Loi sur l’IA : les eurodéputés proposent des obligations pour l’IA à usage général
Les eurodéputés qui dirigent les travaux relatifs à la loi sur l’intelligence artificielle ont défini des obligations importantes pour les fournisseurs de grands modèles de langage, et ce tout en cherchant à clarifier les responsabilités tout au long de la chaîne de valeur de l’IA.
Les eurodéputés qui dirigent les travaux relatifs à la loi sur l’intelligence artificielle (AI Act) ont défini des obligations importantes pour les fournisseurs de grands modèles de langage tels que ChatGPT et Stable Diffusion, et ce tout en cherchant à clarifier les responsabilités tout au long de la chaîne de valeur de l’IA.
La loi sur l’IA est une législation phare de l’UE visant à règlementer l’intelligence artificielle en fonction de son potentiel de nuisance. L’un des grands points d’interrogation des négociations sur la proposition législative concerne les modalités de traitement de l’IA à usage général, c’est-à-dire les grands modèles de langage qui peuvent être adaptés à diverses tâches.
Les bureaux des co-rapporteurs du Parlement européen, Dragoș Tudorache et Brando Benifei, ont partagé mardi (14 mars) un premier projet sur ce sujet sensible. Ils ont proposé certaines obligations pour les fournisseurs de ce type de modèles d’IA ainsi que des responsabilités pour les différents acteurs économiques impliqués.
L’IA à usage général (GPAI) est un système d’IA qui est entraîné sur de grandes quantités de données et un large éventail de sujets, qui est conçu pour produire des résultats généraux et qui peut être adapté à de nombreuses tâches.
Le document, consulté par EURACTIV, précise que les systèmes d’IA développés pour un ensemble limité d’applications qui ne peuvent pas être adaptés à un large éventail de tâches, comme les composants, les modules ou les systèmes d’IA simples et polyvalents, ne doivent pas être considérés comme des systèmes d’IA à usage général.
Obligations pour les fournisseurs de GPAI
Les co-rapporteurs souhaitent que les fournisseurs d’IA à usage général se conforment à certaines des exigences initialement prévues pour les solutions d’IA les plus susceptibles de causer des dommages importants, indépendamment du canal de distribution et du fait que le système soit fourni en tant que système autonome ou intégré dans un système plus vaste.
La conception, les essais et l’analyse des solutions GPAI doivent être alignés sur les exigences du règlement en matière de gestion des risques afin de protéger la sécurité des personnes, les droits fondamentaux et les valeurs de l’UE, notamment en documentant les risques non atténuables.
Les ensembles de données qui alimentent ces grands modèles de langage devraient être soumis à des mesures appropriées de gouvernance des données, telles que l’évaluation de leur pertinence, de leur adéquation et de leurs biais potentiels, l’identification d’éventuelles lacunes et les mesures d’atténuation correspondantes.
En outre, tout au long de leur cycle de vie, ChatGPT et les autres IA devront — conformément aux exigences les plus strictes de la loi sur l’IA — faire l’objet d’audits externes testant leurs performances, leur prévisibilité, leur interprétabilité, leur corrigibilité, leur niveau de sécurité et de cybersécurité.
À cet égard, les eurodéputés ont introduit un nouvel article prévoyant que les autorités européennes et le Bureau de l’IA développent conjointement avec des partenaires internationaux des orientations et des capacités pour mesurer et comparer les aspects de conformité des systèmes d’IA, et en particulier des GPAI.
Puisque les modèles d’IA qui génèrent du texte à partir de messages humains peuvent être confondus avec un contenu humain authentique, ils devraient être soumis aux mêmes obligations de gouvernance des données et de transparence que les systèmes à haut risque, à moins qu’une personne ne soit légalement responsable du texte.
En outre, les fournisseurs d’un modèle GPAI devraient l’enregistrer dans la base de données de l’UE. De même, ils devraient se conformer aux exigences de gestion de la qualité et de documentation technique applicables aux fournisseurs d’IA à haut risque et suivre la même procédure d’évaluation de la conformité.
La responsabilité dans la chaîne de valeur
Les eurodéputés ont retravaillé un paragraphe du préambule du texte sur les responsabilités des acteurs économiques de la chaîne de valeur de l’IA et l’ont inclus dans la partie contraignante du texte.
Le compromis stipule notamment que toute tierce partie, comme le distributeur, l’importateur ou le déployeur d’une IA, serait considérée comme un fournisseur de système à haut risque (avec les obligations qui en découlent) si elle modifie de manière substantielle un système d’IA, y compris un système d’IA à usage général.
Dans ce cas, le fournisseur du système GPAI d’origine devra aider le nouveau fournisseur, notamment en lui procurant la documentation technique nécessaire, les capacités adéquates et l’accès technique pour se conformer au règlement sur l’IA sans compromettre les informations commercialement sensibles.
À cet égard, une nouvelle annexe a été introduite, énumérant des exemples d’informations que les fournisseurs de GPAI doivent fournir aux opérateurs en aval concernant des obligations spécifiques de la loi sur l’IA, telles que la gestion des risques, la gouvernance des données, la transparence, la surveillance humaine, la gestion de la qualité, l’exactitude, la robustesse et la cybersécurité.
Par exemple, pour aider l’opérateur économique en aval à se conformer aux exigences de gestion des risques du règlement sur l’IA, il est demandé, dans l’annexe, au fournisseur de GPAI de partager des informations sur les capacités et les limites du système, les instructions d’utilisation, les résultats des tests de performance et les mesures d’atténuation des risques.
Clauses contractuelles abusives
Les principaux députés ont également proposé d’introduire un nouvel article empêchant tous les fournisseurs d’imposer unilatéralement des clauses contractuelles abusives aux petites et moyennes entreprises (PME) pour l’utilisation ou l’intégration d’outils dans un système à haut risque. Dans le cas contraire, les contrats seraient considérés comme nuls.
« Une clause contractuelle est abusive si elle est d’une nature telle que son utilisation s’écarte manifestement des bonnes pratiques commerciales en matière de fourniture d’outils, de services, de composants ou de processus utilisés ou intégrés dans un système d’IA à haut risque, en violation de la bonne foi et de la loyauté », indique le texte.
Une autre pratique considérée comme déloyale est le transfert, dans le contrat, des pénalités ou des frais de litige résultant d’une violation du règlement.
Le Bureau de l’IA
La liste des tâches du Bureau de l’Iintelligence artificielle a été élargie afin qu’il puisse également fournir des conseils sur la manière dont ce règlement s’appliquerait aux chaînes de valeur de l’IA, qui évoluent rapidement, et sur les implications qui en découlent en termes de responsabilité.
En outre, il est demandé à cet organe de l’UE de contrôler les modèles GPAI, la manière dont ils sont utilisés et les meilleures pratiques en matière d’autogouvernance. Le Bureau de l’IA devra également organiser des échanges entre les fournisseurs de GPAI et les autorités nationales, les experts et les auditeurs.
[Édité par Anne-Sophie Gayet]
