Règlement sur l’IA : le risque de qualification en fournisseur lié à la customisation des modèles d’IA
Le Règlement sur l’IA s’applique à divers acteurs intervenant dans la chaîne d’approvisionnement de l’IA. Si les fournisseurs de systèmes d’IA et de modèles d’IA à usage général sont les premiers visés, les organisations qui utilisent ces outils ne doivent pas sous-estimer les enjeux liés à leur propre qualification au regard du règlement.
En principe, une organisation qui se limite à l’utilisation d’un système d’IA à des fins professionnelles est qualifiée de déployeur et est soumise à des obligations plus limitées que celles imposées aux fournisseurs. Toutefois, cette qualification n’est ni évidente, ni figée. Elle dépend étroitement de l’usage concret de l’outil d’IA et peut évoluer dans le temps.
La détermination du rôle exact de votre organisation est en effet déterminante : elle conditionne les obligations applicables et, partant, votre niveau de conformité au Règlement sur l’IA.
La customisation des modèles d’IA à usage général : un point de bascule
Une attention particulière doit être portée à la situation dans laquelle une organisation modifie/customise (même quelque peu) un modèle d’IA à usage général.
Dans la pratique, de nombreuses organisations modifient des modèles existants – tels que GPT – afin de mettre à disposition un système d’IA (par exemple, un chatbot) en interne ou à des clients ou administrés. Au-delà de la question du rôle probable de l’organisation en tant que fournisseur du système d’IA ainsi mis à disposition se pose la question suivante : cette adaptation du modèle est-elle susceptible de faire basculer l’organisation dans la catégorie des fournisseurs de modèles d’IA à usage général ?
L’enjeu est majeur. Les obligations applicables aux fournisseurs de modèles d’IA à usage général sont en effet particulièrement lourdes (établissement d’une documentation technique et d’une politique visant à respecter la législation de l’UE sur le droit d’auteur et les droits voisins, publication d’un résumé suffisamment détaillé du contenu utilisé pour entraîner le modèle…).
Les lignes directrices de la Commission européenne : quand la modification entraîne une requalification
Le règlement sur l’IA ne tranche pas explicitement la question de la requalification d’une organisation qui modifie un modèle d’IA à usage général. En revanche, la Commission européenne a apporté des précisions importantes dans ses lignes directrices sur l’étendue des obligations des fournisseurs de modèles d’IA à usage général. Selon celles-ci, une organisation deviendrait fournisseur du modèle modifié si la modification entraîne un changement significatif dans la généralité, les capacités ou le risque systémique du modèle initial.
À titre indicatif, la Commission retient notamment un critère lié à la puissance de calcul utilisée pour l’entraînement associé à la modification. Ce seuil est considéré comme atteint lorsque la puissance de calcul utilisée est supérieure à un tiers de celle utilisée pour l’entraînement initial du modèle. Lorsque cette dernière n’est pas communiquée par le fournisseur initial et ne peut être estimée, la Commission prévoit des seuils alternatifs (susceptibles d’évoluer au fil du temps) :
- un tiers de 1023 opérations en virgule flottante (FLOPs) pour les modèles d’IA à usage général ne présentant pas de risque systémique ;
- un tiers de 1025 opérations en virgule flottante (FLOPs) pour les modèles d’IA à usage général présentant un risque systémique.
Une analyse indispensable en amont et un encadrement continu
Il découle des lignes directrices de la Commission qu’une organisation qui modifie un modèle d’IA à usage général ne sera pas automatiquement qualifiée de fournisseur du modèle modifié. En revanche, elle doit impérativement mener une analyse juridique rigoureuse et la documenter de manière appropriée, ce qui s’avère notamment essentiel en cas de contrôle mené par une autorité compétente ou d’éventuelles discussions avec des partenaires contractuels.
Cette vigilance doit également s’inscrire dans la durée. La qualification de votre organisation peut évoluer en fonction des opérations réalisées sur le modèle (en vue d’une amélioration, par exemple). Si vous souhaitez éviter de basculer dans le régime particulièrement contraignant applicable aux fournisseurs de modèles d’IA à usage général, il est essentiel de mettre en place en interne des règles claires et strictes encadrant le développement et l’utilisation des outils d’IA.
Notre conseil :
Dans le cadre de votre mise en conformité au Règlement sur l’IA, il est essentiel d’accorder une attention prioritaire à la détermination du rôle de votre organisation et à la qualification des outils d’IA concernés. Cela implique :
- une analyse juridique rigoureuse en amont ;
- des politiques internes claires en matière de développement et d’utilisation de l’IA (politique et gouvernance IA et formations) ;
- des contrats solides avec vos prestataires de services, intégrant des clauses spécifiques liées à l’IA.
Notre équipe d’experts vous accompagne à chaque étape de ce processus, notamment au travers de packs de services avantageux tels que notre Pack Règlement IA (AI Act) et notre Pack Atelier Politique IA (AI Policy).
