Première analyse de la loi européenne sur l'intelligence artificielle

Mise à jour le 11 juillet 2025 : Avec la publication de la version finale du Code de bonnes pratiques de l’IA à usage général, nous tenons à préciser les mesures que nous mettons en place pour nous conformer aux dispositions applicables aux modèles d’IA à usage général qui entreront en vigueur le 2 août 2025.

L’année passée, nous avions publié une première analyse de la loi européenne sur l’intelligence artificielle pour expliquer comment nous comptions nous mettre en conformité avec ses nouvelles obligations légales. 

Depuis, nous avons participé activement à la traduction pratique du texte en collaborant sur la rédaction du Code de bonnes pratiques de l’IA à usage général, un cadre visant à aider les fournisseurs de systèmes d’IA à se conformer à la loi. Après plusieurs mois de travail aux côtés d’experts, de la société civile et d’autres acteurs du secteur, nous sommes parvenus à une version finale du Code. Nous annonçons aujourd’hui notre intention de signer ce Code de bonnes pratiques et de l’utiliser pour attester du respect des obligations qui nous incombent au titre de la loi européenne sur l’intelligence artificielle.

En signant ce code, nous franchissons une étape concrète de notre projet global de mise en conformité législative. Nous montrons en effet notre volonté d’œuvrer pour la continuité, la fiabilité et la confiance au fil des évolutions réglementaires, mais aussi de poursuivre notre collaboration avec les entreprises et citoyens européens, en leur proposant des modèles d’IA toujours plus compétents et sûrs qui les aideront à profiter pleinement de la révolution amorcée par l’IA.

La signature du Code vient confirmer une grande partie des principales mesures de sécurité et de transparence que nous avons imaginées ces dernières années. En effet, nous étions parmi les premiers à publier en 2023 un protocole complet de sécurité, le Cadre de préparation, qui détaille la stratégie que nous suivons pour déployer nos nouveaux modèles d’IA en toute sécurité.

Conformément à notre engagement de réviser et d’améliorer nos cadres de responsabilité et de gouvernance internes en continu, nous avons publié⁠ en 2025 une nouvelle version de ce Cadre de préparation. 

À mesure que nos technologies montent en puissance, nous surveillons et limitons un nombre toujours plus important de risques inédits et de difficultés concrètes pour maintenir la fiabilité et la sécurité de nos modèles. Nous affinons et améliorons ces processus sans relâche.

• Depuis longtemps, nous publions des fiches système et de la documentation technique pour nos principaux modèles afin d’expliquer ce que nos modèles peuvent ou ne peuvent pas faire, les risques que nous avons testés et les domaines dans lesquels nous avons encore des incertitudes. 
• Le portail de sécurité permet de consulter les résultats des évaluations de sécurité de nos modèles.
• Notre réseau d’équipes rouges fait intervenir des experts externes pour mettre nos modèles à l’épreuve.
• Les spécifications des modèles montrent comment nous définissons le comportement de nos modèles pour qu’ils respectent les valeurs humaines et les règles démocratiques.

Toutes ces initiatives ont joué un rôle clé dans l’élaboration des normes de sécurité du secteur et l’élaboration d’un code de bonnes pratiques applicable. La sécurisation et la responsabilisation de l’IA sont des tâches ans fin. Nous allons continuer d’améliorer progressivement notre approche de la sécurité pour nous assurer que notre technologie est utilisée de manière responsable, au bénéfice de tous, partout dans le monde.

Nous comptons travailler en étroite collaboration avec le Bureau européen de l’IA, les autorités concernées et nos clients dans les mois et années qui viennent pour faire en sorte que la société et l’économie européennes bénéficient de l’IA. 

Mise à jour : le 25 septembre 2024, nous nous sommes engagés à respecter les trois principes clés du pacte européen sur l’IA.

1. Adopter une stratégie de gouvernance de l’IA pour favoriser l’adoption de cette technologie dans l’organisation et œuvrer en faveur du respect futur de la législation sur l’IA
2. Identifier et cartographier les systèmes d’IA susceptibles d’être classés comme étant à haut risque en vertu de la législation sur l’IA
3. Promouvoir la sensibilisation à l’IA et la maîtrise de cette technologie auprès des membres du personnel et des autres personnes interagissant avec des systèmes d’IA en leur nom, en tenant compte de leurs connaissances techniques, de leur expérience, de leur parcours scolaire, de leur formation et du contexte dans lequel les systèmes d’IA doivent être utilisés, mais aussi des personnes ou des groupes de personnes affectés par ladite utilisation des systèmes d’IA

Nous pensons que les priorités du pacte sur l’IA, à savoir la maîtrise, l’adoption et la gouvernance de l’IA, permettront une diffusion optimale des bénéfices apportés par cette technologie. De plus, ces priorités sont cohérentes avec notre volonté de fournir des technologies de pointe sûres et qui profitent à tous.

La loi européenne sur l’intelligence artificielle⁠(ouverture dans une nouvelle fenêtre) forme un cadre réglementaire essentiel qui régit le développement, le déploiement et l’utilisation de l’IA en Europe. Elle insiste particulièrement sur la sécurité pour encourager l’adoption en Europe d’une IA fiable, qui préserve la santé, la sécurité et les droits fondamentaux des citoyens de la région. Elle introduit de nouvelles obligations relatives aux risques associés aux systèmes d’IA, et met notamment l’accent sur les cas d’utilisation à haut risque ou inacceptables. Elle prévoit par ailleurs des obligations spécifiques pour les modèles et systèmes d’IA à usage général. 

Le processus législatif est maintenant arrivé à son terme, et la loi entrera en vigueur en août 2024, mais des directives et décrets supplémentaires seront nécessaires pour définir le périmètre de la loi, en particulier son applicabilité aux modèles d’IA à usage général comme ceux d’OpenAI. 

OpenAI s’engage à respecter cette loi, pas seulement parce qu’il s’agit d’une obligation légale, mais aussi car son objectif est cohérent avec notre mission, celui de développer et de déployer une IA sûre qui profite à l’ensemble de l’humanité. Nous sommes fiers de publier des modèles à la pointe du secteur à la fois sur le plan des capacités et de la sécurité. Nous croyons en une approche équilibrée et scientifique intégrant des mesures de sécurité⁠ dès le début du processus de développement. Nos équipes utilisent un vaste panel de mécanismes techniques pour relever les défis liés à la sécurité de l’IA, notamment en évaluant nos modèles à l’aune de notre Cadre de préparation⁠ avant leur déploiement, en faisant intervenir des équipes rouges⁠ internes et externes, en surveillant⁠ les abus post-déploiement, en gérant des programmes de chasse aux bugs⁠ et de subvention pour la cybersécurité⁠, et en contribuant à l’élaboration de normes d’authenticité⁠. 

Nous travaillerons en étroite collaboration avec le bureau européen de l’IA et les autres autorités concernées pour permettre la traduction concrète de la loi dans les mois à venir, et espérons que l’expertise que nous avons acquise nous permettra de nous rapprocher de ses objectifs en lien avec un déploiement sûr et bénéfique de l’IA.  

Dans cet article, nous vous proposons une vue d’ensemble de certains thèmes clés abordés dans la loi, en mettant l’accent sur les cas d’utilisation interdits et à haut risque.

La loi sur l’intelligence artificielle entrera en vigueur le 1er août 2024, soit 20 jours après sa publication au Journal officiel de l’Union européenne. La plupart de ses dispositions ne seront applicables que 24 mois plus tard, mais plusieurs dates intermédiaires doivent être prises en compte : 

• L’interdiction des pratiques prohibées par la loi sera effective 6 mois après l’entrée en vigueur de celle-ci (février 2025). 
• Le Code de bonnes pratiques, qui précisera une grande partie des points d’implémentation nécessaires pour se conformer à la loi, devra être finalisé 9 mois après l’entrée en vigueur de celle-ci (mai 2025). 
• La plupart des obligations liées à l’IA à usage général deviendront effectives 12 mois après l’entrée en vigueur de la loi (août 2025). 
• Les obligations applicables à la majorité des systèmes d’IA à haut risque seront effectives 24 mois après l’entrée en vigueur de la loi (août 2026). 

Les systèmes d’IA à usage général préexistants qui n’ont pas fait l’objet de modifications importantes, ainsi que certains systèmes d’IA faisant partie de systèmes d’information à grande échelle identifiés à l’Annexe X de la loi sur l’intelligence artificielle bénéficieront d’un délai de mise en conformité plus long, de 36 mois (août 2027).

La loi sur l’intelligence artificielle concerne principalement les systèmes d’IA, qu’elle définit comme tout « système automatisé qui est conçu pour fonctionner à différents niveaux d’autonomie et peut faire preuve d’une capacité d’adaptation après son déploiement, et qui, pour des objectifs explicites ou implicites, déduit, à partir des entrées qu’il reçoit, la manière de générer des sorties telles que des prédictions, du contenu, des recommandations ou des décisions qui peuvent influencer les environnements physiques ou virtuels ».  Cette définition est globalement cohérente avec celle qu’en a fait l’OCDE en 2023, ainsi que celle utilisée par le décret présidentiel 14110 de l’administration Biden sur le développement et l’utilisation sûrs et fiables de l’intelligence artificielle.  

Il est important de noter que la loi sur l’intelligence artificielle fait la distinction entre les fournisseurs et les déployeurs de systèmes d’IA. Les fournisseurs sont des entités, comme OpenAI, qui développent un système d’IA ou un modèle d’IA à usage général. Ce terme inclut également les entités qui ont fait développer un système d’IA ou un modèle d’IA général et le commercialisent ou le mettent à disposition sous forme de service en leur propre nom ou sous leur propre marque, que ce soit de manière payante ou gratuite. 

Les déployeurs sont les clients ou partenaires qui utilisent ces systèmes ou modèles dans leurs propres applications, par exemple ceux qui intègrent GPT‑4o dans un cas d’utilisation spécifique. Bien que la majorité des obligations prévues par la loi sur l’intelligence artificielle concerne davantage les fournisseurs que les déployeurs, il faut noter qu’un déployeur intégrant un modèle d’IA dans son propre système d’IA peut être considéré comme un fournisseur au yeux de la loi, par exemple s’il appose sa propre marque déposée sur un système d’IA ou modifie le système d’IA d’une manière non prévue par le fournisseur.

Les entreprises établies en dehors de l’Union européenne devront se conformer à la loi sur l’intelligence artificielle dans diverses situations, parfois très indirectes.  Par exemple, la loi s’applique dans les cas suivants : 

• Un fournisseur (basé dans l’UE ou une autre région) commercialise un système d’IA ou un modèle d’IA à usage général dans l’Union européenne 
• Les déployeurs d’un système d’IA sont établis ou localisés dans l’UE 
• Les fournisseurs et déployeurs de systèmes d’IA sont établis ou localisés dans un pays hors UE, mais la sortie générée par ces systèmes d’IA est utilisée au sein de l’UE

L’extraterritorialité de la loi signifie que les entreprises non européennes devront s’y conformer pour desservir des clients européens, qu’elles soient elles-mêmes basées dans l’UE ou non.

La loi sur l’IA repose sur un cadre basé sur le risque qui prévoit des obligations spécifiques pour les systèmes d’IA à haut risque ou présentant un risque inacceptable. Elle impose aux entreprises de déterminer le niveau de risque de leurs systèmes d’IA pour comprendre les obligations réglementaires qui leur incombent, et prévoit différentes catégories de systèmes IA, avec des obligations spécifiques pour chacune.

Certaines pratiques liées à l’IA sont jugées comme présentant un risque inacceptable pour les droits des personnes et sont donc totalement interdites. Ces pratiques sont notamment les suivantes :   

• Déploiement de techniques subliminales, manipulatoires ou trompeuses visant à altérer le comportement d’une personne ou porter atteinte à sa capacité de prendre une décision éclairée et lui causant ainsi un préjudice important 
• Exploitation de vulnérabilités en lien avec l’âge, le handicap ou la situation socio-économique pour altérer le comportement d’une personne et lui causer ainsi un préjudice important 
• Utilisation de systèmes de catégorisation biométriques inférant des attributs sensibles comme la race, l’opinion politique, l’appartenance à un syndicat, les croyances religieuses ou philosophiques, la vie sexuelle ou l’orientation sexuelle (hors exceptions limitées pour l’étiquetage ou le filtrage de jeux de données acquis de manière légale ou pour l’utilisation par les forces de l’ordre) 
• Utilisation de systèmes de notation sociale, comme des systèmes évaluant ou classant des personnes ou groupes de personne en fonction de leur comportement social ou leurs caractéristiques personnelles et leur causant ainsi un préjudice 
• Évaluation du risque qu’une personne commette un crime sur la seule base de son profil ou de ses caractéristiques de personnalité (hors exceptions limitées) 
• Compilation de bases de données de reconnaissance faciale par le moissonnage non ciblé d’images faciales provenant de l’internet ou de la vidéosurveillance
• Inférence des émotions d’une personne physique sur le lieu de travail et dans les établissements d’enseignement 
• Utilisation de systèmes d’identification biométrique à distance en temps réel dans des espaces accessibles au public à des fins répressives (hors exceptions).

La loi impose des obligations strictes sur les systèmes qu’elle juge poser une menace significative sur la santé, la sécurité ou les droits fondamentaux des personnes, systèmes qu’elle appelle « systèmes d’IA à haut risque ». Ces systèmes incluent : a) les systèmes qui sont des composants de sécurité d’un produit soumis à d’autres lois de l’Union européenne et b) des cas d’utilisation spécifique, par exemple les systèmes d'IA destinés à être utilisés pour déterminer l'accès, l'admission ou l'affectation de personnes physiques à des établissements d'enseignement, pour recruter ou sélectionner des employés ou suivre la performance d’employés, pour déterminer l’admissibilité à des aides publiques, la solvabilité, ou encore l’admissibilité à l’assurance maladie et son prix.  

Ces systèmes déclenchent des obligations législatives rigoureuses, et notamment d’établir un système de gestion des risques permettant d’évaluer en continu les risques et les stratégies de limitation des risques tout au long du cycle de vie de ces systèmes, de prendre des mesures complètes de gouvernance des données pour vérifier et évaluer les risques de biais, de préparer une documentation technique détaillée avant la mise sur le marché des systèmes et de mettre en place une surveillance continue. 

D’autres systèmes d’IA ne posant pas un risque inacceptable ou à haut risque sont soumis à des obligations limitées, notamment des obligations de transparence. Par exemple, la loi prévoit que les personnes doivent être informées qu’elles interagissent avec un système d’IA, par exemple un chatbot, et que les images, fichiers audio et contenus vidéos altérés par l’IA doivent être marqués comme tels. La plupart des systèmes d’IA du marché feront partie de cette catégorie.

Les fournisseurs de modèles et systèmes d’IA à usage général, comme OpenAI, seront soumis à des obligations spécifiques : 

• Concevoir une documentation technique détaillée du modèle et la fournir au bureau de l’IA sur demande
• Créer une documentation pour les déployeurs qui utilisent le modèle d’IA à usage général pour développer leurs propres systèmes d’IA
• Déployer des politiques visant à respecter la législation européenne sur le droit d’auteur
• Fournir un résumé du contenu utilisé pour entraîner le modèle d’IA à usage général 

De plus, les fournisseurs de modèles d’IA général dotés de capacités à fort impact estimés présenter des « risques systémiques » (p. ex. des modèles entraînés sur une puissance de calcul importante, définie techniquement comme égale à 10^25 FLOPS) devront : 

• réaliser des évaluations de leur modèle pour identifier et limiter les risques systémiques, et évaluer et limiter en continu les risques identifiés ;
• informer la Commission européenne de l’existence de modèles répondant aux critères de cette catégorie ;
• surveiller et signaler les incidents graves ; 
• mettre en place des mesures de cybersécurité appropriées pour le modèle et son infrastructure physique.

Les fournisseurs de modèles d’IA à usage général pourront s’appuyer sur un code de bonnes pratiques pour démontrer le respect des obligations qui leur sont imposées par la loi sur l’intelligence artificielle. Ce code présentera certainement les détails de la mise en œuvre de ces obligations, et nous avons hâte de travailler avec le Bureau de l’IA de l’UE à son développement au cours des 9 prochains mois. 

OpenAI s’engage à se conformer à la Loi européenne sur l’intelligence artificielle et travaillera en étroite collaboration avec le nouveau Bureau de l’IA lors de la mise en application de la loi. Au cours des mois à venir, nous allons continuer à préparer la documentation technique et autres directives destinées aux fournisseurs et déployeurs de nos modèles d’IA à usage général, tout en faisant progresser la sécurité des modèles que nous proposons sur le marché européen et dans le reste du monde.   

Pour comprendre quelles obligations lui incombent en vertu de la loi sur l’IA, votre entreprise doit commencer par classer les systèmes d’IA concernés. Déterminez quels systèmes d’IA à usage général et autres systèmes d’IA vous utilisez, identifiez leur classification et analysez les obligations découlant de vos cas d’utilisation. Vous devez également déterminer si vous êtes un fournisseur ou déployeur pour chacun des systèmes d’IA concernés. Ces problématiques peuvent être complexes, et nous vous invitons donc à adresser vos questions à votre conseil juridique.