Le Bureau de l'IA de la Commission européenne a publié mardi dernier la troisième ébauche du Code de bonnes pratiques destiné à aider les fournisseurs de modèles d'IA à usage général (GPAI) à se conformer aux exigences induites par l'AI Act, notamment en matière de transparence, de droit d'auteur et de gestion des risques. Cette nouvelle version fournit, selon les experts indépendants chargés de l'élaboration du Code, une structure plus rationalisée ainsi que des engagements et des mesures plus nuancés.

Alors que l'AI Act est entré en vigueur en août 2024, ses règles concernant les GPAI tels que GPT-4 d’OpenAI ou Gemini de Google DeepMind, entreront en application à partir d'août prochain. Initié par la Commission européenne, le Code de bonnes pratiques vise à fournir des recommandations et des directives pour garantir une utilisation responsable et transparente de l'IA.

Les fournisseurs de GPAI tout comme les organisations de la société civile, universitaires et experts peuvent prendre part à l'un des groupes de travail des séances plénières virtuelles organisées par le Bureau de l'IA en vue de sa rédaction. La séance plénière de lancement a eu lieu en septembre dernier, suivie de 2 réunions en ligne qui ont abouti aux deux premières ébauches du Code.

Cette nouvelle mouture, basée sur les commentaires reçus sur la deuxième version publiée le 19 décembre dernier, présente des mesures plus détaillées pour mettre en œuvre chaque engagement. Deux engagements clés concernent la transparence et le droit d’auteur. Ils s'appliquent à tous les modèles d’IA à usage général, avec une exemption d'obligation de transparence pour les modèles open source. Si pour le droit d’auteur, le Code préserve les principes posés dans la version précédente tout en les rendant plus lisibles, le ton est moins incisif. La mesure concernant le dépôt des réclamations permet ainsi aux signataires de refuser de donner suite à une réclamation "lorsque les plaintes des titulaires de droits sont manifestement infondées ou excessives, en particulier en raison de leur caractère répétitif".

Les seize autres ciblent les fournisseurs dont les modèles sont classés à risque systémique, mettant l’accent sur la sûreté et la sécurité. On peut retrouver les mesures sur le site web dédié (non officiel).

Les premières réactions à cette publication sont très mitigées.  Plusieurs ONG et défenseurs des droits numériques reprochent à la Commission d'avoir cédé à la pression des grandes entreprises technologiques, estimant que les ajustements effectués affaiblissent la régulation initialement envisagée, tandis que ces dernières considèrent que le Code demeure trop contraignant et risque de freiner l’innovation.

Les experts admettent que cette 3ème ébauche" ne contient toujours pas le niveau de clarté et de cohérence attendue". Les commentaires des parties prenantes attendus d'ici le 30 mars leur permettront de la peaufiner pour présenter la version finale prévue en mai prochain.