Après une troisième ébauche publiée en mars dernier, la Commission européenne a présenté hier la version finale du code de bonnes pratiques pour les modèles d’IA à usage général (GPAI). Ce cadre volontaire vise à aider les fournisseurs à se conformer aux obligations de l'AI Act relatives à ces modèles qui entreront en vigueur le 2 août prochain.
Elaboré par 13 experts indépendants, avec la contribution de plus de 1 000 parties prenantes, (fournisseurs de modèles, PME, universitaires, experts en sécurité de l’IA, titulaires de droits et des organisations de la société civile), le code s'articule autour de trois chapitres.
Les deux premiers chapitres du code, la transparence et le droit d’auteur, s’appliquent à l’ensemble des fournisseurs de modèles d’IA à usage général. En revanche, le troisième volet, consacré à la sûreté et à la sécurité, cible un sous-ensemble restreint de modèles dits avancés, susceptibles de présenter des risques systémiques. Il s’agit notamment de modèles à grande échelle tels que GPT-4 (OpenAI), Gemini (Google DeepMind) ou Claude (Anthropic), dont les capacités générales, la polyvalence et l’évolutivité posent des défis inédits en matière de gouvernance.
Les risques systémiques identifiés incluent, par exemple, la génération de contenus hautement persuasifs ou trompeurs, le contournement de systèmes de cybersécurité, la facilitation d’activités malveillantes, y compris dans le domaine chimique ou biologique, ou encore une perte de contrôle humain sur les effets des réponses générées. Dans ce contexte, le code recommande une série de pratiques de gestion des risques, allant de la robustesse technique à la supervision humaine renforcée.
Le chapitre transparence du code propose un formulaire de documentation simplifié qui permet aux fournisseurs de renseigner facilement les informations nécessaires en un seul endroit. Celui sur le droit d'auteur leur offre des solutions pratiques pour mettre en place une politique conforme au droit d'auteur de l'UE.
La publication prochaine des lignes directrices officielles, prévue avant la date butoir du 2 août, devrait éclaircir le champ d’application du texte et en préciser les modalités : qualification des GPAI, identification de leurs fournisseurs et évaluation du risque systémique.
Si l’entrée en vigueur des règles demeure fixée au début du mois prochain, malgré les appels à un moratoire lancés par une cinquantaine d’acteurs de l’EU AI Champions Initiative, leur application effective ne commencera qu’en août 2026 pour les nouveaux modèles, et en août 2027 pour les modèles existants. Cette progressivité, pilotée par le Bureau de l’IA de la Commission, vise à laisser aux entreprises le temps de s’adapter, tout en affirmant la crédibilité de l’approche européenne.
Bien que non contraignant, ce code s'apparente à un instrument de pré-conformité : les fournisseurs qui y adhèrent bénéficieront d’une réduction de leur charge administrative et d’une sécurité juridique accrue par rapport à ceux qui prouvent leur conformité par d'autres moyens. Mais son adoption volontaire posera nécessairement la question du niveau réel d’adhésion de la part des fournisseurs de GPAI, notamment non-européens, à l’égard d’un cadre qui, tout en se voulant coopératif, introduit une complexité supplémentaire dans la chaîne de responsabilité.
Henna Virkkunen, vice-présidente exécutive chargée de la souveraineté technologique, de la sécurité et de la démocratie, commente :
"La publication aujourd’hui de la version finale du code de bonnes pratiques pour l’IA à usage général marque une étape importante dans la mise à disposition des modèles d’IA les plus avancés en Europe, non seulement innovants, mais aussi sûrs et transparents. Co-conçu par les parties prenantes de l’IA, le code est aligné sur leurs besoins. Par conséquent, j’invite tous les fournisseurs de modèles d’IA à usage général à adhérer au code. Cela leur garantira une voie claire et collaborative vers le respect de la législation de l’UE sur l’IA".