Code de bonnes pratiques de l’IA à usage général
Le début du mois d’août 2025 a marqué une nouvelle avancée dans la mise en œuvre du Règlement IA (« RIA » ou, en anglais, « IA Act »).
La version finale du code de bonnes pratiques pour les intelligences artificielles à usage général évoqué dans la précédente LAJ (n° 167 d’avril 2025[1]) a été présentée le 10 juillet 2025 et approuvée par la Commission européenne et le Comité de l’IA le 1er août 2025[2].
En outre, et conformément au calendrier de mise en œuvre progressif défini par le RIA, plusieurs de ses dispositions clés ont commencée à s’appliquer dès le 2 août 2025, concernant la gouvernance (chapitre VII), la régulation des modèles d’IA à usage général (chapitre V), les autorités de notification et organismes notifiés (chapitre III, section 4), le principe de confidentialité pour les informations traitées par dans le cadre de l’application du RIA (article 78), la désignation des autorités nationales compétentes (article 70), ainsi que les sanctions applicables (articles 99 et 100).
Pour la présente brève, nous sommes plus particulièrement revenues sur la notice explicative et le modèle du « résumé suffisamment détaillé » qui devra être fourni par tout fournisseur de modèles d’IA à usage général (« IAG ») afin de détailler le contenu utilisé pour la formation de leurs modèles (1) et sur la désignation des autorités nationales compétentes (2).
Sur la notice explicative et le modèle de « résumé suffisamment détaillé »
Cette notice explicative et le modèle de résumé, produits par le Comité de l’IA (émanation de la Commission européenne) et publiés le 24 juillet 2025, étaient particulièrement attendus des acteurs des secteurs de la création au vu des enjeux de propriété intellectuelle liés à l’IAG. Ils répondent en ce sens à l’obligation prévue à l’article 53 (1) (d) du RIA qui impose aux fournisseurs d’IAG de « mettre à la disposition du public un résumé suffisamment détaillé du contenu utilisé pour la formation du modèle d’IA à usage général selon un modèle fourni par l’Office AI ».
Pour les fournisseurs ayant mis sur le marché (ou en service) leur modèle de IAG avant le 2 août 2025, le RIA ne leur sera applicable que le 2 août 2027[3].
Le modèle publié le 24 juillet dernier est composé de trois parties, à savoir :
- les informations générales (principalement pour établir l’identité du fournisseur, de son IA et des données d’entraînement[4]) ;
- la liste des sources de données avec une description ;
- et enfin les aspects pertinents du traitement de données (c’est-à-dire les mesures prises pour assurer un traitement éthique, légal et conforme des données utilisées impliquant notamment le respect du droit d’auteur, la suppression des contenus manifestement illicites etc.).
Certaines limites de ce modèle ont d’ores et déjà été pointées. En effet, la notice l’accompagnant limite son exigence en matière d’information détaillée puisque l’obligation de transparence ne doit pas compromettre les secrets commerciaux et les informations commerciales confidentielles (incluant entre autres les techniques spécifiques d’entrainement). En pratique, l’efficacité du modèle pourrait donc s’avérer d’autant plus réduite par le renseignement d’informations faussées ou partielles, et la capacité de vérification de ces informations.
Sur la désignation des autorités nationales compétentes
Le 2 août 2025 devait être marqué par la désignation des autorités nationales compétentes, mais aucune autorité n’a été désignée officiellement à ce jour en France[5]. Au vu des derniers arbitrages, il semblerait que de larges compétences soient attribuées à la Cnil, l’Arcom et la DGCCRF, le tout coordonné par la DGCCRF et la DGE (Direction Générale des Entreprises).
La désignation des autorités compétentes est essentielle puisqu’elles sont à la fois l’autorité de notification de l’article 28 du RIA (chargée de mettre en place les procédures nécessaires à l’évaluation, à la désignation et à la notification des organismes d’évaluation de la conformité, ainsi qu’à leur contrôle) et l’autorité de surveillance des marchés évoquée à l’article 3 (ayant directement en charge de contrôler les systèmes d’IA).
Si la date du 2 août 2025 marque une étape concrète dans la mise en œuvre du RIA, une nouvelle échéance est d’ores et déjà fixée au calendrier. Dès le 2 février 2026, les lignes directrices sur la mise en œuvre pratique des règles de classification des systèmes d’IA à haut risque seront disponibles.
______
[1] Gabrielle Lambert, Audrey Lefèvre. (2025, avril 9). Actualité règlement IA : nouvelle version du Code de bonnes pratiques pour les intelligences artificielles à usage général. SEBAN AVOCATS. https://www.seban-associes.avocat.fr/actualite-reglement-ia-nouvelle-version-du-code-de-bonnes-pratiques-pour-les-intelligences-artificielles-a-usage-general/
[2] Élaboration d’un code de bonnes pratiques en matière d’IA à finalité générale. (s. d.). Bâtir L’avenir Numérique de L’Europe. https://digital-strategy.ec.europa.eu/fr/policies/ai-code-practice
[3] Calendrier de mise en œuvre de la loi européenne sur l’intelligence artificielle. (s. d.). https://artificialintelligenceact.eu/fr/implementation-timeline/
[4] « Jeu de données (texte, sons, images, listes, etc.) utilisé lors de la phase d’entrainement / d’apprentissage [pour que] le système s’entraîne sur ces données pour effectuer la tâche attendue de lui. »
[5] Aperçu de tous les plans nationaux de mise en œuvre de la loi sur l’intelligence artificielle | Loi européenne sur l’intelligence artificielle. (s. d.). https://artificialintelligenceact.eu/fr/national-implementation-plans/#:~:text=La%20Commission%20nationale%20pour%20la,la%20loi%20sur%20l’IA.