Le règlement européen sur l’IA « RIA » (ou en anglais « AI Act ») entre progressivement en vigueur. Si la plupart de ses dispositions ne s’appliqueront pas avant août 2026, des exigences clés relatives aux « modèles d’IA à usage général » (acronyme anglais « GPAI ») entreront en vigueur beaucoup plus tôt, à avoir à compter du 2 août 2025.
En prévision de cette étape importante, le Code de Bonnes Pratiques pour les modèles d’IA à usage général a été publié (en anglais) sur le site internet de la Commission européenne, le 10 juillet 2025. Il s’agit d’un référentiel auquel les fournisseurs de systèmes d’IA à usage général peuvent choisir d’adhérer. Il a été élaboré par des experts indépendants dans le cadre d’un processus multipartite réunissant près de 1 000 participants (fournisseurs de modèles d’IA à usage général, fournisseurs en aval, organisations industrielles, société civile, titulaires de droits et autres entités, ainsi que des universitaires et des experts indépendants). Le Code représente un premier effort pour traduire les obligations du RIA, spécifiques aux IA à usage général, en mesures pratiques.
Il se concentre sur trois domaines principaux (Transparence, Droit d’auteur, Sûreté et Sécurité) et offre un cadre sur lequel les développeurs de modèles d’IA à usage général peuvent s’appuyer pour démontrer des pratiques responsables, conformes à l’approche réglementaire évolutive de l’UE.
Le Code n’a pas encore été officiellement adopté, ni approuvé. Il sera examiné par le Bureau de l’IA et le Comité européen de l’IA, qui évalueront sa conformité avec le RIA et détermineront s’il doit être reconnu comme référence non-contraignante en matière de conformité. À l’issue de cet examen, la Commission européenne et les États membres pourront choisir de l’approuver, de le réviser ou de le conserver à titre d’outil de référence optionnel pour les fournisseurs.
Pour l’instant, le Code fait office d’instrument de gouvernance transitoire. Bien qu’il ne soit pas obligatoire, il devrait influencer l’interprétation réglementaire et façonner les attentes du marché dans la perspective de l’application progressive du RIA.
Les objectifs du Code : une approche globale
Le Code s’appuie sur les exigences du RIA mais introduit également plusieurs éléments qui vont au-delà, offrant une vision plus détaillée de la manière dont les obligations peuvent être mises en œuvre en pratique.
Le Code couvre l’article 53 du RIA, qui impose aux fournisseurs d’IA à usage général de préparer et de tenir à jour une documentation technique conforme aux annexes XI et XII du RIA et de mettre les informations spécifiées à la disposition des « déployeurs en aval » ou « downstream deployers » (à savoir les fournisseurs qui envisagent d’intégrer l’IA à usage général dans leurs systèmes d’IA) et, sur demande, à la disposition du Bureau de l’IA ou des autorités nationales compétentes.
Il propose un Modèle de Formulaire d’Information (Model documentation Form) facile d’utilisation, qui permet aux fournisseurs de documenter les informations nécessaires pour se conformer à l’obligation, prévue par le RIA, de garantir une transparence suffisante. Ce formulaire prévoit notamment une description des « utilisations prévues » (y compris les utilisations restreintes et/ou interdites par le fournisseur, en plus de celles interdites par le RIA) ainsi que le type et la nature des systèmes d’IA dans lesquels le modèle d’IA à usage général peut être intégré.
La qualité et l’intégrité des informations doivent être contrôlées et les informations doivent être conservées et protégées contre toute modification involontaire. Elles doivent être fournies aux déployeurs en aval, sous réserve des garanties de confidentialité et des conditions prévues à l’article 53, paragraphe 7, et à l’article 78 du RIA.
De plus, le Code introduit une période de conservation (dix ans après la mise sur le marché) pour la documentation de chaque version, exige des mises à jour chaque fois que des changements importants surviennent et suggère de rendre publiques certaines informations non-sensibles, afin de renforcer la confiance lors de la mise sur le marché du modèle d’IA à usage général (aucune de ces mesures n’étant explicitement requise par la loi).
Le Code développe l’obligation prévue à l’article 53, paragraphe 1, point c) du RIA qui a pour objectif de garantir le respect du droit de l’Union européenne en matière de droit d’auteur et de droits voisins. Ceci comprend notamment la reproduction et l’extraction des seuls contenus légalement accessibles protégés par le droit d’auteur, ainsi que l’identification et le respect des réservations de droits lisibles par machine lors de l’indexation automatique de données sur internet (« crawling on the World Wide Web »).
Le Code prévoit des mesures opérationnelles supplémentaires, recommandant des garanties techniques pour prévenir les sorties illicites, décourageant l’utilisation de contenus provenant de sources qui enfreignent systématiquement les droits de propriété intellectuelle et introduisant des mécanismes de réclamation pour les titulaires de droits (qui impliquent la mise en place d’un point de contact). Il précise cependant que « les mesures doivent être adaptées et proportionnées à la taille des fournisseurs, en tenant dûment compte des intérêts des PME, y compris les start-ups ».
Respecter le Code, même si cela peut démontrer la conformité au RIA, ne constitue pas en soi une conformité avec le droit de l’Union en matière de droit d’auteur et de droits voisins et n’affecte pas les accords conclus avec les titulaires de droits.
Chapitre « Sûreté et Sécurité »
Le Code contient un chapitre, long de 40 pages, qui reflète les obligations énoncées à l’article 55, paragraphe 1 et à l’article 56, paragraphe 5, ainsi qu’aux considérants 110, 114 et 115 du RIA, sur les exigences concernant les « modèles d’IA à usage général présentant un risque systémique ». Les fournisseurs doivent identifier, apprécier et atténuer les risques systémiques, procéder à des évaluations (y compris des essais contradictoires), mettre en œuvre des mesures de cybersécurité et communiquer les incidents graves aux autorités.
De plus, il complète ces exigences par des orientations plus structurées, notamment la définition de seuils de risque acceptables, la collecte d’informations indépendantes des modèles, la réalisation d’évaluations avant et après la mise sur le marché, le maintien d’une surveillance continue après la mise sur le marché et la définition de la répartition des responsabilités en matière de risque systémique.
Ses considérants énoncent, entre autres, le « principe de gestion appropriée du cycle de vie », en application duquel les fournisseurs doivent prendre des mesures appropriées « tout au long du cycle de vie du modèle (y compris pendant tout développement qui a lieu avant et après la mise sur le marché du modèle) », ainsi que coopérer avec « les acteurs concernés tout au long de la chaîne de valeur de l’IA (tels que les parties prenantes susceptibles d’être affectées par le modèle) » et tenir compte de leur avis.
Le Code reconnaît également que « des modalités de conformité simplifiées pour les petites et moyennes entreprises (TPE/PME) et les petites entreprises de capitalisation moyenne (SMC), y compris les start-ups, devraient être possibles dans la mesure où elles sont proportionnées ».
Divergence stratégique et implications plus larges
La publication du Code a déjà suscité des réactions diverses parmi les développeurs d’IA à usage général qui naviguent dans le paysage réglementaire émergent de l’UE.
Certains ont d’ores et déjà choisi de s’aligner sur le Code. Cette position peut être un moyen de s’engager de manière proactive auprès des autorités européennes. Le cas échéant, ces sociétés pourraient espérer participer au processus de révision du Code. Un tel alignement pourrait également être vu comme un moyen de renforcer les relations avec les partenaires en aval et d’améliorer la crédibilité sur un marché de plus en plus axé sur une « conformité démontrable ».
D’autres ont fait connaitre leur choix de ne pas se référer au Code à ce stade. Cette position peut être le reflet de la crainte qu’un instrument non-obligatoire puisse, à terme, se transformer de facto en norme contraignante qui va au-delà des exigences expresses du RIA. En ce sens, le refus d’adopter le Code permet d’éviter de s’engager dans des pratiques qui pourraient s’avérer inutilement contraignantes ou aller au-delà de ce que la règlementation exige.
Toutefois, rester en dehors du processus pourrait avoir des implications à plus long terme. Un manque d’engagement initial pourrait réduire la possibilité d’influencer la forme finale du Code lors de son examen par le Bureau de l’IA et le Conseil européen de l’IA. Cela pourrait également être perçu par les décideurs politiques comme un très faible empressement à coopérer avec les initiatives réglementaires européennes. Ceci pourrait conduire à ce que ces sociétés fassent l’objet d’une vigilance accrue ou aient moins d’opportunités de participer à des initiatives et à des partenariats soutenus par l’Union européenne. En outre, se dissocier de ces cadres pourrait permettre à des concurrents, en apparence plus alignés sur la stratégie européenne d’orienter le débat réglementaire. Et plus généralement ceci pourrait avoir une incidence sur la manière dont un fournisseur est perçu sur un marché stratégiquement important.
Est-ce le temps de l’action ou de la réflexion ?
Bien que non-obligatoire, le Code de bonnes pratiques influence déjà le débat sur l’avenir de la réglementation de l’IA en Europe et au-delà. Avant de décider d’adhérer ou non au Code, les développeurs doivent mettre en balance les considérations juridiques à court terme avec les intérêts stratégiques à plus long terme.
Une participation précoce peut contribuer à établir des relations constructives avec les autorités publiques et les partenaires en aval, tout en permettant de faire entendre sa voix dans l’élaboration de cadres juridiques non-obligatoires qui pourraient ensuite servir de base à une réglementation formelle. À l’inverse, rester en dehors du processus permet de conserver une certaine flexibilité et d’éviter des engagements prématurés.
Bien que le Code soit centré sur l’UE, ses principes peuvent néanmoins s’avérer pertinents au-delà de l’Europe. Les développeurs pourraient envisager d’adopter certaines de ses mesures sur d’autres marchés clés, notamment aux États-Unis, où le climat politique actuel met davantage l’accent sur la promotion de l’innovation et les approches dictées par le marché plutôt que sur la mise en place d’un cadre réglementaire complet. L’alignement volontaire sur certains éléments du Code pourrait aider les entreprises à anticiper une convergence réglementaire potentielle, à répondre à l’évolution des attentes sur les marchés transatlantiques et à renforcer la confiance dans un environnement où la gouvernance de l’IA fait l’objet d’une attention croissante.
En fin de compte, la réponse des différents acteurs dépendra de leur évaluation de la trajectoire réglementaire de l’UE, de leur volonté de s’engager de manière proactive et de la mesure dans laquelle ils considèrent l’Europe comme un marché clé ou un moteur potentiel des normes mondiales en matière d’IA.
