L'article 55 du Règlement (UE) 2024/1689 définit les obligations supplémentaires applicables aux fournisseurs de modèles d'IA à usage général présentant un risque systémique. Ces modèles, caractérisés par leur puissance et leur capacité à être utilisés dans de multiples applications, font l'objet d'exigences renforcées.

Texte officiel de l'article 55 de l'AI Act (extraits)

1. Les fournisseurs de modèles d'IA à usage général présentant un risque systémique :

a) effectuent une évaluation des modèles conformément à des protocoles et outils normalisés reflétant l'état de la technique, y compris en réalisant et en documentant des essais contradictoires des modèles en vue d'identifier et d'atténuer les risques systémiques ;

b) évaluent et atténuent les risques systémiques éventuels, y compris leurs sources, susceptibles de découler du développement, de la mise sur le marché ou de l'utilisation de modèles d'IA à usage général présentant un risque systémique ;

c) suivent, documentent et signalent sans retard injustifié au Bureau de l'IA et, le cas échéant, aux autorités nationales compétentes les informations pertinentes concernant les incidents graves ainsi que les mesures correctives possibles pour y remédier ;

d) assurent un niveau approprié de protection en matière de cybersécurité pour le modèle d'IA à usage général présentant un risque systémique et l'infrastructure physique du modèle.

Analyse juridique

Définition du risque systémique

Un modèle d'IA à usage général présente un risque systémique lorsqu'il a des capacités à fort impact, déterminées notamment par sa puissance de calcul d'entraînement (seuil de 10^25 FLOPs) ou par d'autres critères techniques. Les modèles de fondation les plus puissants (type GPT-4, Claude) relèvent généralement de cette catégorie.

Obligations renforcées

Les fournisseurs de ces modèles doivent :

  • Évaluation par tests contradictoires (red-teaming) : identification proactive des vulnérabilités et risques
  • Gestion des risques systémiques : évaluation et atténuation des risques liés au développement et à l'utilisation
  • Notification des incidents : signalement rapide au Bureau de l'IA
  • Cybersécurité renforcée : protection du modèle et de son infrastructure

Rôle du Bureau de l'IA

Le Bureau de l'IA (AI Office) de la Commission européenne est l'interlocuteur principal pour les modèles à risque systémique, assurant une supervision centralisée au niveau européen.

Exemple d'application

📋 Conformité d'un modèle de fondation

Un fournisseur de LLM (Large Language Model) dépassant le seuil de puissance de calcul met en place : une équipe de red-teaming réalisant des tests mensuels, un programme de bug bounty pour les chercheurs en sécurité, des procédures de notification d'incidents au Bureau de l'IA, et une infrastructure sécurisée avec audit régulier de cybersécurité.

L'article 55 soumet les modèles d'IA les plus puissants à une surveillance renforcée, reconnaissant leur potentiel d'impact systémique et la nécessité d'une vigilance accrue sur leurs risques.