En bref : L'AI Act, réglementation européenne sur l'intelligence artificielle (IA), est en vigueur depuis février 2024, malgré l'opposition de certaines entreprises. Il impose des obligations concernant les modèles d'IA à usage général, notamment une documentation technique exhaustive, une politique sur le respect des droits d'auteur et un résumé des données d'entraînement. Les entreprises non-conformes risquent des amendes pouvant atteindre 15 millions d'euros ou 3% de leur chiffre d'affaires mondial.
Sommaire
Les premières dispositions de l'AI Act, entré en vigueur en août 2024, concernant les systèmes d'IA à risque inacceptables ont commencé à être appliquées en février dernier. Malgré le moratoire "Stop the Clock" demandé par une cinquantaine d'entreprises de l’EU AI Champions Initiative sur la poursuite du déploiement du règlement, les obligations concernant les modèles d'IA à usage général (GPAI) sont effectives depuis samedi dernier.
L’UE a été pionnière dans l'établissement d'un cadre réglementaire visant à réguler l’IA en fonction de son potentiel à causer des dommages. L'objectif de l'AI Act ou RIA est de garantir que les systèmes et modèles d’IA commercialisés au sein de l’UE soient utilisés de manière éthique, sûre et dans le respect des droits fondamentaux de l’UE.
Les lignes directrices publiées par la Commission européenne le 18 juillet dernier clarifient l’application du champ d'application de la réglementation pour les modèles GPAI. Tout modèle d'IA affichant une capacité de calcul supérieure à 10²³ FLOPs (soit le volume d’opérations en virgule flottante mobilisées lors de l’entraînement), conçu sans finalité précise (prévisions météorologiques, jeux...) mais pouvant être réutilisé dans une large variété de contextes, sera présumé entrer dans cette catégorie.
Les obligations couvrent l’ensemble du cycle de vie des modèles, du pré-entraînement à la mise à disposition, en passant par les mises à jour et les modifications postérieures à la mise sur le marché. Leurs fournisseurs devront fournir:
-
une documentation technique exhaustive, à destination des fournisseurs en aval intégrant le modèle dans leur système IA et, si demandée, au Bureau européen de l'IA (AI Office) ou aux autorités nationales compétentes. ;
-
un résumé des données d'entraînement, selon le modèle standardisé que l'AI Office leur fournira ;
-
mettre en place une politique sur le respect des droits d’auteur, alignée avec le droit européen.
Le principe fondamental du règlement demeure inchangé : plus le risque est élevé, plus les exigences sont fortes. Ces obligations sont renforcées pour les GPAI considérés à risque systémique, des modèles dépassant le seuil de 10²⁵ FLOPs cumulés. Ceux-ci devront faire l’objet de procédures de gestion des risques renforcées, notamment en matière de cybersécurité, de signalement des incidents graves, ou encore de tests continus. Une charge réglementaire estimée difficilement soutenable...
Ce seuil n'est cependant pas rigide : une réévaluation des risques réels peut être demandée par les prestataires.
Fournisseurs, modifications et statut open source
Toute entreprise qui met un modèle sur le marché européen est considérée comme fournisseur, indépendamment du lieu de développement initial. Cependant, un acteur en aval qui a effectué une modification du modèle en utilisant plus d’un tiers de sa puissance de calcul initiale, est lui aussi considéré comme fournisseur et soumis aux obligations.
Les modèles publiés sous licence libre et ouverte bénéficient d’un régime d’exemption partielle. À condition de respecter certains critères (absence de monétisation ou de collecte de données personnelles), ces modèles ne sont pas soumis aux obligations de documentation aux fournisseurs en aval ou aux autorités. Cependant, dès qu’ils franchissent le seuil de risque systémique, aucune exemption ne s’applique.
Code de bonnes pratiques
Malgré leur entrée en vigueur le 2 août dernier, ces règles ne s'appliqueront qu’en août 2026 pour les nouveaux modèles, et en août 2027 pour les modèles existants. Cette progressivité, pilotée par le Bureau de l’IA, vise à laisser aux entreprises le temps de s’adapter.
Pour aider les fournisseurs à s'y conformer, la Commission a publié, quelques jours avant ses directives, un code de bonnes pratiques. Ceux qui choisissent d'y adhérer bénéficieront d’une réduction de leur charge administrative et d’une sécurité juridique accrue par rapport à ceux qui prouveront leur conformité par d'autres moyens. Google, OpenAI, Mistral, Microsoft l'ont déjà fait tandis que Meta a refusé, invoquant des zones d’incertitudes juridiques et une extension injustifiée du cadre réglementaire.
Les amendes prévues pour non-respect de ces obligations pourront atteindre 15 millions d'euros ou 3% du chiffre d'affaires mondial des entreprises. Chacun des États membres de l'UE doit notifier à la Commission les autorités de surveillance qui contrôleront les entreprises. Si aucune n'a été pour l'instant désignée par la France, la Cnil devrait jouer un rôle central, des instances sectorielles comme l'Arcom ou l'Anssi sont également envisagées.