La Loi sur l'IA de l'UE démarre une phase clé, impactant les modèles GPAI
La Loi historique de l’Union européenne sur l’IA est entrée dans une nouvelle phase critique de mise en œuvre, façonnant de manière significative la façon dont les entreprises conçoivent et déploient des systèmes d’intelligence artificielle qui interagissent avec ou sont utilisés par les résidents européens. Cela marque un an depuis que cette législation ambitieuse, initialement proposée par la Commission européenne en 2021 et formellement approuvée en mars 2024, a commencé son déploiement progressif. La phase initiale, qui a débuté en février 2025, a imposé des interdictions pures et simples sur certaines applications d’IA jugées présenter des risques inacceptables, telles que le scraping indiscriminé d’images faciales provenant d’internet ou de flux de vidéosurveillance.
Depuis le 2 août, la deuxième phase de mise en œuvre est désormais active, introduisant deux exigences essentielles. Premièrement, elle impose à tous les États membres de l’UE d’établir leurs autorités nationales responsables de la notification et de la surveillance des systèmes d’IA. Deuxièmement, et peut-être plus impactant pour l’industrie technologique mondiale, cette phase initie l’application des réglementations concernant les modèles d’IA « à usage général » (GPAI). Cette catégorie englobe les systèmes d’IA fondamentaux comme les grands modèles de langage et les systèmes avancés de vision par ordinateur, qui servent de blocs de construction pour une vaste gamme d’applications.
Pour les fournisseurs de modèles GPAI, la Loi sur l’IA exige désormais une transparence et une responsabilité accrues. Les stipulations clés incluent la divulgation des données d’entraînement et des licences d’utilisation. Cela signifie que les fournisseurs doivent fournir un résumé détaillé du contenu utilisé pour entraîner leurs modèles, ainsi qu’une preuve vérifiable du consentement des individus qui ont généré ces données d’entraînement. Comme l’a souligné Thomas Regnier, porte-parole de la Commission européenne, « Les sources utilisées pour entraîner un modèle d’IA à usage général mis à la disposition des utilisateurs en Europe devront être clairement documentées. Si elles sont protégées par le droit d’auteur, les auteurs devront être rémunérés et, surtout, leur consentement devra être obtenu. » De plus, pour les modèles GPAI identifiés comme présentant un « risque systémique », les fournisseurs doivent démontrer leurs méthodologies d’évaluation, détailler leurs stratégies d’atténuation des risques et signaler tout incident grave susceptible de se produire.
Ces nouvelles réglementations s’appliquent immédiatement à tout nouveau modèle GPAI mis en production après le 2 août 2025. Cependant, la Commission européenne a accordé une période de grâce d’un an aux modèles GPAI existants déjà en production de la part de grands acteurs tels que les géants technologiques américains Google, OpenAI, Meta et Anthropic, ainsi que la société européenne d’IA Mistral, avant que la pleine application ne commence pour eux. Le non-respect de la nouvelle loi entraîne des sanctions financières substantielles, allant de 7,5 millions d’euros (environ 8,1 millions de dollars) ou 1 % du chiffre d’affaires d’une entreprise, jusqu’à 35 millions d’euros (environ 38 millions de dollars) ou 7 % des revenus mondiaux. Ces amendes significatives sont désormais activement applicables.
Dans un effort pour faciliter la conformité, la Commission européenne a publié le mois dernier le Code de conduite de l’UE sur l’IA, un cadre volontaire conçu pour guider les entreprises sur leurs obligations concernant la sécurité, la transparence et le droit d’auteur de l’IA. Bien que de nombreuses entreprises technologiques américaines et sociétés européennes d’IA de premier plan aient signé ce code, certaines ont exprimé des réserves ou ont carrément refusé. Google, par exemple, a signé le code mais a exprimé des préoccupations dans un billet de blog, déclarant : « nous restons préoccupés par le fait que la Loi sur l’IA et le Code risquent de ralentir le développement et le déploiement de l’IA en Europe. En particulier, les dérogations à la loi européenne sur le droit d’auteur, les mesures qui ralentissent les approbations ou les exigences qui exposent les secrets commerciaux pourraient freiner le développement et le déploiement des modèles européens, nuisant à la compétitivité de l’Europe. » Pendant ce temps, Meta, la société mère de Facebook, a explicitement déclaré qu’elle ne signerait pas le Code de conduite. Joel Kaplan, responsable du bureau des affaires mondiales de Meta, a affirmé que « l’Europe s’engage sur la mauvaise voie en matière d’IA. »
Pour l’avenir, la prochaine phase de l’application de la Loi sur l’IA ciblera les systèmes d’IA « à haut risque », que la Commission européenne définit comme ceux utilisés dans des domaines sensibles tels que l’application de la loi, l’éducation, les infrastructures critiques et la notation de crédit. Les organisations déployant ces types de systèmes seront tenues de mettre en œuvre des garanties strictes avant le déploiement, y compris la réalisation d’évaluations des risques approfondies pour s’assurer qu’elles ne violent pas les droits fondamentaux, l’établissement de protocoles de surveillance robustes, la tenue de journaux détaillés des activités du système d’IA et la garantie que le personnel de soutien est adéquatement formé. L’approche multi-phases de l’UE souligne sa détermination à établir un cadre réglementaire complet pour l’intelligence artificielle, équilibrant l’innovation avec des normes éthiques et de sécurité rigoureuses.