sur l'IA
  2. EUR-Lex
  3. Demande de normalisation pour les systèmes d'intelligence artificielle
  4. Article 113, point b)
  5. L'Institut européen des normes de télécommunications (ETSI) peut également être impliqué.
  6. CEN-CENELEC
  7. ISO
  8. Article 40, paragraphe 3
  9. Article 53
  10. Article 55
  11. Article 53, paragraphe 4, et article 55, paragraphe 2
  12. Le commissaire chargé du marché intérieur, Thierry Breton, insiste sur la nécessité de poursuivre la mise en conformité de X par d'autres moyens.
  13. Code de bonne pratique renforcé sur la désinformation
  14. Commission européenne : Intelligence artificielle - Questions et réponses
  15. Article 56, paragraphe 9
  16. Nombre communiqué dans le communiqué de presse de la Commission
  17. Article d' Euractiv sur la diversité des participants
  18. Communiqué de presse de la Commission
  19. Article d'Euractiv mentionnant des désaccords en plénière
  20. Article de MLex sur le rôle des consultants externes
  21. Article 56, paragraphe 8
Cet article a été publié le 3 juillet 2024

Articles connexes

L'AI Office recrute un conseiller scientifique principal pour l'IA

19 novembre 2024

Un poste très important est à pourvoir à l'Office européen de l'IA : Il s'agit du poste de conseiller scientifique principal pour l'IA. La date limite de candidature est fixée au 13 décembre 2024. Selon le conseiller en emploi de l'Union européenne, le salaire de base mensuel pour ce poste (niveau AD13)...

La loi sur l'IA : Responsabilités de la Commission européenne (AI Office)

22 août 2024

Si vous ne savez pas qui est chargé de mettre en œuvre et d'appliquer la nouvelle loi sur le numérique et quels sont les délais spécifiques, cet article et notre article sur les responsabilités des États membres de l'UE pourraient vous être très utiles. Les tableaux ci-dessous fournissent une liste complète de toutes les...

La loi sur l'IA : Responsabilités des États membres de l'UE

22 août 2024

Si vous ne savez pas qui est chargé de la mise en œuvre et de l'application de l'Acte de l'UE sur l'IA et quels sont les délais spécifiques, cet article et notre article sur les responsabilités de la Commission européenne (Office de l'IA) pourraient vous être très utiles. Les tableaux ci-dessous vous donnent un aperçu...

Pourquoi travailler à l'Office AI de l'UE ?

07 juin 2024

Ce n'est probablement pas pour tout le monde, mais il y a beaucoup d'excellentes raisons de l'envisager, notamment la possibilité d'avoir un impact sur la gouvernance de l'IA dans le monde entier, de tirer parti de l'avantage du premier arrivé, et bien plus encore.