L'Union européenne a publié jeudi le premier projet de code de conduite pour les modèles généraux d'IA. Le document, qui ne devrait être finalisé qu'en mai, contient des lignes directrices pour la gestion des risques et offre aux entreprises un modèle pour se conformer aux règles et éviter de lourdes sanctions. La loi européenne sur l'IA est entrée en vigueur le 1er août, mais a laissé la place à la définition des détails des règles de la GPAI à une date ultérieure. Ce projet (via TechCrunch) est la première tentative de clarifier ce qui est attendu de ces modèles plus avancés et donne aux parties prenantes le temps de donner leur avis et de les affiner avant qu'ils n'entrent en vigueur.
Les GPAI sont des entreprises qui sont entraînées avec une puissance de calcul totale supérieure à 10²⁵ FLOPs. Parmi les entreprises qui devraient être couvertes par les directives européennes, on trouve OpenAI, Google, Meta, Anthropic et Mistral. La liste pourrait toutefois encore s'allonger.
Le document aborde plusieurs domaines clés pour les fabricants de GPAI : la transparence, le respect des droits d'auteur, l'évaluation des risques et l'atténuation des risques techniques et de gouvernance. Le projet de 36 pages couvre un large éventail de sujets (et sera probablement plus complet lorsqu'il sera finalisé), mais il y a quelques points forts.
Le code met l'accent sur la transparence dans le développement de l'IA et oblige les entreprises d'IA à fournir des informations sur les crawlers web avec lesquels elles ont entraîné leurs modèles - une préoccupation centrale pour les détenteurs de droits d'auteur et les créateurs. La section sur l'évaluation des risques vise à prévenir la cybercriminalité, la discrimination généralisée et la perte de contrôle de l'IA (le moment "ça a échappé à tout contrôle" dans un million de mauvais films de science-fiction).
Il est attendu des fabricants d'IA qu'ils mettent en place un cadre de sécurité et de protection (SSF) afin de décomposer leur politique de gestion des risques et de l'atténuer en fonction des risques systémiques. Les exigences couvrent également des domaines techniques tels que la protection des données de modèles, la fourniture de contrôles d'accès à sécurité intégrée et la réévaluation continue de leur efficacité. Enfin, la section relative à la gouvernance d'entreprise vise à renforcer la responsabilité au sein même des entreprises en imposant une évaluation continue des risques et, le cas échéant, le recours à des experts externes.
Comme pour d'autres législations européennes liées aux technologies, les entreprises qui enfreignent la loi sur l'IA s'exposent à de lourdes sanctions. Elles peuvent se voir infliger une amende allant jusqu'à 35 millions d'euros (actuellement 36,8 millions de dollars) ou jusqu'à 7 % de leur bénéfice annuel mondial, le montant le plus élevé étant retenu.
Les parties intéressées sont invitées à donner leur avis jusqu'au 28 novembre via la plateforme spéciale Futurium afin d'affiner le prochain projet. Les règles devraient entrer en vigueur d'ici le 1er mai 2025.
