Que contient le nouveau code de bonnes pratiques de l'IA à usage général de la loi européenne sur l'IA ?

Que contient le nouveau code de pratique de l'IA à usage général de la loi européenne sur l'IA ?

Par Christie Rae • 15 septembre 2025

Loi de l'UE sur l'IALes premières dispositions de la loi, notamment celles relatives aux pratiques d'IA interdites, sont entrées en vigueur en février 2025. Le déploiement progressif des exigences se poursuit jusqu'en août 2027, date à laquelle tous les systèmes devront se conformer aux obligations de la loi. Ce mois-ci, le Bureau de l'IA a publié le Code de bonnes pratiques de l'IA à usage général à l'intention des fournisseurs de modèles d'IA à usage général (GPAI) et de modèles GPAI présentant un risque systémique.

Outil volontaire élaboré par des experts indépendants, le Code vise à aider les fournisseurs de modèles GPAI à se conformer à leurs obligations au titre de la loi. Les signataires seront tenus de publier des résumés des données d'entraînement, d'éviter toute utilisation non autorisée de contenus protégés par le droit d'auteur et d'établir des cadres internes de suivi des risques. Le Code sert de guide pour démontrer le respect des obligations énoncées aux articles 53 et 55 de la loi européenne sur l'IA, bien que son adhésion ne constitue pas une preuve concluante de conformité.

Il se compose de trois chapitres : Transparence, Droits d'auteur et Sécurité. Dans ce billet de blog, nous explorons les trois chapitres introduits dans le Code de bonnes pratiques et décrivons les prochaines étapes pour les organisations.

Termes clés utilisés dans le Code de pratique

Risque systémique: La loi européenne sur l’IA définit le risque systémique comme étant spécifique aux capacités à fort impact : les modèles entraînés avec une quantité cumulée de calcul supérieure à 10^25 opérations à virgule flottante possèdent des capacités à fort impact.

Engagements: Les obligations auxquelles s'engagent les signataires du Code de bonnes pratiques, par exemple :

Documentation
Adopter un cadre de sécurité et de sûreté de pointe.

Les mesures: Les actions spécifiques que les signataires entreprennent pour s'aligner sur leurs engagements et se conformer aux obligations du Code de bonnes pratiques, par exemple :

Maintenir à jour la documentation du modèle
Création du cadre de sécurité et de sûreté.

Code de bonnes pratiques GPAI de la loi européenne sur l'IA – Transparence

Le chapitre Transparence contient un engagement – la documentation – et trois mesures (1.1, 1.2 et 1.3) pour garantir la transparence, l’intégrité et la pertinence des informations fournies par les fournisseurs de modèles GPAI et de modèles GPAI présentant un risque systémique.

Les signataires doivent avoir documenté toutes les informations mentionnées dans le formulaire de documentation du modèle, décrit ci-dessous, et mettre à jour la documentation du modèle pour refléter les modifications pertinentes. Les entreprises doivent également conserver les versions précédentes de la documentation du modèle pendant 10 ans maximum.

Par souci de transparence, les organisations doivent également communiquer les coordonnées du Bureau de l'IA pour demander l'accès aux informations nécessaires. Elles doivent fournir des informations complémentaires actualisées sur demande, dans un délai raisonnable et au plus tard 14 jours après réception de la demande.

Les organisations doivent s’assurer que les informations qu’elles fournissent sont contrôlées en termes de qualité et d’intégrité et conservées comme preuve de conformité.

Qu'est-ce que le formulaire de documentation du modèle ?

Le chapitre « Transparence » comprend un formulaire type de documentation, qui permet aux fournisseurs de documenter les informations nécessaires pour se conformer à l'obligation de transparence imposée par la loi européenne sur l'IA. Ce formulaire indique pour chaque élément si les informations sont destinées aux fournisseurs en aval, à l'Office de l'IA ou aux autorités nationales compétentes.

Les destinataires des informations fournies dans le formulaire de documentation modèle doivent respecter la confidentialité des informations conformément à l'article 78 de la loi sur l'IA de l'UE et s'assurer que des mesures de cybersécurité sont en place pour protéger la sécurité et la confidentialité des informations.

Loi de l'UE sur l'IA Code de bonnes pratiques GPAI – Droit d'auteur

Le chapitre deux du Code de bonnes pratiques traite du droit d’auteur et contient un engagement – la politique du droit d’auteur – et cinq mesures que les signataires doivent mettre en œuvre pour garantir le respect de la législation de l’UE sur le droit d’auteur et les droits voisins, conformément à l’article 53 de la loi de l’UE sur l’IA.

De manière générale, ce chapitre comprend :

Établir une politique de droit d'auteur
Prendre des mesures pour se conformer à la politique de l'UE en matière de droits d'auteur et de réserves de droits
Atténuer le risque de violation du droit d'auteur dans les résultats des modèles d'IA
Mise en place d’un point de contact pour la communication avec les titulaires de droits et le dépôt de plaintes.

Pour satisfaire aux exigences de ce chapitre, les signataires doivent mettre en œuvre et mettre à jour régulièrement une politique de droits d'auteur pour les modèles GPAI qu'ils commercialisent sur le marché de l'UE, et la conserver dans un document unique. Ils doivent également veiller à attribuer les responsabilités au sein de leur organisation pour la mise en œuvre et le maintien de cette politique.

Les organisations souhaitant se conformer au Code de bonnes pratiques doivent également veiller à ne reproduire et extraire que du contenu protégé par le droit d'auteur et légalement accessible lors de leur exploration d'Internet. Cela implique d'exclure les sites web reconnus comme portant atteinte au droit d'auteur par les tribunaux ou les autorités de l'UE. Une liste de ces sites web sera rendue publique à cet effet.

Dans ce contexte, les organisations doivent respecter les réserves de droits lors de l'exploration d'Internet, par exemple en utilisant des robots d'exploration qui lisent et suivent les instructions contenues dans le fichier robots.txt d'un site web, lequel indique les zones du site auxquelles les robots sont autorisés à accéder. De plus, les organisations doivent identifier et respecter d'autres protocoles lisibles par machine appropriés pour exprimer les réserves de droits.

Code de bonnes pratiques GPAI de la loi européenne sur l'IA – Sûreté et sécurité

Le troisième et dernier chapitre du Code de bonnes pratiques est le plus complet. Il décrit les pratiques de gestion des risques systémiques et aide les prestataires à se conformer aux obligations de la loi européenne sur l'IA pour les modèles GPAI présentant un risque systémique. Ce chapitre comprend dix engagements composés de plusieurs mesures :

Adopter, mettre en œuvre et mettre à jour un cadre de sécurité et de sûreté approprié décrire les processus et les mesures de gestion des risques systémiques que les organisations ont mis en œuvre pour garantir que les risques systémiques découlant de leurs modèles sont acceptables.

Identification des risques systémiques : les organisations doivent mettre en œuvre un processus structuré pour identifier les risques systémiques découlant de leurs modèles d’IA et développer des scénarios de risques systémiques pour chaque risque systémique identifié.

Analyse des risques systémiques, y compris la collecte d’informations indépendantes du modèle, la réalisation d’évaluations, la modélisation du risque systémique, l’estimation du risque systémique et la réalisation d’une surveillance post-commercialisation.

Détermination de l'acceptation du risque systémique, y compris la spécification des critères d’acceptation, la détermination de l’acceptabilité des risques systémiques découlant d’un modèle d’IA et la décision de procéder au développement et à l’utilisation en fonction de la détermination de l’acceptation du risque systémique.

Mise en œuvre de mesures d'atténuation de sécurité tout au long du cycle de vie du modèle afin de garantir que les risques systémiques découlant du modèle sont acceptables, par exemple en modifiant le comportement du modèle dans l'intérêt de la sécurité.

Mise en œuvre de mesures d'atténuation de sécurité comme un niveau adéquat de protection en matière de cybersécurité. Les organisations doivent également s'assurer que les risques systémiques découlant d'un accès, d'une utilisation ou d'un vol non autorisé des modèles sont acceptables.

Création d'un rapport de modèle de sécurité et de sûreté Avant de commercialiser un modèle, il est important de s'assurer de sa mise à jour. Les organisations peuvent créer un rapport de modèle unique pour plusieurs modèles si les processus et mesures d'évaluation et d'atténuation des risques systémiques d'un modèle ne peuvent être compris sans référence aux autres modèles. Les PME peuvent réduire le niveau de détail de leurs rapports de modèle pour tenir compte des contraintes de taille et de capacité.

Répartition des responsabilités en matière de risque systémique en définissant les responsabilités en matière de gestion des risques systémiques des modèles à tous les niveaux de l’organisation et en allouant des ressources appropriées à ceux qui se sont vu attribuer des responsabilités en matière de gestion des risques systémiques.

Déclaration d'incident grave, en mettant en œuvre des processus et des mesures permettant de suivre, de documenter et de signaler les incidents graves au Bureau de l'IA (et aux autorités nationales compétentes, le cas échéant) sans délai injustifié. Les signataires devraient également fournir les ressources nécessaires à ces processus et mesures.

Documentation complémentaire et transparence – y compris la documentation de la mise en œuvre du présent chapitre et la publication de versions résumées de leurs rapports de cadre et de modèle, si nécessaire. La documentation complémentaire comprend une description détaillée de l'architecture du modèle, de son intégration dans les systèmes d'IA, des évaluations du modèle réalisées conformément au présent chapitre et des mesures d'atténuation de la sécurité mises en œuvre.

Adhérer au Code de bonnes pratiques ISO 42001

Le Code de bonnes pratiques est volontaire. Il offre toutefois aux fournisseurs de modèles GPAI et de modèles GPAI présentant un risque systémique un moyen de démontrer leur conformité aux obligations légales de la loi européenne sur l'IA.

Si votre entreprise envisage d’adhérer au Code de pratique, ISO 42001 La norme ISO 42001 fournit un cadre de bonnes pratiques pour la création, la maintenance et l'amélioration continue d'un système de gestion de l'IA (SGIA) et peut également contribuer à une conformité plus large à la loi européenne sur l'IA. La norme ISO XNUMX vise à garantir que les organisations prennent en compte les problématiques spécifiques liées à l'IA, notamment la sécurité, la sûreté, l'équité, la transparence, la qualité des données et la qualité des systèmes d'IA tout au long de leur cycle de vie.

Bien que le Code de bonnes pratiques du GPAI s'adresse aux fournisseurs de modèles d'IA et non de systèmes, la norme ISO 42001 fournit une base de référence aux organisations pour mettre en œuvre un AIMS éthique et transparent qui couvre à la fois les modèles et les systèmes d'IA.

Il existe un fort degré de convergence entre les exigences de la norme et les mesures et engagements décrits dans le Code de bonnes pratiques. Par exemple, la norme ISO 42001 exige des organisations qu'elles identifient et traitent les risques liés à l'IA (clause 6.1.2. Évaluation des risques liés à l'IA, clause 6.1.3. Traitement des risques liés à l'IA et clause 8.3. Traitement des risques liés à l'IA).

La mise en œuvre de la norme ISO 42001 implique également la création de processus de documentation et d'archivage couvrant tous les aspects du système AIMS, notamment les politiques, les procédures, les données de performance et les dossiers de conformité. Cela est en parfaite adéquation avec les exigences de documentation du chapitre XNUMX du Code de bonnes pratiques.

Un AIMS robuste et conforme à la norme ISO 42001 peut permettre aux organisations de maintenir et de démontrer facilement la preuve de leur conformité au Code de bonnes pratiques et à la loi européenne sur l'IA.

Prochaines étapes

Mettre en œuvre les mesures nécessaires pour se conformer au Code de bonnes pratiques peut s'avérer complexe. Il est temps de revoir vos efforts actuels en matière de documentation de l'IA, d'harmonisation des droits d'auteur et de gestion des risques systémiques, afin d'identifier les écarts entre votre gestion actuelle et les mesures requises par le Code de bonnes pratiques.

Si votre organisation envisage de se conformer à la norme ISO 42001, communiquez avec nous Découvrez comment ISMS.online peut vous aider. Passez à une gestion responsable et méthodique de l'IA, en vous assurant de déployer vos modèles et systèmes d'IA de manière éthique, sécurisée et conforme à vos obligations légales en vertu de la loi européenne sur l'IA.

Christie Rae

Christie est spécialiste du marketing de contenu chez ISMS.online. Avec plus de sept ans d'expérience, elle vise à rédiger du contenu informatif et engageant et a travaillé dans divers secteurs, notamment la cybersécurité, les logiciels en tant que service, la technologie et les produits pharmaceutiques.

En savoir plus sur Christie Rae

La cyber-sécurité 29 December 2025

Rapport sur l'état de la sécurité de l'information : 11 statistiques et tendances clés pour le secteur juridique

Le rapport 2025 sur l'état de la sécurité de l'information a révélé la complexité des défis et des opportunités en matière de cybersécurité auxquels les responsables de la sécurité ont été confrontés au cours des 12 dernières années…

Christie Rae

La cyber-sécurité 17 December 2025

Rapport sur l'état de la sécurité de l'information : 11 statistiques et tendances clés pour le secteur manufacturier et des services publics

Le rapport annuel sur l'état de la sécurité de l'information a révélé la myriade de défis et d'opportunités auxquels les responsables de la sécurité ont été confrontés au cours des 12 derniers mois...

Christie Rae

La cyber-sécurité 10 December 2025

Rapport sur l'état de la sécurité de l'information : 11 statistiques et tendances clés pour le secteur financier

Le troisième rapport annuel d'IO sur l'état de la sécurité de l'information a révélé les principaux défis auxquels les responsables de la sécurité seront confrontés en 2025, des attaques alimentées par l'IA à…

Christie Rae

Que contient le nouveau code de pratique de l'IA à usage général de la loi européenne sur l'IA ?

Termes clés utilisés dans le Code de pratique

Code de bonnes pratiques GPAI de la loi européenne sur l'IA – Transparence

Qu'est-ce que le formulaire de documentation du modèle ?

Loi de l'UE sur l'IA Code de bonnes pratiques GPAI – Droit d'auteur

Code de bonnes pratiques GPAI de la loi européenne sur l'IA – Sûreté et sécurité

Adhérer au Code de bonnes pratiques ISO 42001

Prochaines étapes

Christie Rae

Articles connexes

De la sécurité périmétrique à la sécurité de l'identité

La vie après l'échéance : transformer la conformité DORA en stabilité opérationnelle

L’ère de la conformité : comment la réglementation, la technologie et le risque redéfinissent les normes commerciales

En savoir plus sur Christie Rae

Rapport sur l'état de la sécurité de l'information : 11 statistiques et tendances clés pour le secteur juridique

Rapport sur l'état de la sécurité de l'information : 11 statistiques et tendances clés pour le secteur manufacturier et des services publics

Rapport sur l'état de la sécurité de l'information : 11 statistiques et tendances clés pour le secteur financier