În scurt : AI Act, reglementarea europeană privind inteligența artificială (IA), este în vigoare din februarie 2024, în ciuda opoziției unor companii. Aceasta impune obligații privind modelele de IA cu utilizare generală, inclusiv o documentație tehnică exhaustivă, o politică privind respectarea drepturilor de autor și un rezumat al datelor de antrenament. Companiile care nu se conformează riscă amenzi de până la 15 milioane de euro sau 3% din cifra de afaceri mondială.
Sumar
Primele dispoziții ale AI Act, intrat în vigoare în august 2024, referitoare la sistemele de IA cu risc inacceptabil au început să fie aplicate în februarie trecut. În ciuda moratoriului „Stop the Clock” solicitat de cincizeci de companii din cadrul EU AI Champions Initiative privind continuarea implementării regulamentului, obligațiile referitoare la modelele de IA cu utilizare generală (GPAI) sunt efective de sâmbătă trecută.
UE a fost pionieră în stabilirea unui cadru de reglementare care să reglementeze IA în funcție de potențialul său de a cauza daune. Obiectivul AI Act sau RIA este de a asigura că sistemele și modelele de IA comercializate în cadrul UE sunt utilizate în mod etic, sigur și cu respectarea drepturilor fundamentale ale UE.
Liniile directoare publicate de Comisia Europeană pe 18 iulie trecut clarifică aplicarea domeniului de aplicare a reglementării pentru modelele GPAI. Orice model de IA care afișează o capacitate de calcul superioară la 10²³ FLOPs (adică volumul de operații în virgulă mobilă mobilizate în timpul antrenamentului), conceput fără o finalitate precisă (previziuni meteorologice, jocuri...) dar care poate fi reutilizat într-o varietate largă de contexte, va fi presupus a intra în această categorie.
Obligațiile acoperă întregul ciclu de viață al modelelor, de la pre-antrenament la punerea la dispoziție, trecând prin actualizări și modificări ulterioare punerii pe piață. Furnizorii lor vor trebui să furnizeze:
- o documentație tehnică exhaustivă, destinată furnizorilor din aval care integrează modelul în sistemul lor IA și, dacă este solicitată, la Biroul European de IA (AI Office) sau la autoritățile naționale competente.
- un rezumat al datelor de antrenament, conform modelului standardizat pe care AI Office îl va furniza ;
- implementarea unei politici privind respectarea drepturilor de autor, aliniată cu dreptul european.
Principiul fundamental al regulamentului rămâne neschimbat : cu cât riscul este mai mare, cu atât cerințele sunt mai puternice. Aceste obligații sunt întărite pentru GPAI considerate cu risc sistemic, modele depășind pragul de 10²⁵ FLOPs cumulate. Acestea vor trebui să facă obiectul unor proceduri de gestionare a riscurilor întărite, în special în materie de securitate cibernetică, raportarea incidentelor grave, sau teste continue. O povară de reglementare estimată ca fiind greu de susținut...
Acest prag nu este însă rigid: o reevaluare a riscurilor reale poate fi solicitată de furnizori.
Furnizori, modificări și statut open source
Orice companie care pune un model pe piața europeană este considerată ca furnizor, indiferent de locul de dezvoltare inițial. Totuși, un actor din aval care a efectuat o modificare a modelului folosind mai mult de o treime din puterea de calcul inițială, este și el considerat ca furnizor și supus obligațiilor.
Modelele publicate sub licență liberă și deschisă beneficiază de un regim de excepție parțială. Cu condiția de a respecta anumite criterii (absența monetizării sau a colectării de date personale), aceste modele nu sunt supuse obligațiilor de documentare pentru furnizorii din aval sau autoritățile. Totuși, de îndată ce depășesc pragul de risc sistemic, nici o excepție nu se aplică.
Cod de bune practici
În ciuda intrării lor în vigoare pe 2 august trecut, aceste reguli nu se vor aplica decât în august 2026 pentru modelele noi și în august 2027 pentru modelele existente. Această progresivitate, coordonată de Biroul de IA, vizează să lase companiilor timp să se adapteze.
Pentru a ajuta furnizorii să se conformeze, Comisia a publicat, cu câteva zile înainte de directivele sale, un cod de bune practici. Cei care aleg să adere la el vor beneficia de o reducere a sarcinii lor administrative și de o securitate juridică sporită față de cei care își dovedesc conformitatea prin alte mijloace. Google, OpenAI, Mistral, Microsoft au făcut deja acest lucru în timp ce Meta a refuzat, invocând zone de incertitudini juridice și o extindere nejustificată a cadrului de reglementare.
Amenda prevăzută pentru nerespectarea acestor obligații poate atinge 15 milioane de euro sau 3% din cifra de afaceri mondială a companiilor. Fiecare dintre statele membre ale UE trebuie să notifice Comisiei autoritățile de supraveghere care vor controla companiile. Deși nici una nu a fost desemnată până acum de Franța, Cnil ar trebui să joace un rol central, fiind luate în considerare și instanțe sectoriale precum Arcom sau Anssi.