Lorsque l’Orientation Devient un Dépassement
À partir du 2 août 2025, les fournisseurs de modèles d’« Intelligence Artificielle à Usage Général » (GPAI) – tels que GPT, DALL-E, Gemini et Midjourney – devront faire face à des obligations considérables en vertu de la Loi sur l’IA de l’UE. L’émergence de ces modèles linguistiques (multimodaux) en fin d’année 2022 a poussé les législateurs européens à inclure rapidement des réglementations sur le GPAI dans la Loi sur l’IA.
Les fournisseurs de modèles GPAI doivent fournir une documentation technique, mettre en œuvre une politique de droits d’auteur, publier un résumé du contenu d’entraînement et, pour les modèles particulièrement puissants pouvant poser des risques systémiques, entreprendre des évaluations des risques et des mesures d’atténuation.
Pour démontrer leur conformité, la Loi sur l’IA permet aux fournisseurs de s’appuyer sur un « Code de Pratique », actuellement en cours d’élaboration par plus de 1000 parties prenantes sous l’égide du Bureau de l’IA, et devant être adopté par la Commission Européenne avant août 2025.
Co-régulation comme Stratégie Centrale de la Loi sur l’IA
La Loi sur l’IA repose sur le Nouveau Cadre Législatif (NLF), qui s’appuie sur la co-régulation : un dialogue structuré entre les régulateurs et l’industrie pour traduire les obligations juridiques générales en normes techniques. Au lieu de spécifier les détails techniques dans la législation, la Loi sur l’IA définit les exigences essentielles et laisse la tâche de concrétisation aux organisations de normalisation européennes CEN et CENELEC par l’intermédiaire de leur comité conjoint, JTC21.
Les normes harmonisées fournissent une sécurité juridique : une fois adoptées par la Commission, la conformité à ces normes crée une présomption de conformité avec la Loi sur l’IA. Bien que les entreprises puissent, en théorie, développer leurs propres solutions techniques, les difficultés administratives et les coûts supplémentaires impliqués les poussent généralement à suivre les normes.
Le Code de Pratique comme « Partie du Droit de l’UE »
Bien que des normes harmonisées soient envisagées pour les modèles GPAI, les efforts de normalisation dans ce domaine en sont encore à un stade précoce. Pour combler cette lacune, la Loi sur l’IA introduit un instrument intérimaire : le Code de Pratique. Une fois adopté par la Commission Européenne par le biais d’un acte d’exécution, la conformité au Code accordera une présomption de conformité en vertu des articles 53(4)(2) et 55(2)(2) de la Loi sur l’IA – semblable aux normes harmonisées.
En théorie, les fournisseurs peuvent choisir de ne pas s’appuyer sur le Code et de démontrer leur conformité par d’autres moyens. Cependant, en pratique, le Code façonnera probablement l’interprétation et l’application des obligations GPAI par la Commission.
Étant donné ses conséquences juridiques et pratiques, il ne fait aucun doute que la Cour de Justice de l’Union Européenne (CJUE) reconnaîtra également le Code comme « partie du droit de l’UE ». Par conséquent, le Code doit être élaboré en conformité avec l’état de droit (Art. 2 TUE) – tant sur le plan procédural que substantiel. Cependant, ce n’est actuellement pas le cas.
Un Processus Non Réglementé avec 1 000 Parties Prenantes
Alors que le développement des normes harmonisées est régi par le Règlement 1025/2012, la rédaction du Code de Pratique s’appuie uniquement sur l’article 56 de la Loi sur l’IA, qui autorise vaguement le Bureau de l’IA à inviter des parties prenantes.
Le résultat est un processus sans règles structurées, sans transparence, et sans garanties démocratiques. Initialement, le Bureau de l’IA prévoyait de rédiger le Code à huis clos. En réponse aux critiques, il a inversé la tendance, lançant une consultation avec près de 1 000 parties prenantes – coordonnée par 10 experts, dont certains sont non-européens.
Avec un calendrier extrêmement compressé et un nombre de participants peu maniable, le processus a laissé peu de place à une délibération réfléchie ou à une contribution équilibrée. Plus inquiétant encore, des universitaires – dont beaucoup n’ont pas d’expertise juridique ou d’expérience en normalisation technique – dirigent l’effort de rédaction. Pourtant, le Code, une fois adopté, définira les attentes des obligations GPAI et influencera l’application.
Le Code de Pratique comme Cheval de Troie pour Redéfinir la Loi sur l’IA ?
Le fond du projet est tout aussi préoccupant. Bien que son objectif soit d’aider les fournisseurs à respecter les obligations existantes, le projet actuel dépasse la simple clarification – introduisant de nouvelles exigences non envisagées dans la Loi sur l’IA.
Un exemple est le rôle proposé des évaluateurs externes avant la mise sur le marché des modèles GPAI présentant des risques systémiques, qui n’est pas prévu par la Loi sur l’IA. Le projet exige des fournisseurs qu’ils obtiennent des évaluations externes des risques systémiques, y compris des évaluations de modèles, avant de mettre leurs modèles sur le marché.
Un autre exemple concerne les droits d’auteur : la mesure I.2.4. du projet exige que les développeurs de modèles GPAI fassent des efforts raisonnables pour déterminer si le contenu protégé a été collecté par un robot.txt conforme – une obligation non imposée par la Loi sur l’IA. De plus, la mesure I.2.5. mandate que les fournisseurs de modèles GPAI prennent des mesures raisonnables pour atténuer le risque que les systèmes d’IA en aval génèrent à plusieurs reprises du contenu enfreignant les droits d’auteur.
Encore une fois, la question n’est pas de savoir si ces exigences sont raisonnables, mais que le Code a pour seul but de clarifier les obligations de la Loi sur l’IA, et non de les redéfinir. Par conséquent, le Code ne doit pas être utilisé comme un cheval de Troie pour redéfinir la Loi sur l’IA selon des préférences politiques – contournant les procédures démocratiques.
Prochaines Étapes : Adopter ou Ne Pas Adopter le Projet de Code de Pratique
Que se passe-t-il ensuite ? Le Code de Pratique ne prendra effet que s’il est approuvé par la Commission par le biais d’un acte d’exécution en vertu de l’article 56(6) de la Loi sur l’IA. Contrairement aux actes délégués, les actes d’exécution n’habilitent pas la Commission à modifier ou à compléter la législation de base, c’est-à-dire la Loi sur l’IA.
Ainsi, la Commission et le Conseil de l’IA ne doivent pas simplement approuver le projet actuel. Au lieu de cela, ils devraient procéder à un examen critique approfondi pour s’assurer que les mesures proposées sont réellement nécessaires à la mise en œuvre et ne contredisent pas ou ne dépassent pas les dispositions de la Loi sur l’IA.
Tout cela compromettrait non seulement le compromis politique soigneusement négocié entre le Parlement et le Conseil dans la Loi sur l’IA, mais conduirait également à un dépassement inconstitutionnel des pouvoirs d’application de la Commission.
