Le CeSIA salue la publication du Code de bonnes pratiques sur l'IA à usage général et appelle les entreprises du secteur à y adhérer

Le Centre de Sécurité de l'IA (CeSIA) se félicite de la publication ce jour de la version finale du Code de bonnes pratiques pour l'IA à usage général : c'est une première étape capitale vers la mise en œuvre des exigences du règlement européen sur l’IA pour les systèmes d'IA les plus avancés. Le CeSIA déplore toutefois plusieurs lacunes importantes dans le texte final.

« Bien que le texte final ait été affaibli par le lobbying de dernière minute de l'industrie, il constitue une base solide. Ayant obtenu les concessions qu'elles réclamaient, les entreprises n'ont désormais plus aucune excuse pour ne pas signer et respecter pleinement ce Code. De son côté, le Bureau de l'IA devra veiller à son application avec fermeté. L'heure n'est plus à la négociation, mais à l'action. »

– Charbel Raphaël Ségerie, Directeur exécutif du CeSIA

Les avancées et les reculs

Le CeSIA, avec d'autres organisations de la société civile spécialistes de la sécurité de l'IA, a participé au processus via les consultations officielles mais aussi au moyen de lettres ouvertes appelant à davantage d’exigences formelles et de transparence dans l’évaluation des modèles préalablement à leur déploiement.

Plusieurs de ces recommandations ont été entendues et intégrées dans la version finale du Code. En particulier, un résumé de la documentation d’évaluation des modèles devra systématiquement être rendu public, et des évaluations externes sont techniquement requises pour les systèmes d'IA présentant des risques systémiques. Les fournisseurs peuvent toutefois auto-certifier que les risques sont « similaires » à ceux de modèles existants pour s’affranchir de cette obligation, ou même prétexter qu'aucun évaluateur tiers qualifié n'est disponible.

Le Code souffre également d'importantes faiblesses :

• Aucune documentation sur la sûreté des modèles n'est exigée avant leur déploiement. Les évaluations des risques et les rapports sur les modèles ne sont requis qu'après leur mise sur le marché. Cela prive les régulateurs de toute possibilité d'évaluer les risques en amont.
• La préparation aux situations d'urgence n'est plus obligatoire. Alors que les versions précédentes du Code contenaient des lignes directrices claires sur les plans d'intervention en cas d'incident, la version finale rend cette planification facultative.
• La protection des lanceurs d'alerte a été vidée de sa substance. Le Code ne contient qu'une seule phrase interdisant les représailles. Les versions antérieures prévoyaient un alignement sur le droit européen en la matière et des canaux de signalement sécurisés : tout cela a disparu.

Dans l’ensemble, les développeurs de modèles gardent la main sur la définition des risques systémiques, le choix des évaluateurs, les processus de « red-teaming » et le suivi post-déploiement. De nombreuses mesures sont formulées en tant que principes généraux, sans encadrement précis ni obligation de moyens.

De la négociation à l'application

Si le processus a intégré les organisations de la société civile dans ses premières phases, les dernières semaines de négociation ont marqué un net changement : des ateliers supplémentaires ont été organisés à huis clos avec les grandes entreprises de l'IA et plusieurs dispositions relatives à la sécurité et à la responsabilité semblent avoir été assouplies ou supprimées en conséquence.

Même imparfait, ce Code constitue un signal de départ indispensable. Alors que l'Europe s’apprête à passer de la négociation à l'application du règlement sur l’IA pour les modèles à usage général, il appartient désormais aux institutions et aux entreprises de s'assurer qu'il tienne ses promesses.