Aristotelis Zervos
Aristotelis Zervos, directeur de la rédaction de 2B Advice, allie expertise juridique et journalistique en Protection des données, la conformité informatique et la réglementation de l'IA.
Le règlement de l'UE sur l'IA (AI Act) est formellement entré en vigueur le 1er août 2024. Depuis le 2 février 2025, les premières interdictions de pratiques d'IA injustifiables et les obligations de compétence en matière d'IA sont devenues obligatoires. Depuis le 2 août 2025, des règles spécifiques de l'IGP ("General-Purpose AI") sont applicables. La Commission européenne a présenté à ce sujet le "General-Purpose AI Code of Practice". Nous donnons un aperçu de ce code de conduite et expliquons les avantages qu'il offre.
Contexte et genèse du code de pratique AI à usage général
Pour la première fois, des modèles d'IA à usage général ("General-Purpose AI", GPAI) seront réglementés à partir du mois d'août avec le règlement sur l'IA. Il s'agit notamment des modèles linguistiques de grande taille qui peuvent être utilisés pour une multitude de tâches (par exemple ChatGPT).
Toutefois, le processus législatif a montré que les exigences précises pour ces modèles d'AMPI sont complexes et que la technologie évolue rapidement. L'UE a donc décidé d'élaborer un code de conduite complémentaire pour les modèles d'AMPI. Ce code volontaire a été élaboré à partir de juillet 2024 dans le cadre d'un processus multipartite en plusieurs étapes, sous la direction de 13 experts indépendants. Plus de 1 000 parties prenantes (dont des fournisseurs d'IA, des PME, des universitaires, des experts en sécurité, des représentants des droits d'auteur et des ONG) ont fait part de leurs commentaires lors de consultations et d'ateliers.
Le 10 juillet 2025, la Commission européenne a présenté la version finale du "General-Purpose AI Code of Practice".
L'objectif du code est d'aider de manière pratique les développeurs et les fournisseurs de modèles d'IGP à se conformer aux nouvelles obligations légales du règlement sur l'IA. L'objectif est de garantir que même les modèles de base d'IA les plus puissants mis sur le marché en Europe soient sûrs et transparents.
Conseil de lecture : Règlement sur l'IA - l'UE publie les premières lignes directrices
Volontariat contre effet contraignant de fait du code
D'un point de vue juridique, le Code de pratique AI à usage général est un volontaire Guide de la conformité. Il est pas de norme juridiquement contraignante, mais un document élaboré par des experts et soutenu par la Commission européenne. Code de conduite.
Le code lui-même ne crée pas de nouvelles obligations. Il ne fait que concrétiser les obligations déjà imposées aux prestataires d'IGP par le règlement IGC, sans les étendre ou les renforcer..
La participation est volontaire, aucun fournisseur n'est formellement obligé d'y adhérer. Toutefois, le code a un impact considérable sur les effet contraignant de fait. D'une part, il sera probablement reconnu officiellement par la Commission européenne par le biais d'un acte d'exécution, après examen par le nouveau Bureau européen de l'intelligence artificielle (AI Office) et le Conseil de l'intelligence artificielle des États membres.. Il obtient ainsi un statut quasi officiel de reconnu voie de la conformité. La signature du code est alors considérée comme une preuve reconnue qu'un fournisseur d'IGP respecte ses obligations au titre du règlement sur l'IA. De facto, l'adhésion au code signale aux autorités de contrôle que le fournisseur prend les exigences pertinentes au sérieux et les met systématiquement en œuvre.
En conséquence, les Signataires du code avantages évidents : La Commission souligne que l'adhésion volontaire au code est compatible avec moins de charges administratives et une plus grande sécurité juridique de l'entreprise. L'autorité AI se concentrera principalement sur le contrôle du respect des engagements du code, plutôt que sur l'audit individuel et complet de chaque fournisseur..
C'est donc précisément dans la phase initiale sensible de la réglementation que le code peut servir de Mécanisme de type safe harbor ont un impact. Enfin, le soutien politique au niveau international a conduit des entreprises d'IA de renom comme OpenAI ou la start-up européenne Mistral à déclarer immédiatement leur intention d'adhérer au code.. Cela accroît la pression sur le secteur pour qu'il respecte le code en tant que meilleure pratique de reconnaître les droits de l'homme.
En revanche, si un fournisseur ne signe pas, il devra prouver sa conformité à l'AI Act par ses propres moyens, ce qui entraînera probablement une plus grande insécurité juridique et davantage d'efforts.. Dans la pratique, le code volontaire devient donc le Quasi-standardLes responsables de l'intelligence artificielle et les responsables de la conformité dans les entreprises s'en inspireront.
General-Purpose AI Code of Practice : transparence, droit d'auteur, sécurité
Le contenu du code de pratique de l'AMPI se divise en plusieurs parties trois chapitres principaux: Transparence, Droit d'auteur et Sécurité. Les deux premiers chapitres s'appliquent tous fournisseurs de modèles GPAI, tandis que le troisième chapitre uniquement pour les modèles les plus performants avec le risque systémique est pertinent. Le code reprend ainsi les nouvelles obligations légales découlant des articles 53 et suivants du RGPD. Le code reprend les nouvelles dispositions du règlement IC et les concrétise par des mesures et des procédures détaillées.
Transparence et documentation technique
Les fournisseurs d'AMPI s'engagent à fournir une documentation et des informations complètes sur leurs modèles et leurs caractéristiques.. Ainsi, il faut avoir une technique Documentation qui peut être présenté sur demande à l'AI Office et aux autorités de surveillance nationales.
Ce Documentation vise notamment à Capacités et limites du modèle, ainsi qu'un résumé des données de formation utilisées. En outre, les coordonnées du fournisseur doivent être rendues publiques afin que les fournisseurs en aval (qui intègrent le modèle dans leurs propres systèmes d'IA) ou les autorités puissent demander les informations nécessaires. Le code fournit même un formulaire standardisé à cet effet. Carte modèle-Le formulaire de transparence est disponible sur le site web de l'UE afin de rendre les informations de transparence cohérentes et conviviales.
Il est également important de Assurance qualité des informations fournies. Le code exige que les documents soient soigneusement vérifiés quant à leur exactitude, conservés comme preuve de conformité et protégés contre toute modification non autorisée.. Ces exigences de transparence visent à garantir que les modèles d'AMPI pour Troisième sont traçables et dignes de confiance et permettent aux utilisateurs en aval de développer leurs propres applications d'IA de manière conforme et sûre.
Conseil de lien : Code de pratique AI à usage général - Le chapitre sur la transparence (PDF)
Code de pratique AI à usage général et exigences en matière de droits d'auteur
Un nouveau thème central de la conformité à l'IA est le traitement des contenus protégés lors de la formation et de l'exploitation de modèles d'IA. Conformément au règlement sur l'IA, les fournisseurs d'IGP doivent mettre en place un système interne de gestion des contenus. Politique de conformité au droit d'auteur élaborer et mettre en œuvre (article 53, paragraphe 1, point c) du règlement IC).
Le code concrétise cela par des engagements complets en matière de protection de la propriété intellectuelle. Ainsi, les signataires s'engagent, lors de la formation de leurs modèles, à uniquement les contenus légalement accessibles à utiliser sur Internet. Il est notamment interdit de contourner les mesures techniques de protection ou les barrières payantes ("paywalls") pour accéder à du matériel protégé par des droits d'auteur. Les sites web connus pour proposer en masse du matériel portant atteinte aux droits d'auteur doivent être explicitement exclus des crawlers web des fournisseurs d'IA.
En outre, les participants au code s'engagent à respecter les réserves de droit des fournisseurs de contenus Par exemple, des indications dans le robots.txt-Les auteurs peuvent utiliser le protocole de l'OMPI ou d'autres mentions de refus lisibles par machine pour interdire l'utilisation de leurs œuvres pour l'exploration de texte et de données.. Si des crawlers web sont utilisés pour la formation, ces instructions de protocole doivent être lues et suivies.
En outre, les fournisseurs d'IA doivent dispositions techniques prendre des mesures pour éviter que leurs modèles ne reproduisent des données d'entraînement protégées sans les modifier et, par conséquent, ne reproduisent des œuvres protégées par des droits d'auteur en violation de l'output.
Dans leurs conditions d'utilisation, ils doivent également interdire aux clients d'utiliser les modèles en violation des droits d'auteur..
Enfin, le code exige la mise en place de Points de contact pour les titulaires de droitsChaque entreprise signataire doit désigner une personne de contact et mettre en place une procédure permettant aux auteurs d'obtenir des informations sur leurs droits. Plainte peuvent introduire un recours s'ils estiment que le modèle d'IA porte atteinte à leurs droits. Par le biais d'une telle procédure de plainte, les artistes ou les éditeurs, par exemple, peuvent faire des déclarations que le fournisseur doit examiner et traiter.
Dans l'ensemble, le chapitre du code consacré au droit d'auteur crée un cadre pratique pour mettre en œuvre l'obligation, inscrite dans le règlement sur l'IA, de Respect des droits d'auteur dans le développement de l'IA et de parvenir à un juste équilibre des intérêts entre les titulaires de droits et les développeurs d'IA.
Conseil de lien : Le Code de pratique AI à usage général - Le chapitre sur les droits d'auteur (PDF)
Prescriptions de sécurité et de risque pour les modèles d'importance systémique
Le site troisième Ce chapitre s'adresse aux fournisseurs de modèles d'AMPI utilisés comme "risque systémique" sont considérées comme des IA. Il s'agit des modèles d'IA les plus avancés ayant un impact potentiel particulièrement important sur le marché et la société..
Le règlement sur les IC définit des critères pour déterminer si un modèle d'ICP présente un risque systémique. Par exemple, lorsqu'il dépasse des capacités hautement évolutives et étendues dispose. Un point de repère est une charge de calcul extrêmement élevée lors du développement (on suppose un seuil à partir de ~10^25 FLOPs pour l'entraînement).. De tels modèles peuvent éventuellement risques importants pour la sécurité publique, les droits fondamentaux ou les processus démocratiques.
Dans ce cas, le code exige des fournisseurs qu'ils appliquent des règles extrêmement strictes. Gestion des risques. Concrètement, ils doivent mettre en place un cadre global de sécurité et de sûreté correspondant à l'état actuel de la science et de la technique.. Tout d'abord identifier systématiquement les risques systémiques. Les fournisseurs doivent analyser les risques que leur modèle pourrait entraîner dans différents domaines d'application (par exemple, abus pour la désinformation, cyberattaques, violations massives des droits fondamentaux, etc.) Pour chaque aspect de risque identifié, une analyse approfondie et d'évaluer si le risque peut être maintenu à un niveau acceptable.
En ce qui concerne ces critères, il faut alors Mesures de réduction des risques mettre en œuvre. Donc des dispositions techniques et organisationnelles pour atténuer autant que possible tout risque systémique identifié.. Il s'agit notamment de mettre en place des Mesures de sécurité informatique pour protéger le modèle et son infrastructure contre les accès non autorisés, les fuites de données ou le vol.
La création d'une véritable Culture du risque, c.-à-d. la sensibilisation de tous les collaborateurs concernés aux risques d'IA et l'amélioration continue des processus de sécurité, fait partie des engagements volontaires.
Enfin, les fournisseurs doivent également être informés de toutes ces activités Rapports et documentation de la sécurité : Le code prévoit par exemple un modèle de sécurité et de sûreté (Safety and Security Model). Rapport à l'AI Office, dans lequel le prestataire présente sa gestion des risques pour le modèle. Des résumés des mesures et des analyses de sécurité devraient également être publiés sous une forme appropriée afin de Transparence de l'opinion publique.
Conseil de lien : Code de pratique AI à usage général - Chapitre sur la sécurité et la sûreté (PDF)
General-Purpose AI Code of Practice : importance pour les stratégies de conformité des entreprises
Dans la Stratégie de conformité des entreprises qui développent l'IA, le code de pratique de la GPAI devrait donc être ancré comme élément central. Que ce soit par l'adaptation des directives internes, la formation des collaborateurs aux prescriptions du code ou la mise en place de groupes de travail pour la mise en œuvre de la GPAI. Documentation, la conformité IP et la gestion des risques AI.
Bien que la participation reste volontaire, compte tenu de la volonté déjà signalée des principales entreprises d'IA de participer et du soutien politique, on peut s'attendre à ce que le code devienne de facto le Norme sectorielle de l'Europe, qui se responsable Orienter les entreprises.
Pour les responsables de l'IA, de la protection des données et de la conformité dans les entreprises, le code de pratique de l'IA à usage général offre un cadre concret pour la mise en œuvre de l'IA. Horairecomment traduire les exigences abstraites du règlement sur l'IA en processus opérationnels d'entreprise. En adhérant au code, une entreprise signe et applique volontairementL'entreprise peut ainsi démontrer efficacement sa conformité aux nouvelles règles de l'IA.
Les autorités compétentes signalent qu'elles offrent aux signataires du code une sorte d'assistance. Le bénéfice du doute accorder : Dans la phase initiale, à partir d'août 2025, l'AI Office souhaite travailler en étroite collaboration avec les participants au code, plutôt que d'exiger des sanctions immédiates.. Il est ainsi garanti qu'un fournisseur qui, peu de temps après son adhésion au code, ne remplit pas encore parfaitement tous ses engagements, ne sera pas immédiatement traité comme un contrevenant au cours de la première année, mais que des solutions constructives seront élaborées en commun pour combler les éventuelles lacunes.
Ce régime de faveur, qui court jusqu'en août 2026, offre aux entreprises un avantage important. Période de transitionLes entreprises ont besoin de temps pour adapter leurs processus internes aux nouvelles exigences. Les responsables de la conformité devraient utiliser ce temps pour mettre en œuvre progressivement les mesures prévues par le code : Par exemple, l'élaboration de la documentation obligatoire, la mise en place d'une politique de droits d'auteur, l'introduction de systèmes de gestion des risques pour l'IA, etc.
Enfin, en se conformant au code, les entreprises peuvent aussi Amendes éviter de se faire prendre : A partir de la date de pleine application (2026/27), un Violation aux obligations de l'AI Act en la matière. Toutefois, ceux qui respectent les mesures du code minimisent considérablement le risque de telles infractions et peuvent, en cas d'urgence, démontrer qu'ils ont agi en toute connaissance de cause.
Vous êtes sur le point de mettre en œuvre le règlement sur l'intelligence artificielle ?
Nous vous conseillons en détail sur le règlement de l'UE sur l'IA, le code de pratique général de l'IA et la mise en œuvre pratique dans votre entreprise. Qu'il s'agisse d'obligations de documentation, de gestion des risques ou de conformité aux droits d'auteur, nous vous aidons à intégrer l'IA de manière juridiquement sûre et stratégique.
Prenez contact dès maintenant, sans engagement.
Aristotelis Zervos est directeur éditorial chez 2B Advice, juriste et journaliste avec un savoir-faire approfondi en matière de protection des données, RGPD, la conformité IT et la gouvernance de l'IA. Il publie régulièrement des articles approfondis sur la réglementation de l'IA, la conformité au RGPD et la gestion des risques. Pour en savoir plus sur lui, consultez son Page du profil de l'auteur.
German 
English 
Italian 
French