Suite à la confirmation qu'aucune pause ne sera introduite dans le calendrier de mise en œuvre de la loi sur l’IA (AI Act), le très attendu code de conduite sur l’IA à usage général (GPAI) a enfin été publié.
La Commission européenne a dévoilé ce code, qui constitue un cadre de référence majeur pour les parties prenantes de la chaîne de valeur de l’IA – des grands développeurs de modèles aux start-up et PME – leur permettant de commencer à se conformer aux obligations à venir relatives à l’IAUG dans le cadre de l’AI Act.
En raison de leur large applicabilité et de leur architecture technique, les modèles de GPAI – entraînés sur d’énormes ensembles de données via l’apprentissage auto-supervisé à grande échelle – sous-tendent une grande partie des systèmes d’IA déployés dans l’UE. Leur polyvalence leur permet d’être intégrés dans un vaste éventail d’applications, indépendamment de leur mode de mise sur le marché.
Bien que le Code ait suscité certaines critiques — dont des appels à la simplification de la part, par exemple, du ministre danois du Numérique — il a aussi reçu un solide soutien institutionnel. Les co-présidents du groupe de travail du Parlement européen sur la mise en œuvre et l’application de l’AI Act ont déclaré :
“We now call on all GPAI providers to sign and implement the Code in full. Participation signals a willingness to act in good faith and demonstrates alignment with European values.”
Points clés
Le Code est un instrument volontaire conçu pour aider les fournisseurs de modèles d’IA à usage général (GPAI), actuels ou futurs, opérant dans l’UE, à démontrer leur conformité avec les articles 53 et 55 de la loi sur l’IA (AI Act).
Il est le fruit de plus d’un an de travail collaboratif, intégrant les contributions de plus de 1 000 parties prenantes, 1 600 observations écrites, et plus de 40 ateliers d’experts. Ce code constitue un exemple emblématique de co-création réglementaire inclusive et communautaire à l’ère numérique.
👉 Pour en savoir plus sur l’élaboration du code et son calendrier, cliquez ici.
Même si la participation au Code n’est pas obligatoire, la loi sur l’IA impose néanmoins des obligations contraignantes à tous les fournisseurs d’IAUG, au titre de l’article 53(1) — en particulier en matière de transparence et de respect du droit d’auteur.
De plus, les fournisseurs de modèles GPAI présentant un risque systémique doivent satisfaire à des exigences de sécurité renforcées, conformément à l’article 55(1).
Un guide pratique de conformité, pas une nouvelle obligation légale
Première chose à savoir : le Code de conduite n’équivaut pas à une obligation légale, et encore moins à une série d’obligations supplémentaires à celles prévues par la loi sur l’IA (AI Act).
Le Code de conduite ne crée pas de nouvelles obligations juridiques au-delà de ce qui est déjà exigé par l’AI Act. Il sert plutôt de guide pratique d’application, illustrant comment les fournisseurs de modèles GPAI peuvent se conformer aux obligations existantes.
Conscient du rythme rapide des évolutions en matière d’IA, le Code fera l’objet d’une révision périodique au moins tous les deux ans. L’Office de l’IA devrait proposer un mécanisme de mise à jour simplifié pour garantir que le Code reste aligné sur les pratiques de pointe et les nouveaux risques émergents.
Le Code se divise en trois chapitres :
Transparence
Droit d’auteur
Sécurité et sûreté
Ainsi, lorsque l’on parle du « Code de conduite », il s’agit en réalité de l’ensemble de ces trois volets, chacun portant sur une thématique distincte.
1- Transparence :
Le Code définit des attentes claires en matière de divulgation concernant la manière dont les modèles GPAI sont entraînés, évalués et fonctionnent. Il inclut un formulaire standardisé de documentation du modèle, destiné à garantir un partage d’informations cohérent et complet.
2- Droit d’auteur :
Cette section vise à protéger les droits de propriété intellectuelle, en particulier en précisant comment les données d’entraînement sont collectées et comment les fournisseurs peuvent se conformer au droit d’auteur de l’UE, en respectant les ayants droit tout au long du cycle de vie du modèle.
Ces deux premiers piliers s’appliquent à tous les fournisseurs de modèles GPAI.
3- Sécurité et sûreté :
Destinée aux modèles GPAI avancés présentant des risques systémiques, cette section définit les meilleures pratiques actuelles pour atténuer les risques potentiels, prévenir les usages abusifs et maintenir la confiance du public dans l’IA. Elle propose des mesures techniques et organisationnelles conformes aux normes émergentes.
Fait important : le Code contient des recommandations spécifiques pour les start-up et les PME, en leur proposant des parcours de conformité simplifiés et des indicateurs de performance clés (KPI) proportionnés. Cela garantit que les acteurs de plus petite taille ne soient pas pénalisés de manière excessive, conformément au considérant 109 de l’AI Act.
🚀 Et maintenant ? Quelle est la suite pour le Code de conduite sur les GPAI ?
L’Office de l’IA invite désormais les fournisseurs de modèles GPAI à signer volontairement le Code de conduite.
La liste publique des signataires sera publiée le 1er août 2025, soit la veille de l’entrée en vigueur officielle des obligations spécifiques aux GPAI prévues par l’AI Act, le 2 août 2025.
Le Code de conduite reste soumis à évaluation par les États membres et la Commission européenne, qui pourront l’approuver formellement via une décision d’adéquation (prise par l’Office de l’IA et le Conseil de l’IA).
En parallèle, la Commission européenne publiera en juillet des lignes directrices complémentaires, visant à :
Clarifier le champ d’application des obligations pour les fournisseurs de GPAI ;
Définir ce qu’est un modèle d’IA à usage général (GPAI) ;
Distinguer les modèles GPAI présentant un risque systémique ;
Identifier qui est considéré comme fournisseur GPAI, notamment dans les cas de fine-tuning ou de modification de modèles existants.
Volontaire, mais fortement encouragé
Bien que l’adoption du Code ne soit pas obligatoire, il offre une voie présumée pour démontrer la conformité aux articles 53 et 55 de l’AI Act. La signature du Code peut donc réduire significativement la charge administrative des fournisseurs de modèles GPAI en proposant une approche alignée et standardisée.
Les fournisseurs qui choisissent de ne pas signer devront démontrer d’autres moyens de conformité — ce qui impliquera probablement des exigences probatoires plus strictes et un contrôle réglementaire accru, comme l’a indiqué la Commission. Cela fait du Code la référence de facto pour prouver un comportement responsable et sécurisé sur le marché européen de l’IA, et potentiellement à l’international.
L’application et la supervision seront essentielles
Comme pour tout instrument d’autorégulation, la force du Code résidera dans son application. L’Office de l’IA devra disposer des ressources et de l’expertise nécessaires pour évaluer les différents mécanismes de conformité adoptés par les fournisseurs GPAI — surtout dans un cadre réglementaire axé sur les résultats.
Maintenant que le texte est finalisé, l’Office de l’IA doit se concentrer sur la mise en œuvre opérationnelle du Code, afin de garantir que les engagements soient traduits en pratiques concrètes et applicables
Comme le soulignent les coprésidents mentionnés plus haut : « Nous continuerons à défendre une surveillance rigoureuse et un engagement constructif, afin de garantir que ce code ne devienne pas un « tigre de papier ».
Répartition des trois chapitres
Le principe de proportionnalité s’applique tout au long du Code. Les obligations de conformité sont adaptées en fonction de la taille, des capacités et de la présence sur le marché du fournisseur GPAI. Cela garantit que les start-up et les PME soient soumises à des attentes flexibles et proportionnées, plutôt qu’à des charges disproportionnées.
1. Concernant la Transparence
En matière de transparence, le Code de pratique GPAI concrétise les obligations des fournisseurs prévues à l’article 53(1)(a) et (b) de l’AI Act, ainsi que dans les annexes XI et XII, en introduisant un formulaire standardisé de documentation du modèle. Ce formulaire permet aux fournisseurs GPAI de compiler et de maintenir les informations techniques et de conformité requises de manière cohérente et structurée.
Au minimum, les signataires doivent élaborer une documentation technique complète comprenant des détails sur les processus d’entraînement et de test du modèle, les résultats des évaluations, ainsi que les informations méthodologiques pertinentes.
De plus, ils doivent préparer une documentation destinée aux fournisseurs en aval qui pourraient intégrer le modèle GPAI dans leurs propres systèmes d’IA, afin de leur permettre de comprendre les capacités et les limites du modèle et d’assurer leur propre conformité.
Bien que les grands fournisseurs de GPAI publient déjà parfois des « fiches modèles », leur format et contenu varient souvent selon le secteur ou le cas d’usage. Le formulaire de documentation du modèle vise à :
Standardiser ces divulgations en les regroupant dans un format unique et uniforme ;
Clarifier à la fois le contenu requis ;
Et les destinataires visés : comme l’Office de l’IA, les autorités nationales compétentes, et les développeurs en aval.
Les informations à divulguer obligatoirement comprennent :
Les coordonnées à rendre publiques via un site web ou autre moyen approprié ;
La description des méthodologies d’entraînement, de test et de validation ;
Les types de données utilisées et leur mode de collecte ; la manière dont les données ont été sélectionnées et les méthodologies utilisées pour garantir la qualité et l’intégrité des données ;
Les mesures mises en place pour la détection des biais ;
Et, le cas échéant, les droits obtenus pour les données tierces.
Il est important que les fournisseurs mettent à jour cette documentation régulièrement et conservent les versions antérieures pendant au moins dix ans après la mise sur le marché du modèle.
Le Code précise également que, en cas de réglage fin (fine-tuning) ou de modifications apportées à un modèle GPAI existant, les obligations de transparence doivent s’appliquer de manière proportionnée, en se concentrant uniquement sur les changements introduits par le fournisseur.
Enfin, le Code établit que l’Office de l’IA est le point de contact central pour les autorités nationales compétentes, ce qui signifie que toutes les demandes officielles d’informations doivent être adressées via cet office. Ces demandes doivent clairement indiquer leur fondement juridique et leur objet, et se limiter strictement à ce qui est nécessaire à l’exercice des missions de l’autorité.
2. Concernant le Droit d’Auteur (Copyright)
Politique interne en matière de copyright :
Tous les fournisseurs de GPAI doivent adopter et mettre en œuvre une politique interne de conformité au droit d’auteur conforme à la législation européenne. Cette politique doit :
Définir des procédures internes claires régissant la gestion des contenus protégés par copyright.
Désigner les personnes responsables de la supervision et de la mise en œuvre.
Être accompagnée d’un résumé public afin d’améliorer la transparence et la confiance des parties prenantes.
Usage légal : restrictions clés et mesures de protection
Les fournisseurs ne peuvent reproduire et extraire que des contenus protégés par copyright accessibles légalement, sans contourner aucune mesure technique de protection efficace. Les obligations principales comprennent :
Interdiction d’utiliser des contenus piratés :
Les fournisseurs sont interdits de se fournir auprès de sites web reconnus pour violation de copyright (« piraterie »). Une liste dynamique de ces sites sera maintenue et publiée par les autorités européennes.Mesures de protection pour le web crawling :
Les outils d’exploration doivent être conçus pour accéder uniquement à des contenus légalement accessibles, ce qui implique :Respect des paywalls, restrictions d’accès et mesures techniques de protection,
Respect des opt-outs lisibles par machine (ex. robots.txt) ou protocoles similaires,
Intégration d’outils de détection d’opposition permettant de repérer et répondre aux signaux des titulaires de droits.
Diligence raisonnable pour les jeux de données tiers :
Les fournisseurs doivent vérifier que tout jeu de données externe utilisé pour l’entraînement respecte les règles européennes en matière de copyright.Transparence et mécanismes de recours :
Les fournisseurs doivent :Divulguer les spécifications des crawlers et les mécanismes de détection des objections,
Maintenir un point de contact permettant aux titulaires de droits de demander des informations sur le modèle, et de soumettre plaintes ou préoccupations relatives au copyright,
Éviter de pénaliser les contenus indexés par les moteurs de recherche lorsque des objections légitimes sont soulevées.
Obligations pour les systèmes en aval
Pour les modèles GPAI intégrés dans d’autres systèmes d’IA, qu’ils soient intégrés par le fournisseur ou par un tiers, le Code exige :
La mise en œuvre de mesures pour prévenir les sorties portant atteinte au copyright.
L’inclusion d’interdictions d’utilisation illicite dans les politiques d’utilisation acceptable (Acceptable Use Policies).
Ces obligations s’appliquent quelle que soit l’identité de l’utilisateur final, garantissant une utilisation responsable tout au long de la chaîne d’approvisionnement en IA.
Divulgation des résumés des contenus d’entraînement
Pour permettre aux titulaires de droits d’identifier un usage potentiel de leurs œuvres, les fournisseurs doivent publier des résumés des contenus d’entraînement qui sont :
Assez détaillés pour permettre une évaluation et une action éventuelle (ex. dépôt d’objections ou demande de retrait).
Accessibles publiquement dans le cadre des engagements globaux de transparence du fournisseur.
3. Concernant la sécurité et la sûreté
Le chapitre Sécurité et Sûreté du Code de pratique sur les GPAI s’applique spécifiquement aux modèles d’IA généralistes susceptibles de présenter des risques systémiques, tels que définis à l’article 51 du règlement AI Act.
Définition des risques systémiques selon l’AI Act :
Un risque systémique est associé aux modèles qui possèdent des capacités à fort impact — c’est-à-dire des capacités comparables ou supérieures à celles des modèles GPAI les plus avancés, ayant un impact significatif sur le marché européen. Le règlement présume que les modèles entraînés avec plus de 10^25 opérations en virgule flottante (FLOPs) relèvent de cette catégorie.
Obligations des fournisseurs de ces modèles :
Les fournisseurs doivent mettre en œuvre un cadre complet de sécurité et sûreté, conformément à l’article 55 de l’AI Act, comprenant notamment :
La réalisation d’évaluations approfondies des risques,
Des évaluations régulières du modèle,
La mise en place d’un suivi post-commercialisation,
Le signalement rapide des incidents,
La facilitation des évaluations externes.
Évaluations et gestion des risques :
Les fournisseurs doivent réaliser des évaluations, y compris des tests adverses, pour détecter et atténuer les risques systémiques, en documentant les résultats.
Tout incident grave ou vulnérabilité détectée doit être signalé sans délai à l’AI Office et aux autorités nationales compétentes, avec documentation des mesures correctives prises.
Ils doivent garantir que leurs systèmes disposent de protections en cybersécurité adéquates.
Identification et gestion proactive des risques systémiques :
Les signataires doivent aller au-delà en identifiant activement, quantifiant et gérant les risques systémiques liés à certains modèles GPAI, ce qui inclut :
Estimer quand un modèle peut dépasser les seuils de risque applicables,
Définir ce qui constitue un niveau acceptable de risque systémique,
Maintenir des stratégies claires d’atténuation,
Documenter de manière transparente les contrôles de sécurité existants.
Une fois les risques identifiés, les fournisseurs doivent vérifier s’ils restent dans les limites internes de tolérance au risque, et appliquer des mesures d’atténuation si nécessaire jusqu’à ce que le risque soit ramené à un niveau acceptable.
Suivi et signalement des incidents :
Le Code souligne l’importance du suivi des incidents et de leur signalement, renforçant ainsi l’article 55(1)(c) par une boucle de rétroaction visant à améliorer la sécurité, la responsabilité et le contrôle réglementaire. Il rappelle que les obligations de sécurité ne sont pas statiques et doivent évoluer avec les progrès technologiques.
Approche proactive et évolutive de la gestion des risques :
Le Code encourage des stratégies de gouvernance des risques flexibles et prospectives, capables de s’adapter aux menaces émergentes et aux évolutions des capacités des modèles.
Plus de documentation, moins de responsabilité intégrée ?
Pour l’instant, la gestion des risques est souvent perçue comme un processus parallèle au développement de l’IA, plutôt qu’intégrée au cycle de vie même du modèle. Bien que les outils comme les rapports de modèle et la surveillance post-commercialisation facilitent la conformité, ils peuvent aussi engendrer des procédures lourdes sans forcément améliorer les résultats techniques ou éthiques.
Le véritable changement envisagé par le Code est d’intégrer la conscience des risques au cœur du développement des systèmes d’IA, notamment :
Avant la sélection des données d’entraînement,
Avant la conception des architectures de modèles,
Avant les décisions de déploiement.
Intégrer cet état d’esprit tout au long du cycle de développement — au lieu de s’appuyer uniquement sur la conformité a posteriori — sera essentiel pour construire des systèmes d’IA généralistes plus sûrs, fiables et dignes de confiance.
Envie d’en savoir plus sur comment Dastra peut vous aider à respecter l’AI Act ? Cliquez ici.