Code de bonne conduite / IA / Modele d'IA à usage général / Non classé / SIA / SIAFurnisseur

IA Act : Obligations des Fournisseurs (I)

Posted by

Quelles sont les obligations des fournisseurs des SIA et modèles d’IA à usage général ?

Réglement IA : Compliance fournisseurs de SIA et Modèles d’IA à usage général

Eléonore Scaramozzino, Avocate Constellation Avocat

Le règlement UE 2024/1689 sur l’intelligence artificielle (IA Act) vise à offrir aux utilisateurs la confiance nécessaire pour adopter des solutions fondées sur l’IA, tout en encourageant les entreprises à développer ces solutions. L’IA Act encadre des Système d’IA et des modèles d’IA à usage général, imposant des exigences pour certains systèmes d’IA en fonction du niveau de risque et des obligations pour les fournisseurs de modèles d’IA à usage général (présentant ou non un risque systèmique). Alors que les dispositions de la législation sur l’IA concernant les systèmes d’IA dépendent du contexte d’utilisation du système, les dispositions de la législation sur l’IA concernant les modèles d’IA à usage général s’appliquent au modèle lui-même, quelle que soit son utilisation finale.

L’AI Act ou le règlement UE 2024/1689 sur l’intelligence artificielle définit

Système d’IA (art. 3§1) :

système automatisé, conçu pour fonctionner à différents niveaux d’autonomie et pouvant faire preuve d’une capacité d’adaptation après son déploiement, qui, pour des objectifs explicites ou implicites, déduit, à partir des entrées qu’il reçoit, la manière de générer différentes sorties telles que des prédictions, du contenu, des recommandations ou des décisions qui peuvent influencer les environnements physiques ou virtuels. Autrement dit, un système d’IA peut être utilisé seul ou en tant que composant d’un produit, que le système soit physiquement incorporé dans le produit (intégré) ou qu’il serve de fonctionnalité au produit sans y être intégré (non intégré). Cette distinction facilite la compréhension des différentes catégories et des usages possibles des systèmes d’IA, en particulier dans le contexte réglementaire.

Exemple : ChatGPT est un système d’IA fournissant un chatbot conversationnel pour répondre aux utilisateurs.

Modèle d’IA à usage général (art. 3§63) :

« un modèle d’IA, y compris lorsque ce modèle d’IA est entraîné à l’aide d’un grand nombre de données utilisant l’auto-supervision à grande échelle, qui présente une généralité significative et est capable d’exécuter de manière compétente un large éventail de tâches distinctes, indépendamment de la manière dont le modèle est mis sur le marché, et qui peut être intégré dans une variété de systèmes ou d’applications en aval, à l’exception des modèles d’IA utilisés pour des activités de recherche, de développement ou de prototypage avant leur mise sur le marché; »

Le modèle d’IA à usage général peut être intégré dans une variété de systèmes ou d’applications en aval.

Ces modèles d’IA qui nécessitent une forte capacité de calcul pour leur développement, se voient imposer des obligations de diligence complémentaires et particulières incluant notamment des obligations de transparence, de respect des droits en matière de droits d’auteur et droits voisins et de mise à disposition du public d’un résumé de la base d’apprentissage.

Exemple : GPT (Generative Pre-trained Transformer) est un modèle développé pour le traitement du langage naturel (à l’instar d’OpenAI GPT).

Modèle d’IA à risque systémique

«risque systémique», un risque spécifique aux capacités à fort impact des modèles d’IA à usage général, ayant une incidence significative sur le marché de l’Union en raison de leur portée ou d’effets négatifs réels ou raisonnablement prévisibles sur la santé publique, la sûreté, la sécurité publique, les droits fondamentaux ou la société dans son ensemble, pouvant être propagé à grande échelle tout au long de la chaîne de valeur;

Ces modèles d’IA à risque systémique sont soumis à des obligations particulières d’évaluation et de limitation des risques identifiés.

Champ d’application

Le Règlement sur l’IA s’applique dès lors que les données de sortie générées par l’IA ont vocation à être utilisées sur le territoire de l’UE.

Il ne s’applique pas aux systèmes d’IA :

  • Utilisés à des fins militaires, de défense ou de sécurité nationale ;
    • Utilisés pour la recherche et le développement scientifique, ainsi qu’aux résultats qu’ils génèrent ;
    • Utilisés pour des usages purement personnels et non professionnels ;
    • Publiés dans le cadre de licences libres gratuites et ouvertes, sauf s’ils sont mis sur le marché ou mis en service en tant que systèmes d’IA à haut risque, s’ils relèvent de pratiques interdites au sens de l’article 5 de l’AI Act, ou s’ils sont soumis à des obligations de transparence conformément à l’article 30 de l’AI Act.

Le règlement sur l’IA établit un système de gouvernance à deux niveaux, au sein duquel les autorités nationales sont chargées de superviser et de faire respecter les règles applicables aux systèmes d’IA, tandis que les modèles d’IA à usage général relèvent de la gouvernance de l’UE.

Le règlement sur l’IA s’appliquera deux ans après son entrée en vigueur, le 2 août 2026, à l’exception des dispositions particulières suivantes:

  • les interdictions, définitions et dispositions relatives à la maîtrise de l’IA s’appliqueront six mois après l’entrée en vigueur, le 2 février 2025;
  • les règles de gouvernance et les obligations en matière d’IA à usage général seront applicables 12 mois après l’entrée en vigueur, le 2 août 2025;
  • les obligations applicables aux systèmes d’IA à haut risque qui sont classés comme étant à haut risque parce qu’ils sont intégrés dans des produits réglementés, énumérés à l’annexe II (liste d’actes législatifs d’harmonisation de l’Union), s’appliqueront 36 mois après l’entrée en vigueur, le 2 août 2027.

I-  SIA : obligations en fonction des niveaux de risques

1.1-Niveaux de risque des SIA

Risque inacceptable Article 5 de l’AI Act
Un système d’IA à risque inacceptable est un SIA qui répond à l’un de ces 8 cas
Les SIA à risque inacceptable sont interdits à partir du 2 février 2025 (article 113).
Dès lors, sont interdits la mise sur le marché, la mise en service ou l’utilisation d’un système d’IA
(article 5) : – –
La « mise sur le marché » s’entend comme la première mise à disposition d’un système d’IA
ou d’un modèle d’IA à usage général sur le marché de l’UE (article 3§9) ;
La « mise en service » s’entend comme la fourniture d’un système d’IA en vue d’une première
utilisation directement au déployeur ou pour usage propre dans l’UE, conformément à la
destination du système d’IA (article 3§10). Ainsi, la notion de « mise en service » semble
correspondre à l’entrée en fonction d’un SIA dans un environnement d’usage.*


Risque élevé Article 6 de l’AI Act
Un système d’IA est qualifié de « SIA à risque élevé » dans deux hypothèses distinctes :


Hypothèse 1 : Le système d’IA répond aux 2 critères cumulatifs suivants :


● L’usage comme composant de sécurité : le système d’IA est utilisé comme un composant de
sécurité dans un produit couvert par la réglementation européenne (voir Annexe I) ou est lui
même un produit (par exemple, le système d’IA est en lui-même un dispositif médical.)


● L’évaluation de conformité : le produit contenant le système d’IA fait l’objet d’une
évaluation de conformité obligatoire effectuée par un organisme tiers avant d’être mis sur le
marché ou en service.
Exemple : Les logiciels médicaux fondés sur l’IA ou les systèmes d’IA utilisés pour le
recrutement doivent respecter des exigences strictes, notamment concernant les systèmes
d’atténuation des risques, la qualité des ensembles de données utilisés, la fourniture
d’informations claires à l’utilisateur, le contrôle humain, etc.

Hypothèse 2 : Le système d’IA relève des domaines listés à l’Annexe III :

  • Biométrie : systèmes d’identification biométrique à distance ; systèmes d’IA destinés à être
    utilisés à des fins de catégorisation biométrique, en fonction d’attributs ou de caractéristiques
    sensibles ou protégés, sur la base de la déduction de ces attributs ou de ces caractéristiques ;
    systèmes d’IA destinés à être utilisés pour la reconnaissance des émotions.
  • Infrastructures critiques : systèmes d’IA destinés à être utilisés en tant que composants de
    sécurité dans la gestion et l’exploitation d’infrastructures numériques critiques, du trafic
    routier ou de la fourniture d’eau, de gaz, de chauffage ou d’électricité.
  • Éducation et formation professionnelle : systèmes d’IA destinés à déterminer l’accès,
    l’admission ou l’affectation de personnes physiques à des établissements d’enseignement ou
    de formation professionnelle ; systèmes d’IA destinés à évaluer les acquis d’apprentissage ;
    systèmes d’IA destinés à évaluer le niveau d’enseignement approprié qu’une personne recevra
    ou sera en mesure d’atteindre ; systèmes d’IA destinés à surveiller et détecter des
    comportements interdits chez les étudiants lors d’examens.
  • Emploi, gestion de la main-d’œuvre et accès à l’emploi indépendant : systèmes d’IA destinés
    à être utilisés pour le recrutement ou la sélection de personnes physiques ; systèmes d’IA
    destinés à prendre des décisions influant sur les conditions des relations professionnelles, la
    promotion ou le licenciement dans le cadre de relations professionnelles contractuelles, pour
    attribuer des tâches sur la base du comportement individuel, de traits de personnalité ou de
    caractéristiques personnelles ou pour suivre et évaluer les performances et le comportement
    de personnes dans le cadre de telles relations.
  • Accès et droit aux services privés essentiels et aux services publics et prestations sociales
    essentiels : systèmes d’IA destinés à évaluer l’éligibilité des personnes physiques aux
    prestations et services d’aide sociale essentiels, y compris les services de soin santé ; systèmes
    d’IA destinés à évaluer la solvabilité des personnes physiques ou à établir leur note de crédit ;
    systèmes d’IA destinés à évaluer des risques et la tarification en ce qui concerne les personnes
    physiques en matière d’assurance-vie et d’assurance maladie ; systèmes d’IA destinés à
    évaluer et à hiérarchiser les appels d’urgence émanant de personnes physiques ou à établir
    des priorités dans l’envoi des services de santé d’urgence.
  • Répression, dans la mesure où leur utilisation est autorisée par le droit de l’UE ou le droit
    national applicable : systèmes d’IA destinés à évaluer le risque qu’une personne physique
    devienne la victime d’infractions pénales ; systèmes d’IA destinés à être utilisés comme
    polygraphes et outils similaires ; systèmes d’IA destinés à évaluer la fiabilité des preuves au
    cours d’enquêtes ou de poursuites pénales ; systèmes d’IA destinés à évaluer le risque qu’une
    personne physique commette une infraction ou récidive, ou destinés à évaluer les traits de
    personnalité, les caractéristiques ou les antécédents judiciaires de personnes physiques ou de
    groupes ; systèmes d’IA destinés à effectuer du profilage des personnes physiques dans le
    cadre de la détection d’infractions pénales, d’enquêtes ou de poursuites en la matière, ou de
    l’exécution de sanctions pénales.
  • Migration, asile et gestion des contrôles aux frontières, dans la mesure où leur utilisation
    est autorisée par le droit de l’UE ou le droit national applicable : systèmes d’IA destinés à être
    utilisés comme polygraphes et outils similaires ; systèmes d’IA destinés à évaluer un risque
    posé par une personne physique qui a l’intention d’entrer ou qui est entrée sur le territoire
    d’un État membre ; systèmes d’IA destinés à aider les autorités compétentes à procéder à
    l’examen des demandes d’asile, de visas et de titres de séjour et à l’examen des plaintes
    connexes ; systèmes d’IA destinés à être utilisés dans le cadre de la migration, de l’asile et de
    la gestion des contrôles aux frontières, aux fins de la détection, de la reconnaissance ou de
    l’identification des personnes physiques.
  • Administration de la justice et processus démocratiques : systèmes d’IA destinés à aider à
    rechercher et à interpréter les faits ou la loi, et à appliquer la loi à un ensemble concret de
    faits, ou destinés à être utilisés de manière similaire lors du règlement extrajudiciaire d’un
    litige ; systèmes d’IA destinés à influencer le résultat d’une élection ou d’un référendum ou le
    comportement électoral de personnes physiques dans l’exercice de leur vote lors d’élections
    ou de référendums.


  • Une exception à la classification élevée sous conditions (article 6§3):
    Un système d’IA de l’Annexe III peut être exempté de la classification à « risque élevé » s’il ne présente
    pas de risques significatifs pour la santé, la sécurité ou les droits fondamentaux des personnes
    physiques.
    Cette exception ne s’applique que lorsque l’une des conditions suivantes est remplie :

Risque spécifique en matière de transparence Article 50 de l’AI Act

Un système d’IA sera soumis à des obligations de transparence lorsqu’il interagit directement avec des personnes physiques.

Exemple : Les chatbots.

Ces SIA sont soumis à des obligations de transparence, selon le rôle de l’organisation dans la chaîne de valeur.

Risque minime

Les systèmes d’IA qui ne répondent à aucune des conditions évoquées précédemment sont des SIA à risque minime pour lesquels il n’existe aucune obligation. Les entreprises et organisations concernées pourront adopter volontairement des codes de bonnes pratiques.

Exemple : Les filtres anti-spam et les jeux vidéo fondés sur l’IA.

1.2-Acteurs du SIA

l’AI Act impose des obligations différentes à chaque catégorie d’acteur qu’il réglemente, selon sa place dans la chaîne de valeur (fournisseur, déployeur, mandataire, importateur ou distributeur de système d’IA), et selon les types ou niveaux de risques qui peuvent être générés par le système d’IA concerné.

Fournisseur article 3.3une personne physique ou morale, une autorité publique, une agence ou tout autre organisme qui développe ou fait développer un système d’IA ou un modèle d’IA à usage général et le met sur le marché ou met le système d’IA en service sous son propre nom ou sa propre marque, à titre onéreux ou gratuit;
Déployeur article 4une personne physique ou morale, une autorité publique, une agence ou un autre organisme utilisant sous sa propre autorité un système d’IA sauf lorsque ce système est utilisé dans le cadre d’une activité personnelle à caractère non professionnel;
Mandataire article 3.5une personne physique ou morale située ou établie dans l’Union ayant reçu et accepté un mandat écrit d’un fournisseur de système d’IA ou de modèle d’IA à usage général pour s’acquitter en son nom des obligations et des procédures établies par le présent règlement;
Importateur article 3.6une personne physique ou morale située ou établie dans l’Union qui met sur le marché un système d’IA qui porte le nom ou la marque d’une personne physique ou morale établie dans un pays tiers;
Distributeur article 3.7une personne physique ou morale faisant partie de la chaîne d’approvisionnement, autre que le fournisseur ou l’importateur, qui met un système d’IA à disposition sur le marché de l’Union

1.3- Obligations des fournisseurs de SIA à haut risque

Exigences des SIA à haut risque pour une utilisation responsable et éthique des SIA

Les exigences sont conçues pour garantir que les systèmes d’IA à haut risque sont développés et utilisés de manière responsable et éthique, en mettant l’accent sur

Obligations des fournisseurs de SIA à haut risque

L’IA Act impose aux entreprises de nouvelles obligations plus ou moins contraignantes en matière de conformité. Celles-ci ont majoritairement trait aux SIA à risque élevé. Avant d’être commercialisable, les fournisseurs de ce type de systèmes d’IA devront :  

veillent à ce que leurs systèmes d’IA à haut risque soient conformes aux exigences énoncées au chapitre III  section 2;  Exigences de conformité  à la réglementation de l’UE  (art 8) Gestion des risques (art 9) : système de gestion des risques Données et gouvernance des données (art 10)Documentation technique (art 11) Enregistrement (art 12)Transparence et fourniture d’informations aux déployeurs (art 13)Contrôle humain (art 14)Exactitude, robustesse et cybersécurité (art 15) ces exigences seront détaillées dans des présentations spécifiques

Indiquent sur le système d’IA à haut risque ou, lorsque cela n’est pas possible, sur son emballage ou dans la documentation l’accompagnant, selon le cas, des informations de contact

Informations de contact nom, raison sociale ou marque déposée, l’adresse à laquelle ils peuvent être contactés;  


mettent en place un système de gestion de la qualité conforme à l’article 17;Article 17 : Mise en place d’un système de gestion de la qualité     Le fournisseur doit mettre en place un système de gestion de la qualité, documenté de manière méthodique et ordonnée sous forme de politiques, de procédures et d’instructions écrites, incluant :   Une stratégie de respect de la réglementation ; Des techniques, procédures et actions systématiques destinées à la conception des SIA à risque élevé ainsi qu’au contrôle et à l’assurance de leur qualité ; Des techniques, procédures et actions systématiques destinées au développement des SIA à risque élevé ainsi qu’au contrôle et à l’assurance de leur qualité ; Des procédures d’examen, de test et de validation à exécuter avant, pendant et après le déploiement du SIA à risque élevé, ainsi que la fréquence à laquelle elles doivent être réalisées Des spécifications techniques ; Les systèmes et procédures de gestion des données ; Le système de gestion des risques ; L’élaboration, la mise en œuvre et le fonctionnement d’un système de surveillance après commercialisation ; Les procédures relatives au signalement d’un incident grave ;La gestion des communications avec les diverses autorités ; Les systèmes et procédures de conservation de tous les documents et informations pertinents La gestion des ressources ; Un cadre de responsabilisation définissant les responsabilités de l’encadrement et des autres membres du personnel  

assurent la conservation de la documentation visée à l’article 18Article 18 : Garantie de la conservation de la documentation   Doivent être conservées pendant 10 ans après la mise sur le marché (MsM) ou la mise en service (MeS) :
•       La documentation technique visée à l’article 11 ; •       La documentation sur le système de gestion de la qualité visée à l’article 17 ;
•      La documentation sur les modifications approuvées par les organismes notifiés ;
•     Les décisions et autres documents émis par les organismes notifiés ;
•     La déclaration UE de conformité visée à l’article 47.    
veillent à ce que le système d’IA à haut risque soit soumis à la procédure d’évaluation de la conformité applicable visée à l’article 43, avant sa mise sur le marché ou sa mise en service;  

Article 43 : Procédure d’évaluation de la conformité avant sa mise sur le marché ou sa mise en service Existence de diverses évaluations de la conformité qui tiennent compte des caractéristiques des SIA à risque élevé :
•    Pour les SIA énumérés à l’annexe III point 1 ; •      Pour les SIA visés à l’annexe III points 2 à 8 ;
•      Pour les SIA dont la liste figure à l’annexe I, section A   Une nouvelle procédure d’évaluation de la conformité doit être réalisée lorsque SIA fait l’objet de modifications substantielles.  
g) élaborent une déclaration UE de conformité conformément à l’article 47;Article 47 : Déclaration UE de conformité

  Cette déclaration doit : Être écrite, lisible par machine, signée à la main ou électroniquement et être tenue à la disposition des autorités nationales compétentes pendant une durée de dix ans à partir du moment où le SIA à risque élevé a été mis sur le marché ou mis en service ; Attester que l’IA à risque élevé satisfait aux exigences ; Contenir les informations visées à l’annexe V : Nom et type du SIA et toute référence supplémentaire non ambiguë permettant l’identification et la traçabilité du système d’IA ; Le nom et l’adresse du fournisseur ou, le cas échéant, de son mandataire ;   Une déclaration certifiant que la déclaration UE de conformité est établie sous la seule responsabilité du prestataire ;   Une déclaration attestant que le SIA est conforme au règlement et, le cas échéant, à toute autre législation pertinente de l’Union qui prévoit l’établissement de la déclaration UE de conformité visée à l’article 47 ;   Lorsqu’un SIA implique le traitement de données à caractère personnel, une déclaration selon laquelle ce système d’IA est conforme aux règlements (UE) 2016/679 et (UE) 2018/1725 et à la directive (UE) 2016/680 ; Références à toute norme harmonisée pertinente utilisée ou à toute autre spécification commune par rapport à laquelle la conformité est déclarée ; Le cas échéant, le nom et le numéro d’identification de l’organisme notifié, une description de la procédure d’évaluation de la conformité suivie et la référence du certificat délivré ; Le lieu et la date de délivrance de la déclaration, le nom et la fonction de la personne qui l’a signée, ainsi que l’indication de la personne pour laquelle ou au nom de laquelle elle a signé et une signature.  


 
h) apposent le marquage CE sur le système d’IA à haut risque ou, lorsque cela n’est pas possible, sur son emballage ou dans la documentation l’accompagnant, selon le cas, afin d’indiquer la conformité avec le présent règlement, conformément à l’article 48;  


Article 48 : Marquage CE   Le marquage CE implique le respect de plusieurs exigences : Il est apposé de façon visible, lisible et indélébile sur le SIA à risque élevé, ou sur son emballage et sur les documents d’accompagnement ; le cas échéant, il est suivi du numéro d’identification de l’organisme notifié responsable des procédures d’évaluation de la conformité prévues à l’article 43, ce numéro est également indiqué dans tous les documents publicitaires mentionnant que le SIA à risque élevé est conforme aux exigences applicables au marquage CE.  



 
i) respectent les obligations en matière d’enregistrement prévues à l’article 49, paragraphe 1;  Article 49 § 1 Obligations en matière d’enregistrement   Avant de mettre sur le marché ou de mettre en service un SIA à risque élevé tel qu’énuméré à l’Annexe III (sauf concernant les SIA visés à l’Annexe III, point 2), le fournisseur ou le mandataire s’enregistre dans la base de données de l’UE et y enregistre son système.  




j) prennent les mesures correctives nécessaires et fournissent les informations requises à l’article 20;  Article 20 : Mesures correctives et devoir d’information Les fournisseurs de SIA à risque élevé qui considèrent ou ont des raisons de considérer qu’un SIA à risque élevé qu’ils ont mis sur le marché ou mis en service n’est pas conforme, prennent des mesures correctives nécessaires pour le mettre en conformité, le retirer, le désactiver ou le rappeler ; informent les distributeurs du SIA à risque élevé concerné et, le cas échéant, les déployeurs, les mandataires et les importateurs en conséquence.   Rôle du fournisseur : Lorsque le SIA présente un risque (art. 79§1, c’est-à-dire – au sens de l’article 3, point 19) du règlement (UE) 2019/1020 – un SIA présentant des risques pour la santé ou la sécurité, ou pour les droits fondamentaux, des personnes) ;que le fournisseur prend conscience de ce risque, il recherche les causes, en collaboration avec le déployeur à l’origine du signalement et, le cas échéant, informe les autorités de surveillance du marché, compétentes pour le SIA à risque élevé etle cas échéant, l’organisme notifié qui a délivré un certificat pour ce SIA à risque élevé.    



k) à la demande motivée d’une autorité nationale compétente, prouvent la conformité du système d’IA à haut risque avec les exigences énoncées à la section 2;  Article 21 Preuve de la conformité du SIA à la demande des autorités   Coopération avec les autorités compétentes : À la demande motivée d’une autorité compétente, les fournisseurs de SIA à risque élevé doivent fournir toutes les informations et tous les documents nécessaires pour démontrer la conformité du SIA à risque élevé dans une langue aisément compréhensible par l’autorité ; À la demande motivée d’une autorité compétente, les fournisseurs accordent l’accès aux journaux générés automatiquement par le SIA à risque élevé



l) veillent à ce que le système d’IA à haut risque soit conforme aux exigences en matière d’accessibilitéconformité aux directives (UE) 2016/2102 et (UE) 2019/882.  





Fournisseurs établis dans un Etat tiers  Fournisseurs établis dans un Etat tiers  

Désignation d’un mandataire par mandat écrit Article 22 § 1 Avant de mettre leurs SIA à disposition sur le marché de l’UE, les fournisseurs établis dans des pays tiers doivent désigner, par mandat écrit, un mandataire établi dans l’UE.  

Autorisation attribuée à son mandataire Le fournisseur doit autoriser son mandataire à exécuter les tâches indiquées dans le mandat que lui a confié le fournisseur.  

1.4- Obligations des fournisseurs des SIA qui ne sont pas à haut risque 

Le Règlement IA comprend également des exigences pour les systèmes d’IA qui ne sont pas à haut risque, mais ces exigences sont moins strictes que celles pour les systèmes d’IA à haut risque. Le règlement établit des exigences générales pour tous les systèmes d’IA, y compris la nécessité de la transparence, de la surveillance humaine et d’exactitude.

Article 50 : obligations de transparence

Ces obligations se traduisent par diverses injonctions :

Destination des SIAobligations des fournisseurs  
Pour les SIA destinés à interagir directement avec des personnes physiques :les fournisseurs veillent à ce que ces SIA soient conçus et développés de manière à ce que les personnes physiques concernées soient informées qu’elles interagissent avec un système d’IA, sauf si cela ressort clairement compte tenu des circonstances et du contexte d’utilisation  
Pour les SIA destinés à générer du contenu de synthèse (audio, image, vidéo ou texte) :  les fournisseurs veillent à ce que les sorties des systèmes d’IA soient marquées dans un format lisible par machine et identifiables comme ayant été générées ou manipulées par une IA ;
Pour les SIA destinés à générer du contenu :les fournisseurs veillent à ce que leurs solutions techniques soient aussi efficaces, interopérables, solides et fiables que la technologie le permet (sauf si le SIA n’a qu’une fonction d’assistance pour la mise en forme ou ne modifie pas de manière substantielle les données d’entrée fournies par le déployeur ou leur sémantique, ou lorsque leur utilisation est autorisée par la loi à des fins de prévention ou de détection des infractions pénales, d’enquêtes ou de poursuites en la matière)  

Les informations qui doivent être indiquées doivent l’être de manière claire et reconnaissable au plus tard au moment de la première interaction ou de la première exposition ;

• Des codes de bonnes pratiques relatifs à la détection et à l’étiquetage des contenus générés ou manipulés par une IA pourront être adoptés.

1.5- Obligation des fournisseurs de SIA à risque minime

L’AI Act établit plusieurs outils pour encadrer le développement et l’utilisation des SIA.

Parmi les outils prévus,

  • les codes de bonnes pratiques
  • les codes de conduite (pour l’application volontaire de certaines exigences), Ce code de conduite comprend des principes pour le développement et l’utilisation éthiques de l’IA, notamment le respect des droits fondamentaux, la non-discrimination et la transparence.

● Les codes de bonnes pratiques (art. 56) :

Le Bureau de l’IA et le Comité IA s’efforcent de veiller à ce que les codes de bonne pratique couvrent au moins les obligations prévues aux articles 53 et 55, y compris les questions suivantes:

  • Les moyens de s’assurer que les informations (visées à l’article 53§1, points a) et b)) sont mises à jour à la lumière des évolutions du marché et des technologies ;
  • Le niveau approprié de détail pour le résumé du contenu utilisé pour l’entraînement ; L’identification du type et de la nature des risques systémiques au niveau de l’UE, y compris leurs origines, le cas échéant ;
  • Les mesures, procédures et modalités d’évaluation et de gestion des risques systémiques au niveau de l’UE, y compris la documentation y afférent, qui sont proportionnées aux risques, prennent en considération leur gravité et leur probabilité, et tiennent compte des défis spécifiques que pose la maîtrise de ces risques à la lumière des différentes façons dont ils peuvent apparaître ou se concrétiser tout au long de la chaîne de valeur de l’IA.
  • À noter que la Commission peut, au moyen d’un acte d’exécution, approuver un code de bonnes pratiques et lui conférer une validité générale au sein de l’UE.
  • Les codes de bonnes pratiques seront prêts au plus tard le 2 mai 2025. Si, à la date du 2 août 2025, un code de bonnes pratiques n’a pas pu être mis au point, ou si le Bureau de l’IA estime qu’il n’est pas approprié, la Commission peut prévoir, au moyen d’actes d’exécution, des règles communes pour la mise en œuvre des obligations prévues aux articles 53 et 55.

•        Les codes de conduite pour application volontaire de certaines exigences :

Le Bureau de l’IA et les États membres encouragent et facilitent l’élaboration de codes de conduite pour favoriser leur application volontaire aux SIA autres que les SIA à risque élevé, en tenant compte des solutions techniques disponibles et des bonnes pratiques du secteur.

Le Bureau de l’IA et les États membres facilitent l’élaboration de codes de conduite concernant l’application volontaire, y compris par les déployeurs, d’exigences spécifiques à tous les SIA, sur la base d’objectifs clairs et d’indicateurs de performance clés permettant de mesurer la réalisation de ces objectifs, y compris des éléments tels que mais sans s’y limiter :

  • Les éléments applicables prévus dans les lignes directrices de l’UE en matière d’éthique pour une IA digne de confiance ;
    • L’évaluation et la réduction au minimum de l’incidence des SIA sur la durabilité environnementale, y compris en ce qui concerne la programmation économe en énergie et les techniques pour la conception, l’entraînement et l’utilisation efficace de l’IA ;
    • La promotion de la maîtrise de l’IA, en particulier chez les personnes chargées du développement, du fonctionnement et de l’utilisation de l’IA ;
    • La facilitation d’une conception inclusive et diversifiée des systèmes d’IA, notamment par la mise en place d’équipes de développement inclusives et diversifiées et la promotion de la participation des parties prenantes à ce processus ;
  • L’évaluation et la prévention de l’impact négatif des systèmes d’IA sur les personnes ou groupes de personnes vulnérables, y compris en ce qui concerne l’accessibilité pour les personnes handicapées, ainsi que sur l’égalité de genre. Ces codes de bonne conduite peuvent être élaborés par des fournisseurs ou déployeurs individuels de SIA ou par des organisations les représentant ou par les deux, y compris avec la participation de toute partie intéressée, et de leurs organisations représentatives, y compris des organisations de la société civile et du monde universitaire. Les codes de bonne conduite peuvent porter sur un ou plusieurs SIA, compte tenu de la destination des systèmes concernés.
  • Au plus tard le 2 août 2028 et tous les trois ans par la suite, la Commission évalue l’impact et l’efficacité des codes de conduite volontaires destinés à favoriser l’application des exigences énoncées au chapitre III, section 2, pour les systèmes d’IA autres que les systèmes d’IA à risque élevé, et fixe éventuellement d’autres exigences supplémentaires pour les systèmes d’IA autres que les systèmes d’IA à risque élevé, y compris en ce qui concerne la durabilité environnementale (article 112§7)

II- Modèle d’IA à usage général : obligations des fournisseurs de modèle d’IA à usage général et modèle d’IA à usage général présentant un risque systémique

2.1-Classification de modèles d’IA à usage général en tant que modèles d’IA à usage général présentant un risque systémique (art 51)

Le règlement sur l’IA définit un modèle d’IA à usage général comme

  • «un modèle d’IA, y compris lorsqu’un tel modèle d’IA est formé avec une grande quantité de données en utilisant l’autosurveillance à grande échelle, qui présente une généralité significative et est capable d’exécuter avec compétence un large éventail de tâches distinctes, quelle que soit la manière dont le modèle est mis sur le marché, et qui peut être intégré dans une variété de systèmes ou d’applications en aval» (article 3, paragraphe 63).

Selon le considérant 98 du règlement sur l’IA,

  • «alors que la généralité d’un modèle pourrait, entre autres, également être déterminée par un certain nombre de paramètres, les modèles comportant au moins un milliard de paramètres et formés avec une grande quantité de données en utilisant l’autosurveillance à grande échelle devraient être considérés comme présentant une généralité significative et comme exécutant avec compétence un large éventail de tâches distinctes».

Le considérant 99 ajoute que

  • «les grands modèles d’IA génératifs constituent un exemple typique d’un modèle d’IA à usage général, étant donné qu’ils permettent une génération flexible de contenus, tels que sous forme de texte, d’audio, d’images ou de vidéo, qui peuvent facilement s’adapter à un large éventail de tâches distinctes».

Le Bureau de l’IA a l’intention de fournir des éclaircissements supplémentaires sur ce qui devrait être considéré comme un modèle d’IA à usage général, en s’appuyant sur les informations fournies par le Centre commun de recherche de la Commission, qui travaille actuellement sur un projet de recherche scientifique abordant cette question et d’autres.

Les risques systémiques sont les risques de préjudice à grande échelle liés aux modèles les plus avancés (c’est-à-dire les plus avancés) à un moment donné ou à d’autres modèles ayant un impact équivalent ( article 3, paragraphe 65).

Les modèles les plus avancés à un moment donné peuvent présenter des risques systémiques, y compris des risques nouveaux, car ils repoussent l’état de la technique. Dans le même temps, certains modèles inférieurs au seuil reflétant l’état de la technique peuvent également présenter des risques systémiques, par exemple en termes de portée, d’évolutivité ou d’échafaudage.

Le règlement sur l’IA classe un modèle d’IA à usage général comme un modèle d’IA à usage général présentant un risque systémique s’il s’agit de l’un des modèles les plus avancés à ce moment-là ou s’il a un impact équivalent (article 51, paragraphe 1).

Un modèle d’IA à usage général est classé comme modèle d’IA à usage général présentant un risque systémique s’il remplit l’une des conditions suivantes:

  • il dispose de capacités à fort impact évaluées sur la base de méthodologies et d’outils techniques appropriés, y compris des indicateurs et des critères de référence;
  • sur la base d’une décision de la Commission, d’office ou à la suite d’une alerte qualifiée du groupe scientifique, il possède des capacités ou un impact équivalents à ceux énoncés ci-dessus, compte tenu des critères définis à l’annexe XIII.

Pour capturer les modèles les plus avancés, c’est-à-dire les modèles qui correspondent ou dépassent les capacités enregistrées dans les modèles les plus avancés jusqu’à présent, la législation sur l’IA fixe un seuil de 10 à25 opérations en virgule flottante (FLOP) utilisées pour la formation du modèle (article 51, paragraphe 1, point a), et article 51, paragraphe 2, de la législation sur l’IA).

La formation d’un modèle qui atteint ce seuil est actuellement estimée à des dizaines de millions d’euros (EpochAI, 2024).

Le Bureau de l’IA suit en permanence les évolutions technologiques et industrielles, et la Commission peut mettre à jour le seuil, par l’adoption d’un acte délégué (article 51, paragraphe 3, de la législation sur l’IA), afin de s’assurer qu’elle continue de distinguer les modèles les plus avancés à mesure que l’état de la technique évolue. Par exemple, la valeur du seuil lui-même pourrait être ajustée et/ou des seuils supplémentaires introduits. 

Pour saisir les modèles ayant un impact équivalent aux modèles les plus avancés, la législation sur l’IA habilite la Commission à désigner d’autres modèles comme présentant un risque systémique, sur la base de critères tels que les évaluations des capacités du modèle, du nombre d’utilisateurs, de l’évolutivité ou de l’accès aux outils [article 51, paragraphe 1, point b), et annexe XIII de la législation sur l’IA].

Le Bureau de l’IA a l’intention de fournir des éclaircissements supplémentaires sur la manière dont les modèles d’IA à usage général seront classés comme modèles d’IA à usage général présentant un risque systémique, en s’appuyant sur les informations fournies par le Centre commun de recherche de la Commission, qui travaille actuellement sur un projet de recherche scientifique abordant cette question et d’autres

2.2.- Obligation des fournisseurs de modèles d’IA à usage général

Définition d’un fournisseur d’un modèle d’IA à usage général

Un fournisseur d’un modèle d’IA à usage général désigne une personne physique ou morale, une autorité publique, une agence ou un autre organisme qui développe un modèle d’IA à usage général ou qui fait développer un tel modèle et le met sur le marché, à titre onéreux ou gratuit (article 3, paragraphe 3).

Mettre un modèle sur le marché signifie la première mise à disposition du modèle sur le marché de l’Union (article 3, paragraphe 9), c’est-à-dire le fournir pour distribution ou utilisation sur le marché de l’Union pour la première fois dans le cadre d’une activité commerciale, à titre onéreux ou gratuit (article 3, paragraphe 10).

Un modèle d’IA à usage général est également considéré comme mis sur le marché si le fournisseur de ce modèle intègre le modèle dans son propre système d’IA qui est mis à disposition sur le marché ou mis en service, à moins que le modèle ne soit

a) utilisé pour des processus purement internes qui ne sont pas essentiels pour fournir un produit ou un service à des tiers,

b) que les droits des personnes physiques ne soient pas affectés et

c) que le modèle ne soit pas un modèle d’IA à usage général présentant un risque systémique (considérant 97).

Fournisseur de modèle d’IA à usage général (art 53§1) doit :

  • Élaborer et tenir à jour la documentation technique du modèle ;
  • Élaborer, tenir à jour et mettre à disposition des informations et de la documentation à l’intention des fournisseurs de SIA qui envisagent d’intégrer le modèle d’IA à usage général dans leurs SIA ;
  • Mettre en place une politique visant à se conformer au droit de l’Union en matière de droit d’auteur et droits voisins et notamment à identifier et à respecter, y compris au moyen de technologies de pointe, une réservation de droits exprimée conformément à l’article 4, paragraphe 3, de la directive (UE) 2019/790 ;
  • Élaborer et mettre à la disposition du public un résumé suffisamment détaillé du contenu utilisé pour entraîner le modèle d’IA à usage général, conformément à un modèle fourni par le bureau de l’IA.
  • Coopérer en tant que de besoin, avec la Commission et les autorités nationales compétentes dans l’exercice de leurs compétences et pouvoirs en vertu du RIA
  • Possibilité de s’appuyer sur des codes de bonne pratique pour démontrer le respect des obligations jusqu’à la publication d’une norme harmonisée.

Sur la base de l’article 56, le code de bonnes pratiques sur l’IA à usage général devrait détailler la manière dont les fournisseurs de modèles d’IA à usage général et de modèles d’IA à usage général présentant un risque systémique peuvent respecter leurs obligations au titre de la législation sur l’IA. Le Bureau de l’IA facilite l’élaboration de ce code de bonnes pratiques, avec quatre groupes de travail présidés par des experts indépendants et associant près de 1 000 parties prenantes, des représentants des États membres de l’UE ainsi que des observateurs européens et internationaux.

Plus précisément, le code de bonnes pratiques devrait détailler au moins la manière dont les fournisseurs de modèles d’IA à usage général peuvent se conformer aux obligations énoncées aux articles 53 et 55 de la législation sur l’IA. Cela signifie que l’on peut s’attendre à ce que le code de bonnes pratiques comporte deux parties: une qui s’applique aux fournisseurs de tous les modèles d’IA à usage général (article 53) et une qui ne s’applique qu’aux fournisseurs de modèles d’IA à usage général présentant un risque systémique (article 55). 

Le code de bonnes pratiques ne devrait pas aborder, entre autres, les questions suivantes: définir les concepts et définitions clés de la législation sur l’IA (tels que le «modèle d’IA à usage général»), mettre à jour les critères ou les seuils de classification d’un modèle d’IA à usage général en tant que modèle d’IA à usage général présentant un risque systémique (article 51), décrire comment le Bureau de l’IA appliquera les obligations des fournisseurs de modèles d’IA à usage général (chapitre IX, section 5), et poser des questions concernant les amendes, les sanctions et la responsabilité.

Ces questions peuvent plutôt être traitées par d’autres moyens (décisions, actes délégués, actes d’exécution, nouvelles communications du Bureau de l’IA, etc.).

Néanmoins, le code de bonnes pratiques peut inclure des engagements de la part des fournisseurs de modèles d’IA à usage général qui le signent à documenter et à communiquer des informations supplémentaires, ainsi qu’à associer le bureau de l’IA et des tiers tout au long du cycle de vie du modèle, dans la mesure où cela est jugé nécessaire pour que les fournisseurs respectent effectivement leurs obligations au titre de la législation sur l’IA.

  • Les fournisseurs de modèles d’IA à usage général qui n’adhèrent pas à un code de bonnes pratiques approuvé ou ne respectent pas une norme européenne harmonisée démontrent qu’ils disposent d’autres moyens appropriés de mise en conformité et les soumettent à l’appréciation de la Commission.

Documentation technique prévue à l’Annexe XI

Informations devant être fournies par tous les fournisseurs de modèles d’IA à usage général

La documentation technique contient au moins les informations ci-après, en fonction de la taille et du profil de risque du modèle:

  • Une description générale du modèle d’IA à usage général, y compris:

a) les tâches que le modèle est censé accomplir ainsi que le type et la nature des systèmes d’IA dans lesquels il peut être intégré;

b) les politiques applicables en matière d’utilisation acceptable;

c) la date de publication et les méthodes de distribution;

d) l’architecture et le nombre de paramètres;

e) les modalités (p. ex.: texte, image) et le format des entrées et des sorties;

 f) la licence.

  • Une description détaillée des éléments du modèle visés au point 1, et des informations pertinentes sur le processus de développement, y compris les éléments suivants:

a) les moyens techniques (p. ex.: notice d’utilisation, infrastructure, outils) nécessaires à l’intégration du modèle d’IA à usage général dans les systèmes d’IA;

b) les spécifications de conception du modèle et du processus d’entraînement, y compris les méthodes et techniques d’entraînement, les principaux choix de conception, y compris le raisonnement et les hypothèses retenues; ce que le modèle est conçu pour optimiser, ainsi que la pertinence des différents paramètres, le cas échéant;

c) des informations sur les données utilisées pour l’entraînement, les essais et la validation, le cas échéant, y compris le type et la provenance des données et les méthodes d’organisation (p. ex.: nettoyage, filtrage, etc.), le nombre de points de données, leur portée et leurs principales caractéristiques; la manière dont les données ont été obtenues et sélectionnées, ainsi que toutes les autres mesures visant à détecter l’inadéquation des sources de données et les méthodes permettant de détecter les biais identifiables, le cas échéant;

d) les ressources informatiques utilisées pour entraîner le modèle (p. ex.: nombre d’opérations en virgule flottante), le temps d’entraînement et d’autres détails pertinents liés à l’entraînement;

e) la consommation d’énergie connue ou estimée du modèle. Lorsque la consommation d’énergie du modèle est inconnue, la consommation d’énergie peut être estimée en s’appuyant sur des informations concernant les ressources informatiques utilisées.

Exception licence libre et ouverte :

Fournisseurs de modèles d’IA qui sont publiés dans le cadre d’une licence libre et ouverte permettant de consulter, d’utiliser, de modifier et de distribuer le modèle, et dont les paramètres, y compris les poids, les informations sur l’architecture du modèle et les informations sur l’utilisation du modèle, sont rendus publics.

Obligations limitées à :

  • Mettre en place une politique visant à se conformer au droit de l’Union en matière de droit d’auteur et droits voisins et notamment à identifier et à respecter, y compris au moyen de technologies de pointe, une réservation de droits exprimée conformément à l’article 4, paragraphe 3, de la directive (UE) 2019/790 ;
  • Élaborer et mettre à la disposition du public un résumé suffisamment détaillé du contenu utilisé pour entraîner le modèle d’IA à usage général, conformément à un modèle fourni par le bureau de l’IA.
  • Coopérer en tant que de besoin, avec la Commission et les autorités nationales compétentes dans l’exercice de leurs compétences et pouvoirs en vertu du RIA
  • Possibilité de s’appuyer sur des codes de bonne pratique pour démontrer le respect des obligations jusqu’à la publication d’une norme harmonisée.

Les fournisseurs de modèles d’IA à usage général qui n’adhèrent pas à un code de bonnes pratiques approuvé ou ne respectent pas une norme européenne harmonisée démontrent qu’ils disposent d’autres moyens appropriés de mise en conformité et les soumettent à l’appréciation de la Commission.

Fournisseur établi dans un pays tiers

Conformément à l’article 54§1 de l’AI Act, avant de mettre un modèle d’IA à usage général sur le marché de l’UE, le fournisseur établi dans un pays tiers doit désigner, par mandat écrit, un mandataire établi dans l’UE.

Le mandat habilite le mandataire à effectuer les tâches suivantes :

  • vérifier que la documentation technique prévue à l’annexe XI a été rédigée ;
  • vérifier que toutes les obligations ont été remplies par le fournisseur;
  • tenir à la disposition du Bureau de l’IA et des autorités nationales compétentes une copie de la documentation technique, pendant une période de dix ans après la mise sur le marché du modèle d’IA à usage général, et les coordonnées du fournisseur ayant désigné le mandataire;
  •  communiquer au Bureau de l’IA, sur demande motivée de sa part, toutes les informations et tous les documents, nécessaires pour démontrer le respect des obligations ;
  •  coopérer avec le Bureau de l’IA et les autorités compétentes, sur demande motivée de leur part, à toute mesure qu’ils prennent à l’égard d’un modèle d’IA à usage général, y compris lorsque le modèle est intégré dans des systèmes d’IA mis sur le marché ou mis en service dans l’Union.
  • servir d’interlocuteur, en plus ou à la place du fournisseur, au Bureau de l’IA ou aux autorités compétentes, pour toutes les questions liées au respect du RIA ;

Le mandataire met fin au mandat s’il considère ou a des raisons de considérer que le fournisseur agit de manière contraire aux obligations qui lui incombent en vertu du présent règlement. Dans ce cas, il informe en outre immédiatement le Bureau de l’IA de la cessation du mandat et des motifs qui la sous-tendent.

Exception licence libre et ouverte

L’obligation d’un mandataire ne s’applique pas aux fournisseurs de modèles d’IA à usage général qui sont publiés dans le cadre d’une licence libre et ouverte permettant de consulter, d’utiliser, de modifier et de distribuer le modèle, et dont les paramètres, y compris les poids, les informations sur l’architecture du modèle et les informations sur l’utilisation du modèle, sont rendus publics, à moins que les modèles d’IA à usage général présentent un risque systémique

A quelle phase s’appliquent les obligations des fournisseurs de modèles d’IA à usage général ?

L’article 2, paragraphe 8, dispose que, d’une manière générale, la législation sur l’IA

  • «ne s’applique à aucune activité de recherche, d’essai ou de développement concernant des systèmes d’IA ou des modèles d’IA avant leur mise sur le marché ou leur mise en service». 

Dans le même temps, certaines obligations incombant aux fournisseurs de modèles d’IA à usage général (avec et sans risque systémique) concernent explicitement ou implicitement la phase de développement des modèles destinés à la mise sur le marché, mais avant celle-ci.

C’est le cas, par exemple,

  • des obligations incombant aux fournisseurs de notifier à la Commission que leur modèle d’IA à usage général atteint ou atteindra le seuil de calcul de la formation (articles 51 et 52),
  • de documenter les informations relatives à la formation et aux tests (article 53),
  • ainsi que d’évaluer et d’atténuer le risque systémique (article 55). En particulier, l’article 55, paragraphe 1, point b), dispose explicitement que «les fournisseurs de modèles d’IA à usage général présentant un risque systémique évaluent et atténuent les risques systémiques éventuels au niveau de l’Union, y compris leurs sources, qui peuvent découler du développement […] de modèles d’IA à usage général présentant un risque systémique».

Le Bureau de l’IA s’attend à ce que les discussions avec les fournisseurs de modèles d’IA à usage général présentant un risque systémique commencent tôt dans la phase de développement. Cela est conforme à l’obligation faite aux fournisseurs de modèles d’IA à usage général qui atteignent le seuil de calcul de la formation prévu à l’article 51, paragraphe 2, de «notifier la Commission sans délai et, en tout état de cause, dans un délai de deux semaines à compter de la date à laquelle cette exigence est satisfaite ou à partir du moment où il est connu qu’elle le sera» (article 52, paragraphe 1). En effet, la formation des modèles d’IA à usage général nécessite une planification considérable, qui comprend l’allocation initiale des ressources de calcul, et les fournisseurs de modèles d’IA à usage général sont donc en mesure de savoir si leur modèle atteindra le seuil de calcul de la formation avant la fin de la formation (considérant 112).

Le Bureau de l’IA a l’intention de fournir des éclaircissements supplémentaires sur cette question.

La modification d’un modèle d’IA impose-t-elle le respect des obligations du fournisseur de modèle d’IA à usage général ?

Les modèles d’IA à usage général peuvent être encore modifiés ou affinés pour devenir de nouveaux modèles (considérant 97). En conséquence, les entités en aval qui affinent ou modifient d’une autre manière un modèle d’IA à usage général existant peuvent devenir des fournisseurs de nouveaux modèles. Les circonstances spécifiques dans lesquelles une entité en aval devient fournisseur d’un nouveau modèle sont une question difficile qui peut avoir d’importantes implications économiques, étant donné que de nombreuses organisations et personnes affinent ou modifient d’une autre manière les modèles d’IA à usage général développés par une autre entité.

En cas de modification ou de réglage fin d’un modèle d’IA à usage général existant, les obligations des fournisseurs de modèles d’IA à usage général énoncées à l’article 53 devraient se limiter à la modification ou au réglage fin, par exemple en complétant la documentation technique existante par des informations sur les modifications (considérant 109).

Les obligations des fournisseurs de modèles d’IA à usage général présentant un risque systémique énoncées à l’article 55 ne devraient s’appliquer que dans des cas clairement spécifiés. Le Bureau de l’IA a l’intention de fournir des éclaircissements supplémentaires sur cette question.

Intégration d’un modèle d’IA à usage général dans le SIA

Indépendamment de la question de savoir si une entité en aval qui intègre un modèle d’IA à usage général dans un système d’IA est réputée être un fournisseur du modèle d’IA à usage général, cette entité doit se conformer aux exigences et obligations pertinentes de la législation sur l’IA pour les systèmes d’IA.

Cependant, il existe des interactions entre les deux ensembles de règles, car les modèles d’IA à usage général sont généralement intégrés dans les systèmes d’IA et en font partie intégrante. Si un fournisseur d’un modèle d’IA à usage général intègre ce modèle dans un système d’IA, il doit respecter les obligations incombant aux fournisseurs de modèles d’IA à usage général et, si le système d’IA relève du champ d’application de la législation sur l’IA, les exigences applicables aux systèmes d’IA. Si un fournisseur en aval intègre un modèle d’IA à usage général dans un système d’IA, le fournisseur du modèle d’IA à usage général doit coopérer avec le fournisseur en aval du système d’IA pour veiller à ce que ce dernier puisse respecter ses obligations au titre de la législation sur l’IA si le système d’IA relève du champ d’application de la législation sur l’IA (par exemple en fournissant certaines informations au fournisseur en aval).

Compte tenu de ces interactions entre les modèles et les systèmes, et entre les obligations et les exigences de chacun, une question importante sous-tendant le code de bonnes pratiques concerne les mesures appropriées à la couche modèle et celles qui doivent être prises à la couche système.

2 aout 2025 : application des obligations des fournisseurs

Les obligations incombant aux fournisseurs de modèles d’IA à usage général s’appliquent à partir du 2 août 2025 [article 113, point b), de la loi sur l’IA], avec des règles spéciales pour les modèles d’IA à usage général mis sur le marché avant cette date [article 111, paragraphe 3, de la loi sur l’IA].

2.3.-Obligation des fournisseurs de modèles d’IA à usage général présentant un risque systémique

Les fournisseurs de modèles d’IA à usage général présentant un risque systémique doivent :

  • respecter les obligations imposées aux fournisseurs de modèle d’IA à usage général (art 53-54) ;
  • Effectuer une évaluation des modèles sur la base de protocoles et d’outils normalisés reflétant l’état de la technique, y compris en réalisant et en documentant des essais contradictoires des modèles en vue d’identifier et d’atténuer les risques systémiques ;
  • Évaluer et atténuer les risques systémiques éventuels au niveau de l’UE, y compris leurs origines, qui peuvent découler du développement, de la mise sur le marché ou de l’utilisation de modèles d’IA à usage général présentant un risque systémique ;
  • Suivre, documenter et communiquer sans retard injustifié au Bureau de l’IA et, le cas échéant, aux autorités nationales compétentes les informations pertinentes concernant les incidents graves ainsi que les éventuelles mesures correctives pour y remédier ;
  • Garantir un niveau approprié de protection en matière de cybersécurité pour le modèle d’IA à usage général présentant un risque systémique et l’infrastructure physique du modèle.
  • Possibilité de s’appuyer sur des codes de bonne pratique pour démontrer le respect des obligations jusqu’à la publication d’une norme harmonisée.

Les fournisseurs de modèles d’IA à usage général qui n’adhèrent pas à un code de bonnes pratiques approuvé ou ne respectent pas une norme européenne harmonisée démontrent qu’ils disposent d’autres moyens appropriés de mise en conformité et les soumettent à l’appréciation de la Commission.(art 55)

Documentation technique prévue à l’Annexe XI

Informations devant être fournies par les fournisseurs de modèles d’IA à usage général présentant un risque systémique :

  • Une description détaillée des stratégies d’évaluation, y compris les résultats de l’évaluation, sur la base des protocoles et outils d’évaluation publics disponibles ou d’autres méthodes d’évaluation. Les stratégies d’évaluation comprennent des critères, des indicateurs et les méthodes d’évaluation pour l’identification des limites ;
  • Le cas échéant, une description détaillée des mesures mises en place pour effectuer des essais contradictoires internes et/ou externes (p. ex.: méthode de l’équipe rouge), des adaptations de modèles, y compris l’alignement et le réglage fin ;
  • Le cas échéant, une description détaillée de l’architecture du système expliquant la manière dont les composants logiciels s’utilisent et s’alimentent les uns les autres ou s’intègrent dans le traitement global.

III-. Sanctions

Les États membres devront instaurer des sanctions effectives, proportionnées et dissuasives en cas de violation des règles applicables aux systèmes d’IA.

Le règlement fixe des seuils qui devront être pris en considération:

  • jusqu’à 35 millions d’EUR ou 7 % du chiffre d’affaires annuel mondial total réalisé au cours de l’exercice précédent (le montant le plus élevé étant retenu) en cas d’infractions correspondant à des pratiques interdites ou à un non-respect des exigences relatives aux données;
  • jusqu’à 15 millions d’euros ou 3 % du chiffre d’affaires annuel mondial total réalisé au cours de l’exercice précédent en cas d’inobservation d’une des autres exigences ou obligations prévues par le règlement;
  • jusqu’à 7,5 millions d’EUR ou 1,5 % du chiffre d’affaires annuel mondial total réalisé au cours de l’exercice précédent si des informations inexactes, incomplètes ou trompeuses ont été fournies aux organismes notifiés ou aux autorités nationales compétentes en réponse à une demande;
  • pour chaque catégorie d’infraction, le seuil sera le plus faible des deux montants pour les PME et le plus élevé des deux pour les autres entreprises.

La Commission peut également faire respecter les règles relatives aux fournisseurs de modèles d’IA à usage général en infligeant des amendes, en tenant compte du seuil suivant:

  • jusqu’à 15 millions d’euros ou 3 % du chiffre d’affaires annuel mondial total réalisé au cours de l’exercice précédent en cas de non-respect d’une des autres obligations ou mesures exigées par la Commission en vertu du règlement.

A suivre …..Série d’Articles sur la réglementation des SIA et des modèle d’IA à usage général (présentant ou non des risques systémiques)

Pour des questions ou informations sur les obligations des fournisseurs de Système d’Intelligence Artificielle vous pouvez contacter : Eléonore Scaramozzino, Avocat au Barreau de Paris – Constellation Avocats : escaramozzin@constellation.law

Laisser un commentaire