ChatGPT, Claude et Perplexity n’ont plus que quelques jours pour se conformer à l’AI Act, le règlement européen sur l’intelligence artificielle (IA). Après l’interdiction des systèmes d’IA avec des risques inacceptables (comme les outils de notation sociale) devenue effective en février dernier, c’est au tour des modèles d’IA à portée générale (appelés dans la loi européenne les « GPAI » pour « General-Purpose artificial intelligence ») de montrer patte blanche.
L’AI Act, entré en vigueur le 1er août 2024, s’applique de manière échelonnée jusqu’en 2030. Et à partir du 2 août 2025, c’est au tour des « GPAI », les modèles conçus pour accomplir plusieurs tâches comme la rédaction, la génération d’images, la recherche ou du calcul, de se conformer à la loi européenne. Pour mesurer ce qui devra bientôt s’appliquer à ChatGPT, Le Chat, Gemini, Copilot, Midjourney et Claude, nous nous sommes entretenus avec Arnaud Latil, auteur du Droit du numérique, une approche par les risques, et maître de conférences en droit privé à la Sorbonne Université.
Qui est concerné par la nouvelle échéance de l’AI Act ?
À compter du 2 août prochain, les fournisseurs de modèles GPAI, mis sur le marché européen, doivent se conformer à l’AI Act. Il s’agit des outils d’IA capables de générer texte, image, code, analyses, retranscription écrite… qui peuvent être aussi intégrés à d’autres outils.
Contrairement à la désignation des très grandes plateformes et des contrôleurs d’accès en matière de DSA ou de DMA, la Commission ne va pas publier une liste des modèles concernés. Mais « les entreprises qui font parties de l’AI Pact et qui ont signé le code de bonnes pratiques reconnaissent que leur modèle entre dans la catégorie des modèles GPAI », souligne Arnaud Latil.
Pour savoir quels modèles sont concernés, il existe une « présomption liée à la puissance de calcul utilisée, mais il ne s’agit que d’une présomption, et au-delà, la Commission européenne peut les classer en fonction d’une série de critères qui est très longue », précise le docteur en droit. Tout dépendra de la façon dont la Commission interprète cette liste de critères.
Les « lignes directrices », un document publié mi juillet par la Commission européenne, précisent davantage quels modèles sont concernés. Bruxelles a notamment fixé des seuils à partir desquels un modèle d’IA tomberait dans la catégorie des « fournisseurs d’IA » à portée générale : « ses ressources de calcul pour son entrainement (doivent être) supérieures à 1023 (opérations en virgule flottante) FLOP et il (doit pouvoir) générer du langage (que ce soit sous forme de texte ou d’audio), du texte à l’image ou du texte à la vidéo », détaille le texte.
Selon tous ces éléments, les modèles d’IA concernés par l’échéance du 2 août seront donc vraisemblablement tous les modèles d’IA générative utilisés par le grand public à partir de fin 2022, à savoir : ChatGPT (OpenAI), Copilot (Microsoft), Le Chat (Mistral), Claude (Anthropic), Llama (Meta), et leurs concurrents.
À quoi seront-ils tenus en pratique ?
À partir du 2 août, ces GPAI doivent se conformer à des obligations de transparence. Ils devront notamment préparer toute une documentation technique qui pourra être partagée avec le « Bureau de l’IA », une émanation de la Commission européenne chargée d’appliquer l’AI Act, et les autorités nationales compétentes, sur demande. Les fournisseurs en aval — ceux qui utilisent ces outils pour une application spécifique — pourront aussi y avoir accès.
Les développeurs de GPAI ont aussi l’obligation de respecter le droit d’auteur, et remplir le modèle de résumé des sources utilisées pour entraîner leurs outils d’IA, un modèle publié par Bruxelles jeudi dernier.
Enfin, pour les GPAI qui « présentent un risque systémique », des obligations supplémentaires d’évaluations et d’atténuations des risques devront être respectées. Il s’agit d’outils d’IA qui pourraient avoir un impact significatif sur les droits fondamentaux, la société, ou la santé publique.
Pour se conformer à ces nouvelles obligations, les fournisseurs d’IA peuvent s’appuyer sur trois autres textes publiés courant juillet, qui sont venus préciser l’AI Act :
- le code de bonnes pratiques, dont la version finale a été publiée jeudi 10 juillet,
- les lignes directrices (publiées le vendredi 18 juillet),
- le modèle pour les sources d’entraînement protégées par le droit d’auteur, publié jeudi 24 juillet.
A lire aussi : Après l’AI Act, Bruxelles publie un mode d’emploi destiné aux géants de l’IA
Droit d’auteur : à partir du 2 août, les IA devront bien dévoiler leurs sources en Europe
Ces documents étaient attendus depuis plusieurs mois. Pour certains, la rédaction de ces textes, qui est passée par une étape de concertation avec les géants de l’IA, les ayants droit et la société civile, a pu donner l’impression que la négociation de l’AI Act était toujours en cours. Pourtant, ces actes de précision ou d’exécution n’ont rien de surprenant, rappelle Arnaud Latil.
La Commission européenne peut « rédiger des actes d’exécution ou des décisions d’exécution, donc préciser des textes de loi. Cela permet de faire évoluer des textes sans rouvrir le cycle de négociation politique et sans forcément réviser les textes dans leur ensemble », détaille le chercheur au Centre d’études et de recherches en droit de l’immatériel (Université Paris-Saclay).
Le code de bonnes pratiques « n’est pas un document obligatoire, mais il permet aux opérateurs de suivre des recommandations pour être conforme » à l’AI Act, souligne le maître de conférences en droit privé. Le modèle qui a trait au droit d’auteur est, quant à lui, bien obligatoire. Les fournisseurs d’IA devront le remplir – et détailler pour la première fois les sources principales utilisées pour entraîner leur modèle, une première – bien que les ayants droit estiment que le degré de précision est loin d’être suffisant.
Y aura-t-il un délai de grâce ?
La rédaction et la publication de ces trois documents ont eu lieu au beau milieu d’appels à décaler voire suspendre l’application de l’AI Act pour les outils d’IA générative, des appels provenant des industries de l’IA, mais aussi de certains pays de l’Union européenne. Business Europe, le Medef européen, a demandé le 17 juillet dernier « une période de grâce pour implémenter le code de bonnes pratiques sur les modèles à usage général », précédant un message similaire provenant cette fois d’une quarantaine d’entreprises et d’organisations européennes. Le tout s’inscrit dans un contexte géopolitique de négociations de droits de douane de l’administration Trump, qui est vent debout contre une telle règlementation.
À lire aussi : Droits de douane : Donald Trump va-t-il réussir à faire tomber la loi phare des Européens sur le numérique ?
Pour autant, la Commission européenne a rappelé qu’il n’y aurait ni report ni délai de grâce. « Le règlement sur l’IA a été adopté selon une procédure conforme aux principes de l’état de droit. Il paraît impossible de décider de ne pas appliquer ce texte. Le législateur européen a décidé d’appliquer l’AI Act à une date donnée, sachant que la date à elle-même fait l’objet d’une discussion politique, au même titre que les autres dispositions », rappelle Arnaud Latil.
Suivant la même logique, le fait de ne pas signer le code de bonnes pratiques (non obligatoire) – une approche adoptée par Meta, vendredi 18 juillet – ne change rien à l’application de l’AI Act. Il y aura toutefois un avantage à faire partie des signataires, dont feront partie la start-up française Mistral, et OpenAI, l’entreprise américaine à l’origine de ChatGPT, selon leurs déclarations : le signer permettra de bénéficier d’une présomption de conformité.
Selon un journaliste de MLex, la Commission européenne a suggéré qu’un délai de grâce serait accordé aux signataires du code pour la première année. « En particulier, si ces prestataires ne mettent pas en œuvre tous les engagements immédiatement après avoir signé le code, le Bureau de l’IA ne considérera pas qu’ils ont rompu leurs engagements au titre du code et ne leur reprochera pas d’avoir enfreint la loi sur l’AI. Au contraire, dans de tels cas, le Bureau de l’IA considérera qu’ils ont agi de bonne foi et sera prêt à collaborer pour trouver des moyens d’assurer une conformité totale », écrit-il.
En termes de droit d’auteur, les ayants droit et les auteurs toujours mécontents
Pour l’échéance du 2 août, la question du droit d’auteur a été âprement discutée. Comme le rappelle Arnaud Latil, le droit d’auteur est « enjeu extrêmement important, à la fois pour les ayants droits, pour les auteurs et pour les producteurs de ces modèles. D’un côté, les auteurs veulent savoir si leurs œuvres ont été utilisées dans le cadre de l’entraînement d’un modèle d’IA ».
En cas positif, les auteurs et ayants droit veulent pouvoir soit s’y opposer, en exerçant leur droit de « opt out », un droit prévu par la directive de 2019 qui permet aux titulaires de droit de refuser que leurs oeuvres soient utilisées pour entraîner une IA, soit pouvoir négocier une licence de droit d’auteur. Mais encore faut-il qu’ils aient accès à cette information – ce qui n’était jusqu’à présent pas le cas.
« D’un autre côté, les producteurs de ces modèles d’IA veulent protéger le secret des affaires. Comme souvent, le législateur a cherché un équilibre : seules les œuvres soumises aux droits d’auteur doivent être révélées, pas l’ensemble des données », explique le docteur en droit privé.
Et si l’AI Act impose aux fournisseurs d’IA de respecter la loi sur le droit d’auteur et les droits voisins, les trois documents annexes publiés en juillet par la Commission européenne ont laissé les ayants droit sur leur faim. Le modèle relatif au droit d’auteur impose aux fournisseurs d’IA de révéler tous les « grands » ensembles de données accessibles au public, ainsi que les 10 % des noms de domaines les plus utilisés, mais il ne s’agit pas d’une liste exhaustive.
Le code de bonnes pratiques, qui comporte un volet spécifique au droit d’auteur, rappelle que les fournisseurs d’IA générative sont bien tenus de respecter le droit d’auteur, sans prévoir de mécanisme de licence obligatoire. Les mentions précédentes d’obligation de moyens de respecter le droit d’auteur ont été supprimées. Le tout est insuffisant pour les ayants droit qui espéraient pouvoir se baser sur cette liste pour réclamer le paiement de droit d’auteur ou de dommages et intérêt.
Pour Patrick Kuban, co-président de la fédération internationale UVA (United Voice Artists) et animateur du collectif français hashtag#TouchePasMaVF, « le niveau de détail des données collectées est malheureusement très faible (…). Les ayants droit vont continuer d’être spoliés. L’Europe est en train de plier face aux lobbys essentiellement non-européens ». Pour le comédien de voix off, « le niveau de détail requis dans les résumés des Dataset (données d’entraînement des IAG) est très insuffisant. Les promesses de l’IA Act censées protéger les créateurs ne sont pas au rendez-vous ».
Ce « résumé » devra être publié par les fournisseurs d’IA à partir du 2 août 2025, et « au plus tard le 2 août 2027 ». Il s’agit d’un délai bien trop long pour les titulaires de droit, dont certains plaident pour lancer une réforme du droit d’auteur décrit comme inadapté face à l’IA générative.
Les sanctions vont-elles tomber dès le 3 août ?
Si les fournisseurs d’IA ne respectent pas leurs obligations, les sanctions sont particulièrement salées, ces dernières pouvant atteindre 3 % du chiffre d’affaires annuel mondial ou 15 millions d’euros. Pour autant, les amendes ne devraient pas tomber dès le 3 août 2025.
Pour Arnaud Latil, « les régulateurs ne vont pas contrôler et sanctionner les acteurs, dès le lendemain de la mise en application des textes. Si on prend un parallèle historique avec le RGPD, il est rentré en vigueur en 2018. Dès le lendemain de son application, on n’a pas vu la CNIL taper à toutes les portes pour aller contrôler tous les acteurs. D’un côté, il y a une date d’application des textes, et de l’autre, il y a aussi le temps de l’action de la régulation. Le régulateur poursuit plusieurs missions : information, conseil, contrôle et enfin sanction. La sanction n’intervient pas avant les opérations que je viens de décrire ».
Le contexte géopolitique et la pression de l’administration Trump pourraient-ils changer la donne ? Le spécialiste estime qu’« on peut être un tout petit peu inquiet quand on voit le détricotage de la réglementation environnementale à peine née. Et pour le numérique, il y a un risque équivalent ».
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
