Loi sur l'IA : Code de conduite pour les modèles GPAI

Après trois projets et plusieurs réunions, les quatre groupes de travail ont soumis à la Commission européenne la version finale du Code de conduite pour les modèles d'IA à usage général (GPAI), tels que ceux à l'origine de ChatGPT, Gemini et Claude. Il s'agit essentiellement de lignes directrices pour se conformer aux dispositions de la loi sur l'IA, entrée en vigueur le 2 août. La Computer & Communications Industry Association (CCIA) a immédiatement critiqué le texte.

Le code de conduite n'est pas obligatoire , mais sert à illustrer la manière dont les articles 53 et 55 de la loi sur l'IA relatifs aux modèles GPAI (standard et avec risques système) doivent être respectés. Les entreprises qui choisissent d'adhérer au code s'engagent à suivre les instructions énoncées dans les trois chapitres .

Le premier chapitre concerne la transparence . Les fournisseurs d'IA doivent fournir des informations complètes sur leurs modèles lors de leur mise sur le marché et de leur mise à jour. Cela se fait via un formulaire divisé en plusieurs sections. Par exemple, l'entreprise doit préciser le nom du modèle, la date de sortie, l'architecture, la taille, les types d'entrées/sorties, les méthodes de distribution et de licence, le type d'utilisation et les spécifications du processus d'apprentissage.

Le deuxième chapitre concerne le droit d'auteur . Les signataires s'engagent à respecter la législation européenne sur le droit d'auteur. Par exemple, ils ne doivent pas utiliser le contenu d'un site web sans autorisation ni utiliser de maquettes contenant du matériel piraté. Ils doivent également mettre en œuvre des mesures pour empêcher la production de contenus portant atteinte au droit d'auteur.

Le troisième chapitre aborde la sécurité des modèles d'IA présentant des risques systémiques. Les fournisseurs s'engagent à détecter et à atténuer les risques, tels que l'utilisation de modèles pour mener des cyberattaques ou développer des armes. Les incidents de sécurité doivent être signalés et des mesures correctives doivent être prises dans des délais précis (par exemple, deux jours pour les dommages aux infrastructures critiques et cinq jours pour les violations de données).

Plusieurs entreprises européennes avaient demandé un report de la mise en œuvre de l'AI Act pour les modèles GPAI, mais la Commission européenne a confirmé la date limite du 2 août. Selon la Chambre de commerce, le code de conduite bénéficiera aux fournisseurs qui ne le signent pas et introduit des mesures qui vont au-delà du champ d'application de l'AI Act.