In kort : De AI Act, de Europese regelgeving inzake kunstmatige intelligentie (AI), is sinds februari 2024 van kracht, ondanks de tegenstand van sommige bedrijven. Het legt verplichtingen op voor algemene AI-modellen, waaronder uitgebreide technische documentatie, een beleid voor naleving van auteursrechten en een samenvatting van trainingsgegevens. Bedrijven die niet voldoen, riskeren boetes tot 15 miljoen euro of 3% van hun wereldwijde omzet.
Samenvatting
De eerste bepalingen van de AI Act, die in werking trad in augustus 2024, met betrekking tot onaanvaardbaar risicovolle AI-systemen, zijn afgelopen februari van toepassing geworden. Ondanks het moratorium 'Stop the Clock' dat werd gevraagd door vijftig bedrijven van de EU AI Champions Initiative om de uitrol van de verordening stop te zetten, zijn de verplichtingen voor algemene AI-modellen (GPAI) sinds afgelopen zaterdag van kracht.
De EU was pionier in het opzetten van een regelgevingskader om AI te reguleren op basis van het potentiële schadelijke effect. Het doel van de AI Act of RIA is ervoor te zorgen dat de AI-systemen en -modellen die binnen de EU worden verhandeld, op ethische, veilige wijze en met respect voor de fundamentele rechten van de EU worden gebruikt.
De richtlijnen die door de Europese Commissie op 18 juli zijn gepubliceerd, verduidelijken de toepassing van het toepassingsbereik van de regelgeving voor GPAI-modellen. Elk AI-model dat een rekenkracht vertoont van meer dan 10^23 FLOPs (dat wil zeggen het aantal floating point-operaties dat wordt gebruikt tijdens de training), ontworpen zonder specifieke bestemming (weervoorspellingen, games...) maar kan worden hergebruikt in een breed scala aan contexten, wordt vermoed in deze categorie te vallen.
De verplichtingen bestrijken de gehele levenscyclus van de modellen, van pre-training tot beschikbaarstelling, inclusief updates en wijzigingen na het op de markt brengen. Hun leveranciers moeten het volgende verstrekken:
- een uitgebreide technische documentatie, bedoeld voor downstream leveranciers die het model in hun AI-systeem integreren en, indien gevraagd, aan het Europees AI-bureau (AI Office) of de bevoegde nationale autoriteiten.
- een samenvatting van de trainingsdata, volgens het gestandaardiseerde model dat door het AI Office wordt verstrekt;
- een beleid inzake naleving van auteursrechten, in overeenstemming met de Europese wetgeving.
Het fundamentele principe van de regelgeving blijft ongewijzigd: hoe hoger het risico, hoe strenger de eisen. Deze verplichtingen worden versterkt voor GPAI die als systemisch risico worden beschouwd, modellen die de drempel van 10^25 FLOPs cumuleren overschrijden. Deze moeten worden onderworpen aan versterkte risicobeheerprocedures, met name op het gebied van cybersecurity, het melden van ernstige incidenten, of continue tests. Een regelgevende last die moeilijk houdbaar wordt geacht...
Deze drempel is echter niet rigide: een herbeoordeling van de werkelijke risico's kan door de aanbieders worden gevraagd.
Leveranciers, wijzigingen en open source-status
Elk bedrijf dat een model op de Europese markt brengt, wordt beschouwd als leverancier, ongeacht de oorspronkelijke ontwikkelingslocatie. Een downstream speler die een wijziging aan het model heeft aangebracht met meer dan een derde van zijn oorspronkelijke rekenkracht, wordt ook als leverancier beschouwd en is onderworpen aan de verplichtingen.
Modellen die onder een vrije en open licentie worden gepubliceerd, genieten van een gedeeltelijke vrijstelling. Op voorwaarde dat aan bepaalde criteria wordt voldaan (geen monetisatie of verzameling van persoonlijke gegevens), zijn deze modellen niet onderworpen aan de documentatieverplichtingen aan downstream leveranciers of autoriteiten. Zodra ze echter de drempel van systemisch risico overschrijden, is er geen vrijstelling van toepassing.
Gedragscode
Ondanks hun inwerkingtreding op 2 augustus afgelopen jaar, zullen deze regels pas in augustus 2026 van toepassing zijn op nieuwe modellen, en in augustus 2027 op bestaande modellen. Deze geleidelijke invoering, aangestuurd door het AI-bureau, heeft tot doel bedrijven de tijd te geven om zich aan te passen.
Om leveranciers te helpen zich te conformeren, heeft de Commissie enkele dagen voor haar richtlijnen een gedragscode gepubliceerd. Degenen die ervoor kiezen deze te volgen, zullen profiteren van een vermindering van hun administratieve last en een grotere juridische zekerheid in vergelijking met degenen die hun naleving op andere manieren bewijzen. Google, OpenAI, Mistral, Microsoft hebben dit al gedaan, terwijl Meta heeft geweigerd, daarbij verwijzend naar juridische onzekerheden en een ongerechtvaardigde uitbreiding van het regelgevend kader.
De boetes voor het niet naleven van deze verplichtingen kunnen oplopen tot 15 miljoen euro of 3% van de wereldwijde omzet van de bedrijven. Elk van de lidstaten van de EU moet de Commissie op de hoogte stellen van de toezichthoudende autoriteiten die de bedrijven zullen controleren. Hoewel er vooralsnog geen is aangewezen door Frankrijk, wordt verwacht dat de CNIL een centrale rol zal spelen, terwijl sectorale instanties zoals Arcom of Anssi ook worden overwogen.