La plupart des dispositions finales de la loi européenne sur l'IA entreront en vigueur en 2026. Le 2 août, la majorité de cette loi s'appliquera aux exploitants de systèmes d'IA à tous les niveaux, à l'exception de l'article 6, paragraphe 1, et des systèmes visés à l'article 111, paragraphe 1. À cette date, la loi s'appliquera aux exploitants de systèmes d'IA à haut risque mis sur le marché ou en service avant le 2 août.
Afin d'aider les entreprises à se conformer aux exigences de transparence de l'article 50, la Commission européenne a publié la deuxième version du Code de bonnes pratiques sur la transparence des contenus générés par l'IA. Cet outil, élaboré par des experts indépendants et dont l'utilisation est volontaire, aborde les points essentiels pour les fournisseurs et les utilisateurs de systèmes d'IA générant des contenus relevant du champ d'application de l'article 50 ; il aide les organisations à démontrer leur conformité à la réglementation.
Le Code se compose de deux sections. La section 1 contient les règles de marquage et de détection des contenus générés et manipulés par l'IA, applicables aux fournisseurs de systèmes d'IA. La section 2, quant à elle, contient les règles d'étiquetage des deepfakes et des textes publiés générés et manipulés par l'IA, applicables aux déployeurs de systèmes d'IA.
Termes clés utilisés dans le Code de pratique
Récital – Texte introductif au début d'une section qui expose les raisons de ses dispositions applicables.
Engagements: Les obligations auxquelles les signataires du Code de bonnes pratiques s'engagent, par exemple la mise en œuvre de certaines mesures pour garantir que les résultats de leurs systèmes d'IA soient détectables comme étant générés ou manipulés par l'IA.
Mesures et sous-mesures : Les actions spécifiques que les signataires doivent entreprendre pour se conformer aux engagements énoncés dans le Code de bonnes pratiques.
Section 1 : Règles de marquage et de détection des contenus générés et manipulés par l'IA
La section 1 s’applique aux fournisseurs de systèmes d’IA et se rapporte à l’article 50(2) et (5) de la loi européenne sur l’IA.
L’objectif spécifique de l’article 1 du Code est de servir de document de référence pour démontrer la conformité aux obligations prévues par la loi, même si le respect du Code ne constitue pas une preuve concluante de cette conformité. Cet article vise à aider les fournisseurs de systèmes d’IA générant des contenus audio, image, vidéo ou textuels synthétiques à se conformer à leurs obligations et à permettre aux autorités de surveillance du marché d’évaluer cette conformité.
Engagement 1 : Marquage multicouche du contenu généré par l’IA
Dans l’engagement 1, les signataires du Code s’engagent à marquer de manière lisible par machine tout contenu audio, image, vidéo ou textuel généré ou manipulé par les systèmes d’IA qu’ils mettent sur le marché ou en service dans l’Union européenne. Ceci s’applique aux résultats des systèmes d’IA génératifs et inclut systèmes d'IA à usage général.
À ce titre, les mesures de l’engagement 1 comprennent :
Mise en œuvre d'une approche de marquage à plusieurs niveaux, en veillant à ce que ces sorties soient marquées avec au moins deux couches de marquage actif lisible par machine.
Les métadonnées signées numériquement, les techniques de tatouage numérique imperceptibles intégrées au contenu et les systèmes d'empreinte numérique ou de journalisation sont autant de méthodes requises pour marquer le contenu généré par l'IA si celui-ci est produit ou exporté dans un format compatible avec ces techniques. Par exemple, les signataires du Code doivent ajouter, dans les métadonnées d'un fichier audio, image, vidéo ou document, des informations indiquant si le contenu est généré ou manipulé par l'IA.
Non-suppression du marquage lisible par machine exige des signataires qu’ils « fassent tout leur possible » pour préserver les marques sur le contenu généré ou manipulé par leur système d’IA en s’abstenant de modifier ou de supprimer les métadonnées existantes lorsque cela est techniquement possible.
Transparence de la chaîne de provenance est une mesure facultative, encourageant les signataires à appliquer des normes de provenance fournissant des informations supplémentaires sur la chaîne de provenance du contenu généré ou manipulé par l'IA dans les flux de travail lorsque cela est techniquement possible.
Fonctionnalité optionnelle pour les marquages perceptibles (pour les deepfakes et les textes publiés générés et manipulés par l'IA) encourage les fournisseurs de systèmes d'IA génératifs capables de générer des deepfakes et des textes publiés générés et manipulés par l'IA à proposer une fonctionnalité optionnelle dans l'interface de leur système et à mettre en œuvre une option intégrée permettant aux déployeurs et autres utilisateurs d'appliquer directement, à leur discrétion, une marque ou une étiquette perceptible et lisible par machine à une sortie générée.
Engagement 2 – Détection du marquage des contenus générés par l’IA
L’engagement 2 exige des signataires du Code qu’ils mettent en œuvre des mesures permettant de détecter les contenus audio, image, vidéo ou textuels (ou une combinaison de ces éléments) générés ou manipulés par leur système d’IA. Ils doivent également veiller à ce que ces informations soient fournies de manière claire, identifiable et accessible via des outils ou des API.
Les mesures de l'engagement 2 comprennent :
Des mécanismes de détection du marquage actif sont mis à la disposition des déployeurs, des utilisateurs finaux et d'autres tiers. Cette mesure exige des signataires qu'ils veillent à ce qu'une interface soit mise à disposition gratuitement afin de permettre aux déployeurs de systèmes d'IA, aux utilisateurs, aux utilisateurs finaux et aux autres parties légitimes de vérifier si un contenu a été généré ou manipulé par leur système d'IA.
Mécanismes de détection médico-légale il s’agit d’une mesure facultative encourageant les signataires à soutenir le développement de détecteurs médico-légaux capables de détecter les résultats des modèles d’IA génératifs disponibles sur le marché de l’Union, y compris lorsqu’ils sont intégrés dans des systèmes.
Divulgation claire et accessible des résultats de vérification et de détection Les signataires sont tenus de veiller à ce que les résultats de détection et de vérification soient présentés de manière claire et facilement compréhensible pour les personnes souhaitant vérifier l'origine du contenu. Cela implique notamment de s'assurer que les résultats fournissent des informations fondées sur un filigrane, des métadonnées, une détection forensique ou d'autres techniques.
Ils doivent également veiller à ce que les résultats des mécanismes de détection et leurs interfaces utilisateur, le cas échéant, soient accessibles aux personnes handicapées.
Soutenir la formation aux technologies de marquage et de vérification par IA Les signataires sont encouragés à fournir aux déployeurs et autres utilisateurs une documentation accessible au grand public ainsi que d'autres informations pertinentes (à l'exclusion des secrets commerciaux) afin de les aider à prendre des décisions éclairées quant aux mécanismes de marquage et de détection à utiliser. Ils sont également encouragés à mettre à disposition des ressources d'initiation à l'IA pour les utilisateurs finaux, le cas échéant.
Engagement 3 – Mesures visant à satisfaire aux exigences relatives aux techniques de marquage et de détection
L’engagement 3 exige des signataires qu’ils veillent à ce que les solutions techniques employées pour le marquage et la détection des contenus générés ou manipulés par l’IA soient efficaces, interopérables, robustes et fiables. Ils doivent s’efforcer d’atteindre le plus haut niveau possible d’efficacité, d’interopérabilité, de robustesse et de fiabilité des solutions de marquage et de détection, et ce, dans la mesure du possible sur le plan technique.
Efficacité exige des signataires qu’ils mettent en œuvre des solutions de marquage et de détection adaptées à l’usage et capables de permettre efficacement aux utilisateurs de distinguer entre le contenu généré ou manipulé par l’IA et le contenu rédigé par des humains.
Fiabilité Le Code exige des signataires qu'ils mettent en œuvre des solutions de marquage et de détection garantissant un haut niveau de fiabilité dans différents contextes et cas d'utilisation. Cela implique de prendre en compte deux aspects : la précision de la détection du marquage dans des conditions contrôlées et la variation de la précision des solutions de marquage et de détection en fonction de la longueur, de l'entropie et de la sémantique du contenu.
La solidité des mécanismes : Les signataires sont tenus de mettre en œuvre des solutions de marquage et de détection offrant un haut niveau de robustesse face aux altérations courantes et aux attaques malveillantes. Cela implique de s'assurer que leurs techniques de marquage et de détection résistent aux opérations de traitement typiques telles que la duplication, le recadrage, la compression, la capture d'écran, etc. Les signataires doivent également évaluer la robustesse de leurs solutions de marquage et de détection face aux attaques et actualiser régulièrement leurs évaluations des menaces.
Interopérabilité Le Code exige des signataires qu'ils mettent en œuvre des solutions techniques de marquage et de détection des contenus générés ou manipulés par l'IA, fonctionnant sur tous les canaux de distribution et dans tous les environnements technologiques. Cette mesure vise à garantir l'interopérabilité totale des solutions de marquage et de détection des différents fournisseurs de systèmes d'IA, conformément aux normes communes de marquage et de détection.
Faire progresser l'état de l'art en matière de marquage et de détection Les États signataires sont encouragés à investir dans la recherche et le développement scientifiques afin de faire progresser les mécanismes de marquage et de détection des contenus générés et manipulés par l'IA, sous réserve de leurs capacités et de leurs ressources.
Engagement 4 – Tests, vérification et conformité
L’engagement 4 exige des signataires qu’ils s’engagent à mettre en place, à tenir à jour et à mettre en œuvre des processus de test, de vérification et de conformité.
Les mesures d’engagement 4 comprennent :
Cadre de conformité, Cette mesure exige des signataires qu’ils élaborent, mettent en œuvre et actualisent un cadre de conformité décrivant les processus et mesures de marquage et de détection qu’ils appliquent pour garantir le respect de l’article 50, paragraphes 2 et 5, de la loi européenne sur l’IA. Cette mesure doit être mise en œuvre de manière proportionnée, en tenant compte de la taille et des ressources du fournisseur.
Le tests, vérification et surveillance Cette mesure exige des signataires qu'ils testent les solutions de marquage et de détection afin de vérifier leur conformité aux exigences et mesures décrites à la section 1 du Code, en conditions réelles et avant leur mise sur le marché. Les fournisseurs en aval de systèmes d'IA générative peuvent s'appuyer sur les résultats des tests effectués par un modèle en amont ou par un fournisseur tiers de techniques de marquage et de détection.
Formation exige des signataires qu’ils fournissent une formation appropriée au personnel dont les rôles sont pertinents pour assurer la conformité à l’article 50(2) et (5) de la loi européenne sur l’IA, qui est impliqué dans la conception et le développement de systèmes et de modèles d’IA et qui est responsable de veiller à ce que les mesures spécifiées à la section 1 du Code soient effectivement mises en œuvre.
Coopération avec les autorités de surveillance du marché exige que les signataires du Code coopèrent avec les autorités compétentes de surveillance du marché pour démontrer leur conformité à l’article 50(2) et (5) de la loi européenne sur l’IA et à leurs engagements au titre de la section 1 du Code.
Section 2 : Règles d’étiquetage des deepfakes et des textes publiés générés et manipulés par l’IA
La section 2 s’applique aux déployeurs de systèmes d’IA et se rapporte à l’article 50(4) et (5) de la loi européenne sur l’IA.
L’objectif spécifique de l’article 2 du Code est de servir de document de référence pour démontrer la conformité aux obligations des utilisateurs de systèmes d’IA générative prévues par la loi, même si le respect du Code ne constitue pas une preuve concluante de cette conformité. Cet article vise à aider les utilisateurs de systèmes d’IA qui génèrent ou manipulent des contenus (images, fichiers audio ou vidéo) constituant un deepfake ou un texte à se conformer à leurs obligations et à permettre aux autorités de surveillance du marché d’évaluer cette conformité.
Engagement 1 – Divulgation des deepfakes générés et manipulés par l’IA et des textes publiés
L’engagement 1 exige des signataires qu’ils veillent à la divulgation systématique de l’origine artificielle des fichiers deepfake générés ou manipulés par l’IA ou des textes publiés sur des sujets d’intérêt public.
Les signataires peuvent le faire en utilisant l'icône uniforme de l'UE une fois qu'elle sera disponible ou en choisissant une autre icône ou solution d'étiquetage qui répond aux exigences spécifiées dans les mesures suivantes :
Exigences de conception pour les icônes, les étiquettes ou les mentions légales Ce document présente une liste d'exigences relatives à la conception des icônes et des étiquettes visuelles. L'élément visuel principal doit être la lettre « IA » en majuscules, éventuellement complétée par une brève légende précisant le type d'utilisation de l'IA, par exemple « généré avec l'IA ». Pour les contenus audio uniquement, les signataires doivent inclure un court avertissement sonore. Le Code contient des informations complémentaires sur les exigences spécifiques.
Exigences de placement pour les icônes, les étiquettes ou les mentions légales Les signataires sont tenus d'afficher l'icône, l'étiquette ou la mention légale à un emplacement approprié et visible, en adéquation avec le format et le contexte du contenu. Pour plus d'informations sur les exigences spécifiques, veuillez consulter le Code.
Utilisation facultative d'une icône de l'UE et participation à son développement est un engagement facultatif qui encourage les signataires à utiliser l'icône à l'échelle de l'UE et à soutenir le développement d'un label européen uniforme conçu pour fournir des informations plus avancées et utilisables sur les éléments de contenu générés ou manipulés par l'IA.
Engagement 2 – Conformité proportionnée, sensibilisation et examen
Pour se conformer à l’engagement 2, les signataires doivent mettre en œuvre des processus internes proportionnés, des mesures de sensibilisation et des mécanismes d’examen pour la bonne mise en œuvre de l’étiquetage des deepfakes et des publications textuelles dans le cadre de l’article 50(4) de la loi européenne sur l’IA.
Conformité interne exige des signataires qu’ils établissent, adaptent ou tiennent à jour une documentation interne proportionnée précisant comment ils mettent en œuvre les obligations de divulgation prévues par les sections susmentionnées de la loi européenne sur l’IA.
Sensibilisation et formation exige des signataires qu’ils déploient des efforts raisonnables et proportionnés pour assurer la sensibilisation aux obligations de divulgation prévues à l’article 50(4) et (5) de la loi européenne sur l’IA parmi le personnel directement impliqué dans la mise en œuvre des mesures d’étiquetage ou chargé de superviser le respect des mesures prévues à la section 2 du Code.
Examen, commentaires et coopération avec les autorités exige des signataires qu’ils soutiennent la mise en œuvre effective des obligations de divulgation par le biais de mécanismes d’examen et de rétroaction, notamment en fournissant des canaux permettant aux particuliers ou à des tiers de confiance, tels que des vérificateurs de faits indépendants, de signaler les divulgations incorrectes ou manquantes.
Engagement 3 – Divulgation appropriée des œuvres artistiques, créatives et similaires
L’engagement 3 exige des signataires qu’ils mettent en œuvre des mesures pour divulguer les contenus deepfake faisant partie d’œuvres ou de programmes artistiques, créatifs, satiriques, de fiction ou analogues. Cette divulgation doit être effectuée de manière appropriée, sans nuire à la présentation ni à l’appréciation de l’œuvre. Des suggestions précises quant à leur placement sont disponibles dans le Code.
Engagement 4 – Examen humain, contrôle éditorial et responsabilité concernant les publications de textes générés ou manipulés par l’IA
Pour garantir le respect de l’engagement 4, les signataires doivent établir, adapter ou maintenir une documentation minimale démontrant que le texte généré ou manipulé par l’IA publié dans le but d’informer le public sur des questions d’intérêt public a fait l’objet d’un examen humain ou d’un contrôle éditorial avant sa publication, et qu’une personne physique ou morale est responsable de la publication.
La documentation doit comprendre l'identification de la personne responsable du contenu éditorial, notamment son nom, son rôle et ses coordonnées, ainsi qu'un aperçu des mesures mises en place pour garantir un examen humain adéquat.
Adhérer au Code de bonnes pratiques ISO 42001
Le code de bonnes pratiques est facultatif. Il offre toutefois aux fournisseurs et aux déployeurs de systèmes d'IA un moyen de démontrer leur conformité aux obligations de transparence juridique de la loi européenne sur l'IA.
Le Norme ISO 42001 Ce référentiel propose un cadre de bonnes pratiques pour la conception, la maintenance et l'amélioration continue d'un système de gestion de l'IA (SGAI) et peut également faciliter la conformité à la réglementation européenne sur l'IA. Il vise à garantir que les organisations prennent en compte les enjeux spécifiques liés à l'IA, notamment la sécurité, la sûreté, l'équité, la transparence, la qualité des données et la qualité des systèmes d'IA tout au long de leur cycle de vie.
La norme ISO 42001 fournit un cadre de référence aux organisations pour la mise en œuvre d'un système de gestion de l'IA éthique et transparent, couvrant les modèles, les systèmes et le déploiement de l'IA. Un tel système, robuste et conforme à la norme ISO 42001, permet aux organisations de maintenir et de démontrer facilement leur conformité au Code de bonnes pratiques et à la réglementation européenne sur l'IA.
Respecter le code de bonnes pratiques de la loi européenne sur l'IA relatif à la transparence des contenus générés par l'IA
La mise en œuvre des mesures nécessaires pour se conformer au Code de bonnes pratiques peut s'avérer complexe. À tout le moins, les organisations devraient adopter les mesures requises pour un marquage et une détection transparents de l'IA, revoir la documentation relative aux processus de supervision humaine et identifier les écarts entre leur approche actuelle en matière de transparence et les mesures exigées par le Code de bonnes pratiques.
Si votre organisation envisage la mise en conformité avec la norme ISO 42001, contactez ISMS.online pour découvrir comment nous pouvons vous accompagner. Passez à l'étape suivante : une gestion responsable et méthodique de l'IA. Assurez-vous que l'utilisation de l'IA au sein de votre organisation est conforme aux obligations légales de la directive européenne sur l'IA.
Élargissez vos connaissances
Blog: La norme ISO 42001 pourrait-elle devenir le régulateur de facto de l'IA au Royaume-Uni ?
Webinaire (anglais seulement): Leçons tirées de l'une des premières certifications ISO 42001 au monde
