L’Europe pourra-t-elle valider son code de bonnes pratiques de l’IA ?

L’intelligence artificielle (IA) doit être mieux contrôlée. Les décideurs politiques et le public sont en effet de plus en plus conscients qu’une approche responsable de l’IA est nécessaire pour minimiser les dommages causés aux personnes, aux entreprises et au public. L’Union européenne a décidé de passer la vitesse supérieure.

Après le lancement de la première législation générale au monde sur l’intelligence artificielle (le Règlement européen sur l’IA¹ ), la Commission européenne a annoncé cet été le lancement d’une consultation sur les modèles d’intelligence artificielle polyvalente dignes de confiance (« GPAI »). Objectif ? l’élaboration du premier code de pratique de l’IA en général et en particulier des modèles de langage tels que ChatGPT et Google Gemini

Le code de bonnes pratiques abordera des domaines essentiels tels que la transparence, les règles relatives aux droits d’auteur, l’identification et l’évaluation des risques, l’atténuation des risques et la gestion interne des risques.

Pour ne pas perdre de temps, en octobre dernier, la Commission européenne a dévoilé la liste des experts indépendants de l’UE, des États-Unis et du Canada chargés de diriger les travaux de rédaction de ce fameux code. Ces treize personnes sont chargées de diriger quatre groupes de travail différents qui devraient aboutir à la version finale du code en avril 2025.

15 millions d’euros d’amende

Une feuille de route trop parfaite ? Les premiers obstacles se sont rapidement présentés. Trois législateurs européens (deux allemands et une Néerlandaise) ont demandé à la Commission de clarifier le processus de nomination des présidents de ces groupes de travail.

Les organisations de la société civile craignaient aussi que les grandes entreprises technologiques n’aient trop d’influence sur le processus.

Autres cailloux dans ce code, l’évaluation des risques. Les poids lourds de l’IA se montrent en effet moins favorables que les autres à des mesures strictes, par exemple des audits par des tiers ou des présentations de sécurité liées à des seuils de risque spécifique.

Or, la loi sur l’IA oblige ces fournisseurs à respecter des exigences en matière de documentation, de coopération et d’atténuation des risques, ainsi que des obligations supplémentaires pour les modèles présentant un risque systémique, telles que des tests contradictoires et des mesures de cybersécurité.

Ainsi, l’article 50, paragraphes 1 et 2, de la loi sur l’IA, précise que les fournisseurs de systèmes d’IA présentant des risques de transparence doivent respecter les exigences suivantes : ils doivent veiller à ce que les systèmes d’IA destinés à interagir directement avec des personnes soient conçus et développés de manière à informer ces personnes qu’elles s’engagent avec un système d’IA.

Ils doivent aussi s’assurer que les résultats de ces systèmes sont marqués dans un format lisible par une machine et qu’ils peuvent être détectés comme étant générés ou manipulés artificiellement.

Comme pour d’autres règlements et directives européens (RGPD, NIS 2…), la loi sur l’IA menace les entreprises d’amendes allant jusqu’à 3 % du chiffre d’affaires annuel mondial ou 15 millions d’euros. Une période de grâce pour les amendes est prévue jusqu’au 2 août 2026.

¹ Entré en vigueur cet été, ce règlement deviendra « applicable » dès le 2 février 2025. Et le 2 août 2026, toutes ses dispositions deviennent applicables.