Le Code de bonnes pratiques sur les IA à usage général (2/3 : transparence)
La seconde partie du code de bonnes pratiques des IA à usage général s’intéresse à un enjeu clef : la transparence, essentielle pour notre capacité à comprendre les caractéristiques de ces IA, leurs limites et leurs conditions d’utilisation. La transparence est ainsi un facteur majeur de confiance et de responsabilité.
Ce second chapitre fixe les obligations attendues des fournisseurs afin de rendre les modèles plus lisibles pour les autorités de supervision comme pour leurs utilisateurs. Il s’appuie directement sur les articles 53(1)(a) et (b) de l’AI Act, ainsi que ses annexes XI et XII, pour définir une série d’engagements concrets destinés à améliorer la traçabilité et l’accessibilité de l’information.
La transparence n’est donc pas un supplément de confort : elle est la condition indispensable à l’intégration conforme des modèles, la prévention des risques systémiques et à une supervision effective.
- Chaque fournisseur s’engage à documenter les caractéristiques de ses modèles lors de leur mise sur le marché : nom du fournisseur, méthodes de distribution, dépendances technologiques, usages autorisés et interdits, ou encore la capacité du modèle à être intégré dans différents types de systèmes d’IA. Cette documentation repose sur un formulaire type, le Model Documentation Form, mis à disposition en annexe du Code.
Cette documentation doit être mise à jour régulièrement et conservée pendant dix ans après la mise sur le marché du modèle.
- En plus des informations fournies dans le formulaire, les fournisseurs doivent communiquer de manière proactive aux acteurs en aval - c’est-à-dire aux entités qui utilisent, intègrent ou redistribuent leur modèle d’IA (tels que les intégrateurs, distributeurs ou utilisateurs professionnels) - toutes les informations nécessaires pour leur permettre de comprendre le fonctionnement, les capacités et les limites du modèle, et de l’intégrer correctement dans leurs propres systèmes.
Le Code précise que ces acteurs en aval peuvent demander des informations complémentaires si cela est nécessaire pour respecter leurs obligations au titre de l’AI Act. Le fournisseur du modèle doit y répondre dans un délai raisonnable, en principe de quatorze jours, sauf cas exceptionnel.
- En parallèle, l’AI Office et les autorités nationales ne peuvent accéder à certaines informations plus sensibles que sur demande motivée. Cette demande doit être formellement justifiée, spécifier la base légale, l’objectif poursuivi, et être strictement limitée aux éléments nécessaires à l’exercice des missions de surveillance prévues par le règlement. Le respect des droits des fournisseurs est ici fondamental : toutes les informations partagées dans ce cadre sont strictement soumises aux exigences de l’article 78 de l’AI Act, qui impose la protection des secrets d’affaires, des droits de propriété intellectuelle, et la mise en œuvre de garanties appropriées en matière de cybersécurité.
- Enfin, les fournisseurs doivent mettre en place des processus internes permettant de garantir que les informations documentées sont fiables, exactes et protégées contre toute altération non autorisée. Cette exigence vise à faire de la documentation un outil juridique de référence en cas de contrôle, et à garantir sa valeur probatoire. Le Code encourage également le recours à des normes techniques établies pour renforcer la robustesse de ces pratiques.
Au-delà de ces engagements structurants, le Code précise plusieurs champs d’information complémentaires dans des domaines clefs :
- La description des données d’entraînement, incluant leur provenance, leurs méthodes d’obtention, de sélection et d’annotation, ainsi que les droits associés, conformément aux catégories harmonisées visées à l’article 53(1)(d) ;
- Les biais éventuels, la qualité des sources et la présence de contenus inappropriés ;
- Les données relatives à la consommation énergétique et aux ressources de calcul mobilisées, exprimées en mégawattheures et opérations flottantes (FLOP). Lorsque ces données ne peuvent être raisonnablement estimées, le fournisseur est autorisé à le signaler, en précisant les raisons et les éléments manquants identifiés.
Que penser de tout cela ?
Le chapitre consacré à la transparence dans le Code de conduite pour les modèles d’IA à usage général représente une avancée importante pour renforcer la conformité aux exigences de transparence prévues par l’AI Act.
Toutefois, il laisse subsister plusieurs incertitudes juridiques et opérationnelles qui méritent d’être discutées.
- Le caractère non contraignant du formulaire proposé par le Code introduit une souplesse appréciable, mais risque aussi de produire une documentation à géométrie variable.
En l’absence de définition précise de ce que constitue une « documentation équivalente » aux informations proposées par le formulaire, chaque fournisseur pourrait appliquer ses propres critères de clarté, de granularité ou d’accessibilité. Cette latitude réduit la comparabilité entre fournisseurs et complique la supervision, tant pour les autorités que pour les acteurs en aval. Elle risque d’aboutir à une transparence partielle, rendant plus difficile l’évaluation des modèles et la responsabilisation des acteurs.
- L’accès de l’AI Office et des autorités nationales à certaines informations, soumis à une demande motivée et à un encadrement strict, risque d’engendrer une lenteur administrative incompatible avec les situations d’urgence ou de risque avéré, faute de procédure accélérée ou de droit d’accès direct en cas de situation critique. L’effectivité de l’accès à ces informations repose alors largement de la bonne volonté des acteurs concernés pour coopérer avec les autorités de contrôle.
- En outre, si le Code autorise les fournisseurs à demander des informations supplémentaires pour assurer une intégration conforme du modèle, ni la nature des informations « nécessaires », ni les modalités de réponse ou de refus du fournisseur ne sont clairement définies. Faute de règles plus précises, certains pourraient refuser de transmettre des éléments essentiels à la compréhension du modèle, de ses limites ou de ses risques. Ce déséquilibre informationnel fragilise alors la responsabilité des acteurs en aval, tenus d’assurer la conformité du système sans toujours disposer des données techniques nécessaires.
- Notons enfin que le Code autorise les fournisseurs à indiquer qu’ils ne peuvent estimer ni communiquer les données relatives à la consommation énergétique ou le coût computationnel de l’entraînement des modèles d’IA. A cet égard, aucune méthode de calcul commune n’est imposée, ni validation tierce des estimations. Cette liberté méthodologique risque de produire des données disparates et peu fiables, alors même que l’impact environnemental de l’IA constitue une préoccupation croissante du régulateur.
Surtout, l’articulation entre secret des affaires et besoin de transparence reste fragile. En matière d’innovation, si la transparence est corolaire de confiance, le secret est aussi essentiel pour maintenir une longueur d’avance. Cela est d’autant plus critique que la protection des droits de propriété intellectuelle reste très faible pour les solutions d’intelligence artificielle.
Des pistes de remède ?
Face à ces constats, plusieurs pistes d’amélioration peuvent être envisagées.
- Il pourrait être utile de définir un standard minimal de documentation, même en dehors du formulaire proposé, afin de garantir un socle homogène d’information.
- Le Code gagnerait à prévoir une procédure d’accès accéléré pour les autorités en cas de doute sérieux, ainsi qu’une meilleure structuration des droits et obligations autour des demandes des fournisseurs en aval.
- L’introduction d’une autoévaluation structurée, ou d’un mécanisme de certification volontaire encadré par l’AI Office, renforcerait également la crédibilité et la portée du dispositif.
- Enfin, une annexe comportant une liste (quasi)exhaustive de ce qui relève du secret des affaires serait utile.
Appréciation globale : bien, mais peut mieux faire !
En somme, le Code of practice propose une feuille de route utile et ambitieuse en matière de transparence, mais encore inégalement contraignant. Son efficacité dépendra largement de l’adhésion des acteurs, de l’interprétation qu’ils feront de leurs obligations documentaires, et de la capacité du régulateur à harmoniser leurs pratiques.
