Aperçu
Avec ses règles sur l'IA à usage général (GPAI), la Loi sur l'IA de l'UE répond à une nouvelle génération de modèles de base puissants -- en particulier les grands modèles de langage (LLM), les modèles multimodaux et les modèles de fondation.
Ces modèles ne sont pas développés pour une finalité unique mais peuvent être déployés pour une large gamme d'applications. C'est précisément là que réside leur risque réglementaire : ils constituent la base de nombreux systèmes en aval, y compris l'IA à haut risque.
Cet article explique :
- Ce qu'est un modèle GPAI
- Quand des obligations supplémentaires s'appliquent
- Ce que signifie « risque systémique »
- Quelles exigences les fournisseurs doivent remplir
- Quelles implications se posent pour les entreprises utilisant des LLM via API
Qu'est-ce qu'un modèle GPAI ?
Un modèle GPAI est un modèle d'IA qui :
- A été entraîné sur une base de données large
- Est polyvalent dans ses applications
- N'est pas limité à une tâche spécifique unique
- Peut être intégré dans différents contextes
Exemples typiques :
- Grands modèles de langage (LLM)
- Modèles de fondation multimodaux
- Modèles de génération d'images
- Modèles de code
Distinction
Toute application d'IA n'est pas un modèle GPAI. Un modèle spécialisé de scoring de crédit n'est pas un GPAI -- un modèle de langage universellement déployable, en revanche, l'est.
Deux niveaux de réglementation pour les GPAI
La Loi sur l'IA distingue entre :
| Catégorie | Critères | Obligations |
|---|---|---|
| GPAI standard | Universellement déployable | Documentation, transparence |
| GPAI avec risque systémique | Puissance de calcul > 10^25 FLOPs ou seuil équivalent | Obligations étendues de sécurité et d'évaluation |
GPAI avec risque systémique
Un modèle est considéré comme systémiquement risqué s'il :
- Est exceptionnellement performant
- Peut avoir un impact sociétal large
- Présente des risques de sécurité significatifs
Le seuil FLOPs (>10^25) sert d'indicateur technique de la complexité de l'entraînement.
Seuil technique
La limite FLOPs est une valeur de référence. Les modèles en dessous de ce seuil peuvent également être classés comme systémiques s'ils possèdent des capacités comparables.
Obligations pour les fournisseurs de GPAI standard
Les fournisseurs doivent :
- Créer une documentation technique
- Publier un résumé des données d'entraînement
- Mettre en œuvre des politiques de droit d'auteur
- Soutenir les fournisseurs en aval
La documentation technique comprend :
- Architecture du modèle
- Méthodologie d'entraînement
- Procédures d'évaluation
- Indicateurs de performance
- Risques connus
Obligations supplémentaires en cas de risque systémique
Les fournisseurs de modèles GPAI systémiques doivent en outre :
- Réaliser des évaluations de modèles
- Mettre en œuvre des tests adversariaux
- Renforcer les mesures de cybersécurité
- Établir le signalement des incidents
- Documenter les analyses de risques
L'objectif est de minimiser les abus, la désinformation ou les risques de sécurité.
Devoir de diligence renforcé
Les fournisseurs de GPAI systémiques sont soumis à un régime de surveillance réglementaire particulièrement strict.
Relation avec les systèmes à haut risque
Un modèle GPAI en soi n'est pas automatiquement un système à haut risque.
Toutefois : Si un modèle GPAI est intégré dans un système d'IA à haut risque, les obligations de haut risque s'appliquent en outre au système global.
Exemple : Un modèle de langage est intégré dans un système de recrutement -- le système global peut être à haut risque, même si le modèle de base est un GPAI.
Qu'est-ce que cela signifie pour les utilisateurs d'API ?
Les entreprises utilisant un LLM via API :
- Ne sont généralement pas fournisseurs du modèle GPAI
- Mais peuvent devenir fournisseurs ou déployeurs d'un système à haut risque
- Portent leurs propres obligations de documentation et de transparence
Important pour les entreprises
L'utilisation d'un LLM externe ne vous exempte pas de vos propres obligations de conformité.
Idées fausses courantes
| Hypothèse | Réalité |
|---|---|
| « Le fournisseur du LLM est responsable » | Uniquement pour le modèle de base |
| « Utilisation d'API = pas d'obligations » | Les obligations de déployeur subsistent |
| « L'open source n'est pas réglementé » | La mise à disposition commerciale peut déclencher des obligations de fournisseur |
Codes de conduite
Des codes de conduite volontaires sont prévus pour les GPAI.
Ceux-ci peuvent :
- Créer une standardisation
- Simplifier la conformité
- Accroître la confiance du marché
Ils ne remplacent cependant pas les obligations légales.
Mise en œuvre pratique pour les entreprises
Étape 1 -- Analyse des rôles
- Utilisons-nous uniquement un modèle externe ?
- Le modifions-nous ?
- Le réentraînons-nous ?
Étape 2 -- Vérification de la documentation
- Avons-nous documenté la finalité prévue ?
- Est-il clair comment le modèle est intégré ?
- Les risques ont-ils été évalués ?
Étape 3 -- Analyse des risques en aval
- Dans quel contexte le modèle est-il déployé ?
- Le système global relève-t-il de l'annexe III ?
- Y a-t-il des interfaces avec le RGPD ?
Lien avec le RGPD
Les modèles GPAI peuvent :
- Contenir des données à caractère personnel
- Générer des données à caractère personnel
- Utiliser des données d'entraînement issues du web scraping
Questions pertinentes relatives au RGPD :
- Base juridique pour l'entraînement
- Droits des personnes concernées
- Exactitude des résultats
- Transferts vers des pays tiers
Importance stratégique
La réglementation des GPAI est politiquement très sensible.
Les entreprises devraient :
- Examiner les dépendances technologiques
- Mettre en œuvre les obligations de documentation précocement
- Établir des structures de gouvernance
Besoin d'aide pour la mise en œuvre ?
Collaborez avec Creativate AI Studio pour concevoir, valider et implémenter des systèmes d'IA — techniquement solides, conformes et prêts pour la production.
Un projet innovant ou à haut risque ?
Collaborez avec Creativate AI Studio et un réseau d'experts du secteur et de chercheurs en deep-tech pour explorer, prototyper et valider des systèmes d'IA avancés.
Prochaines étapes
- Vérifiez si vous êtes fournisseur ou utilisateur d'un modèle GPAI.
- Documentez l'intégration et la finalité d'utilisation.
- Évaluez les risques en aval.
- Vérifiez les classifications potentielles à haut risque.
- Intégrez la gouvernance GPAI dans votre système de conformité.
Besoin d'aide pour la mise en œuvre ?
Collaborez avec Creativate AI Studio pour concevoir, valider et implémenter des systèmes d'IA — techniquement solides, conformes et prêts pour la production.
Besoin de clarté juridique ?
Pour des questions juridiques spécifiques sur la Loi sur l'IA et le RGPD, un conseil juridique spécialisé en réglementation de l'IA, protection des données et structures de conformité est disponible.
Conseil juridique indépendant. Aucune information juridique automatisée. La plateforme ai-playbook.eu ne fournit pas de conseil juridique.