Règles de l’Acte sur l’IA de l’UE concernant les modèles GPAI sous l’examen de DeepSeek
La montée en puissance de l’application d’IA chinoise DeepSeek pousse les décideurs politiques de l’UE à envisager des modifications à l’Acte sur l’IA de l’UE. Cette évolution pourrait inclure une mise à jour d’une mesure de seuil relative à la puissance de calcul spécifiée dans la réglementation, avec des implications potentielles pour la régulation d’autres modèles d’IA à usage général (GPAI).
Modèles GPAI et détermination du « risque systémique »
Les modèles GPAI sont des modèles d’IA capables d’effectuer une large gamme de tâches et constituent souvent la base d’autres systèmes d’IA. Les grands modèles de langage (LLM) en sont un exemple.
Les règles spécifiques aux fournisseurs de modèles GPAI sont énoncées dans le Chapitre V de l’Acte sur l’IA, qui entrera en vigueur le 2 août 2025.
Les règles les plus strictes s’appliquent aux fournisseurs de modèles GPAI « avec risque systémique ». Comprendre si un modèle GPAI sera classé comme un modèle « avec risque systémique » est une étape essentielle pour les développeurs d’IA, mais ce n’est pas un processus simple.
Le concept de « risque systémique » est défini dans l’Acte. Il signifie « un risque spécifique aux capacités à fort impact des modèles d’IA à usage général, ayant un impact significatif sur le marché de l’UE en raison de leur portée, ou en raison d’effets négatifs réels ou raisonnablement prévisibles sur la santé publique, la sécurité, les droits fondamentaux ou la société dans son ensemble, pouvant être propagés à grande échelle à travers la chaîne de valeur ».
La pertinence des « FLOPS » et comment DeepSeek change la donne
Les opérations en virgule flottante, ou FLOPS, mesurent la puissance de calcul. L’Article 51(2) stipule qu’un modèle GPAI sera présumé avoir des « capacités à fort impact » lorsque plus de 10^25 FLOPS sont utilisés pour entraîner le modèle.
Les considérations dans l’Acte sur l’IA précisent que les fournisseurs de modèles GPAI doivent savoir quand ils ont dépassé le seuil de FLOPS avant que le développement de ces modèles ne soit achevé. Cela est dû au fait que, comme l’indique le texte, « l’entraînement des modèles d’IA à usage général nécessite une planification considérable, y compris l’allocation préalable des ressources informatiques ».
Les fournisseurs doivent notifier le Bureau de l’IA de l’UE dans les deux semaines suivant le dépassement du seuil ou la prise de conscience de ce dépassement. Les fournisseurs qui atteignent le seuil de FLOPS peuvent argumenter que leurs modèles ne devraient pas être classés comme des modèles GPAI « avec risque systémique ».
Que peuvent attendre les fournisseurs de modèles GPAI ?
Bien qu’il reste à voir comment la Commission répondra aux développements mentionnés, les commentaires doivent être considérés dans un contexte géopolitique plus large. L’année dernière, les « exigences réglementaires supplémentaires sur les modèles d’IA à usage général » ont été citées comme un exemple de réglementation de précaution qui freine l’innovation.
La Commission européenne a promis de « réduire la paperasse » en relation avec l’IA, avec des propositions de « simplification » du règlement numérique de l’UE à venir. Dans ce contexte, une augmentation du seuil de FLOPS pourrait être cohérente avec un mouvement vers la réduction des charges réglementaires autour de l’IA au sein de l’UE.
En revanche, une réduction du seuil de FLOPS représenterait une reconnaissance par la Commission de l’impact de DeepSeek et de l’effet probable qu’il aura sur d’autres développeurs.
Réglementation à deux niveaux et code de pratique GPAI
Les fournisseurs de tous les modèles GPAI doivent respecter des obligations relatives à la tenue de dossiers, à la transparence et aux droits d’auteur, sous réserve d’exceptions pour certains modèles GPAI publiés sous une licence libre et open source.
Les modèles classés comme modèles GPAI avec risque systémique doivent faire face à des obligations supplémentaires, notamment :
- Évaluer le modèle, y compris par des tests adversariaux, pour identifier et atténuer les risques systémiques ;
- Documenter et signaler sans délai tout incident grave et les mesures correctives prises ;
- Assurer un niveau de protection de la cybersécurité adéquat pour le modèle et son infrastructure physique.
Le code de pratique GPAI, actuellement en phase finale de développement, sera un outil important pour aider les fournisseurs à se conformer au régime des modèles GPAI de l’Acte sur l’IA.
Les fournisseurs doivent être conscients que les modèles GPAI peuvent être classés comme des systèmes d’IA « à haut risque » en vertu de l’Acte sur l’IA de l’UE, ce qui étend considérablement leurs obligations réglementaires.
