- Le troisième projet de code de pratique aide les fournisseurs GPAIM à se conformer à l’AI Act ; juridiquement non contraignant, mais favorisant la conformité.
- Les GPAIM sont de grands modèles utilisables par tous ; les fournisseurs doivent fournir une documentation technique, des résumés de données de formation et des stratégies de droits d’auteur.
- Les GPAISR sont des GPAIM présentant des risques systémiques ; ils sont soumis à des obligations de déclaration, à des évaluations standardisées et à des obligations étendues d’atténuation des risques.
- Le projet définit 18 obligations (2 pour toutes les GPAIM, 16 pour les GPAISR) en matière de transparence, de droits d’auteur ainsi que de sécurité et de sûreté, avec des mesures détaillées.
La Commission de l’UE a publié le troisième projet de code de pratique pour les modèles d’IA à usage général :
- Communiqué avec le Projet de code de pratique
- Code de pratique (PDF consolidé)
- Mini-site avec une préparation du projet
GPAIM sont des modèles d’IA à usage général, ce qui est supposé être le cas lorsqu’un modèle comporte au moins un milliard de paramètres et qu’il a été “entraîné” à l’aide d’une grande quantité de données, avec une autosurveillance complète. Une GPAIM n’est pas un système d’intelligence artificielle (AI), ni un AIS à usage général – une GPAIM ne devient un AIS qu’après l’ajout de composants supplémentaires. Les obligations des fournisseurs de GPAIM sont régies par le Loi sur l’intelligence artificielle (AI) dans un chapitre spécifique. Les fournisseurs doivent notamment fournir une documentation technique de créer le Fournisseurs d’AIS en aval fournir de plus amples informations sur le GPAIM, via une Stratégie de mise en conformité avec le droit d’auteur de l’UE un résumé de la situation Données de formation publier et, le cas échéant, désigner un mandataire.
GPAISR sont des GPAIM présentant des risques systémiques, c’est-à-dire des risques qui, en raison de la “portée” du GPAIM ou de ses conséquences négatives potentielles “pour la santé publique, la sécurité, la sûreté, les droits fondamentaux ou la société dans son ensemble”, peuvent avoir un impact important et se propager tout au long de la chaîne de valeur. Le GPAISR doit être notifié à la Commission et ses fournisseurs ont des obligations supplémentaires – ils doivent évaluer le GPAIM de manière standardisée, évaluer et réduire les risques systémiques au niveau de l’UE, documenter les informations sur les incidents graves et les mesures correctives possibles et, le cas échéant, informer l’AI Office et les autorités nationales compétentes, et assurer une cybersécurité suffisante.
Voir à ce sujet notre FAQ sur l’AI Act.
Dans ce contexte, le Code de pratique un guide pour aider les fournisseurs de GPAIM à se conformer à l’AIA (art. 56 de l’AIA) – pour faire la transition entre les obligations des fournisseurs, qui s’appliqueront à partir d’août 2025, et l’introduction de normes, probablement à partir d’août 2027. Il n’est pas juridiquement contraignant, mais son respect crée une présomption de conformité avec les obligations des fournisseurs de GPAI (considérant 117 : “Providers should be able to rely on codes of practice to demonstrate compliance with the obligations”). Voir ici pour plus d’informations sur le code de pratique.
Le troisième projet devrait être largement mûr, mais il subira sans doute encore quelques ajustements avant son adoption finale en mai 2025, grâce à la phase de feedback qui se déroule jusqu’au 30 mars et à des ateliers.
Le projet prévoit 18 Obligations deux pour tous les fournisseurs d’AMPI et 16 autres pour les fournisseurs de GPAISR. Ces obligations sont réparties en trois domaines principaux :
| Qui est concerné | Engagement | Mesure |
|---|---|---|
| Transparence | ||
| tous les GPAIM | Documentation (I.1) | Mesure I.1.1 : Créer et tenir à jour une documentation sur les modèles afin de satisfaire aux exigences de l’article 53(1)(a) et (b) de l’AI Act. Action I.1.2 : fournir des informations aux fournisseurs en aval et à l’AI Office sur demande, afin de permettre l’intégration des modèles dans les systèmes d’AI et de soutenir les tâches de surveillance des autorités compétentes nationales. Mesure I.1.3 : Garantir la qualité, la sécurité et l’intégrité des informations documentées afin d’assurer la fiabilité des modèles. Modification: introduction d’un formulaire de documentation de modèle convivial pour simplifier la documentation. |
| Droit d’auteur | ||
| tous les GPAIM | Directive sur le droit d’auteur (I.2) | Mesure I.2.1 : élaborer et mettre en œuvre une directive actualisée sur le droit d’auteur afin de garantir le respect des dispositions du droit de l’Union en matière de droit d’auteur et de droits voisins. Mesure I.2.2 : Identification et respect des droits réservés conformément à l’article 4(3) de la directive (UE) 2019/790. Mesure I.2.3 : Mise en œuvre de technologies de reconnaissance et de respect des droits d’auteur. Mesure I.2.4 : Création de processus pour le traitement des violations de droits d’auteur. Mesure I.2.5 : Documentation du respect des droits d’auteur. Mesure I.2.6 : Révision et mise à jour régulières de la directive sur le droit d’auteur. Modification: Exigences plus strictes en matière d’identification et de respect des droits d’auteur. |
| Sécurité et sûreté | ||
| GPAISR | Identification et analyse des risques (II.1) | Mesures visant à identifier en permanence les risques systémiques à l’aide de la taxonomie des risques du CdP. Analyse de la probabilité et de la gravité des risques et catégorisation en niveaux de risque. ModificationTaxonomie et analyse des risques plus détaillées dans le troisième projet. |
| GPAISR | Collecte de preuves et évaluation de modèles (II.2) | Mesures visant à recueillir des preuves de risques systémiques et à évaluer les capacités et les limites des modèles d’IA conformément aux règles du CdP. ModificationExigences plus strictes en matière de collecte de preuves et d’évaluation des modèles. |
| GPAISR | Cycle d’évaluation des risques (II.3) | des mesures d’évaluation continue des risques tout au long du cycle de vie du modèle. Modification: accent mis sur la surveillance continue. |
| GPAISR | Réduction des risques (II.4) | Mesures visant à associer chaque niveau de risque à des mesures de sécurité et de sûreté appropriées. Modification: mesures plus détaillées de réduction des risques. |
| GPAISR | Rapports sur la sécurité et la sûreté (RSS) (II.5) | Mesures pour l’élaboration et la mise à jour régulière de rapports de sécurité et de sûreté afin de documenter les évaluations de risques et de réduction. Modification: Mise à jour régulière des rapports. |
| GPAISR | Gouvernance des risques (II.6) | des mesures visant à attribuer des responsabilités et des ressources pour les risques systémiques au niveau de l’exécutif et du conseil d’administration. Modification: Mettre davantage l’accent sur la gouvernance. |
| GPAISR | Mesures de sécurité visant à empêcher les accès non autorisés (II.7) | Mesures visant à mettre en œuvre des mesures de sécurité correspondant au moins à l’objectif de sécurité RAND SL3. Modification: objectifs de sécurité concrets fixés |
| GPAISR | Rapports sur la sécurité et la sûreté (II.8) | des mesures visant à établir des rapports de sécurité et de sûreté contenant les résultats de l’évaluation et de l’atténuation systémiques des risques. Modification: Rapports plus détaillés. |
| GPAISR | Réduction des risques systémiques par la conception (II.9) | Mesures visant à mettre en œuvre des principes de conception pour minimiser les risques systémiques. Modification: mettre l’accent sur l’équité et la transparence. |
| GPAISR | Suivi et mise à jour continus (II.10) | Mesures de surveillance continue et de mise à jour régulière des modèles. Modification: Mettre davantage l’accent sur la surveillance continue. |
| GPAISR | Coopération avec des partenaires externes (II.11) | des mesures de collaboration avec des partenaires externes pour identifier et réduire les risques systémiques. Modification: importance accrue de la coopération. |
| GPAISR | Rapport d’incidents graves (II.12) | Mesures de surveillance, de documentation et de notification des incidents graves. ModificationMécanismes de notification plus précis. |
| GPAISR | protection contre la non-rétablissement (II.13) | Mesures de protection des collaborateurs qui signalent des risques. Modification: Accent plus fort sur la protection. |
| GPAISR | Notifications (II.14) | Mesures visant à informer régulièrement l’AI Office de la mise en œuvre des engagements. Modification: Rapports réguliers. |
| GPAISR | Documentation (II.15) | Mesures visant à documenter les informations pertinentes conformément à l’AI Act. ModificationExigences de documentation plus détaillées. |
| GPAISR | Transparence publique (II.16) | Mesures de publication d’informations pour la transparence publique sur les risques systémiques. Modification: Transparence accrue. |