Le RIA : un régime spécifique aux IA à usage général (2/2)

Lors d’un précédent article, notre équipe IP/IT s’était intéressée aux obligations hiérarchisées par niveaux de risque, introduites par le Règlement européen sur l’intelligence artificielle (RIA).

Outre ces catégories de règles contraignantes, le Règlement européen sur l’intelligence artificielle (RIA) a introduit un régime particulier visant à encadrer les modèles d’IA à usage général (general purpose artificial intelligence ou GPAI). Leur diversité rendait en effet difficile leur classification parmi d’autres niveaux de risque, d’autant plus lorsqu’ils servent de fondations à d’autres systèmes d’IA.  

Ce régime particulier résulte de la volonté de trouver un compromis visant à encadrer les pratiques dangereuses sans que l’innovation ne s’en trouve bridée. En ce sens, les GPAI ont vocation à être moins encadrés que les systèmes d’IA à haut risque ne peuvent l’être en parallèle.

Définition 

Le RIA apporte une définition du modèle d’IA à usage général en son article 3. 63) :

« un modèle d’IA, y compris lorsque ce modèle d’IA est entraîné à l’aide d’un grand nombre de données utilisant l’auto-supervision à grande échelle, qui présente une généralité significative et est capable d’exécuter de manière compétente un large éventail de tâches distinctes, indépendamment de la manière dont le modèle est mis sur le marché, et qui peut être intégré dans une variété de systèmes ou d’applications en aval, à l’exception des modèles d’IA utilisés pour des activités de recherche, de développement ou de prototypage avant leur mise sur le marché ».

Un modèle d’IA génératif est ainsi un GPAI, en ce qu’il permet la production flexible de contenus (texte, audio, image, vidéo) qui peuvent aisément s’adapter à un large éventail de tâches distinctes. 

La polyvalence des GPAI en fait des outils potentiellement puissants. C’est leur fulgurante montée en popularité qui a conduit le législateur européen à établir une notion clairement définie des GPAI, distincte de la notion de systèmes d’IA.

En effet, même si les GPAI sont des composants essentiels des systèmes d’IA, ils ne constituent pas en eux-mêmes des systèmes d’IA. Ils y sont intégrés moyennant l’ajout d’autres composants. Toutefois, lorsque l’intégration d’un GPAI dans un système d’IA lui permet de répondre à son tour à divers usages, le système sera lui-même considéré comme un GPAI.

A titre d’illustration, ChatGPT est construite à partir du modèle d’IA à usage général GPT-4.

Les IA à usage général sont souvent classées dans des niveaux de risque élevés en raison de leur impact potentiel sur plusieurs domaines, notamment lorsqu’elles sont utilisées dans des contextes sensibles.

Obligations générales 

Les obligations relatives aux GPAI, en dehors des cas où ils impliquent un risque systémique, se limitent principalement à l’information et à la transparence :

  • élaborer et mettre à jour une documentation technique du modèle (article 53.1.a) du RIA) ;
  • prévoir des informations et de la documentation à l’intention des fournisseurs de systèmes d’IA qui envisagent d’y intégrer un GPAI afin qu’ils puissent s’assurer qu’il est sûr et conforme (article 53.1.b) du RIA) ; 
  • mettre en place une politique conforme au droit d’auteur européen, et permettant notamment d’identifier et de respecter les réservations de droit exprimées par les titulaires de droits d’auteur (article 53.1.c) du RIA) ; 
  • mettre en place des mesures de transparence sur les données utilisées pour entraîner les systèmes (article 53.1.d) du RIA).

L’article 53.2 du RIA prévoit une exception en matière de licences libres (« open source »), lesquelles permettent notamment d’accéder ouvertement aux GPAI. En raison de leur caractère plus transparent, elles ne se voient pas appliquer les deux premières obligations dès lors qu’elles ne présentent pas de risque systémique. 

En outre, des obligations de transparence sont prévues pour les systèmes d’IA à usage général (soit les systèmes intégrant un GPAI), notamment :

  • ceux qui génèrent des contenus de synthèse de type audio, image, vidéo ou texte (article 50.2 RIA) ;
  • ceux qui génèrent ou manipulent des contenus constituant un hypertrucage (Deepfake), ou des textes publiés dans le but d’informer le public sur des questions d’intérêt général (article 50.4 RIA).

Classification particulière des GPAI présentant un risque systémique 

Le RIA a prévu des dispositions spécifiques aux GPAI qui sont susceptibles d’entraîner des risques particulièrement négatifs (perturbations de secteurs sensibles, conséquences graves pour la santé et la sécurité publique, processus démocratiques, contenus illicites, discriminatoire, etc.).

A titre d’illustration, ont notamment motivé l’élaboration de cette catégorie : les risques de cyberattaques offensives, la possibilité que les GPAI s’auto-reproduisent, ou encore les risques de réactions en chaîne susceptibles d’affecter toute une ville.

Le RIA se réfère à la notion de « risque systémique » (article 51 du RIA) pour désigner cette catégorie de GPAI. Ce risque est lié aux capacités particulièrement élevées que présente le modèle.

Le RIA prévoit ainsi que le risque systémique est caractérisé dès lors que :

  • le GPAI dispose de capacités « à fort impact » évaluées sur la base de méthodologies et d’outils techniques appropriés, y compris des indicateurs et des critères de référence (article 51.1.a) du RIA).
  • Un GPAI est présumé présenter de telles capacités dès lors que la quantité cumulée de calcul utilisée pour son entraînement, mesurée en opérations en virgule flottante, est supérieure à 10 puissance 25 (article 51.2) du RIA) ;
  • la Commission peut également prendre une décision par laquelle elle détermine que le GPAI a des capacités ou un impact équivalent au GPAI « à fort impact » en fonction de sept critères listés en annexe XIII du RIA (paramètres, quantité de calcul utilisé pour l’entraînement, nombre d’utilisateurs finaux inscrits, etc.) (article 51.1.b) du RIA). 

Obligations particulières des GPAI présentant un risque systémique

Des exigences supplémentaires sont prévues pour les GPAI présentant un risque systémique, notamment :

  • informer la Commission sans tarder dès lors que le GPAI remplit les conditions pour être qualifié comme présentant un risque systémique (article 52 du RIA) ;
  • mettre en œuvre un processus rigoureux d’évaluation du GPAI (article 55.1.a) du RIA) ;
  • mettre en œuvre un processus rigoureux d’évaluation et d’atténuation des risques découlant du GPAI (article 55.1.b) du RIA) ;
  • signaler tout incident grave au Bureau de l’IA sans retard injustifié (article 55.1.c) du RIA) ;
  • garantir un niveau de protection approprié en matière de cybersécurité pour le GPAI présentant un risque systémique et l’infrastructure physique du modèle (article 55.1.d) du RIA).

Le rôle du Bureau européen de l’IA

Les GPAI sont actuellement au centre de l’attention du Bureau européen de l’intelligence artificielle. Il a lancé un appel à participation débutant en septembre 2024 pour l’élaboration d’un code de bonnes pratiques visant à faciliter l’application des règles sur les GPAI. Ce processus va s’appuyer sur une consultation multipartite, laquelle a permis à toutes les parties prenantes de s’exprimer jusqu’au 18 septembre dernier.

Le code de bonnes pratiques pourrait s’avérer être un outil central, permettant aux fournisseurs de GPAI de s’y appuyer pour témoigner de leur conformité avec les obligations prévues par le RIA.

La version finale de ce code de bonnes pratiques devrait être présentée lors d’une séance plénière en avril 2025, avant d’être publiée.

Les dispositions du RIA relatives aux GPAI entreront quant à elles en application le 2 août 2025.

***

Le département Contrats informatiques, données & conformité vous accompagne dans votre mise en conformité avec la législation des espaces numériques.

Pour toute question, n’hésitez pas à nous contacter.