Le code de bonnes pratiques sur l’IA : quels enseignements ?

I. La genèse du Code de bonnes pratiques sur l’IA

1. L’IA Act et l’encadrement juridique de l’intelligence artificielle dans l’UE. 

L’Union européenne a déployé un cadre général pour encourager l’innovation en intelligence artificielle (IA) tout en assurant un haut niveau de protection des droits et de la sécurité. Au cœur de ce dispositif figure le règlement 2024/1689 (IA Act/RIA)¹, entré en vigueur le 1 août 2024, accompagné d’un « Code de bonnes pratiques »² visant à faciliter la mise en œuvre concrète de certaines de ses dispositions.

2. Les projets successifs de Code de bonnes pratiques

La Commission européenne a mandaté un groupe d’experts indépendants afin de proposer un Code de bonnes pratiques pour les IA à usage général. Plusieurs versions successives (ou drafts) ont été publiées le 14 novembre 2024³, puis le 19 décembre 2024⁴ et enfin le 11 mars 2025⁵ avec une troisième version plus avancée.⁶

Les rédacteurs insistent sur l’aspect collaboratif et évolutif du texte : un large éventail d’acteurs (issus de l’industrie, du monde académique et de la société civile) a pu contribuer à affiner et enrichir les engagements présents dans le Code. Ce dernier texte est ainsi régulièrement soumis à consultation et la Commission prévoit de le mettre à jour pour refléter les progrès rapides de l’IA⁷.

• Premier projet (14 nov 2024) : le Code pose un premier cadre pour les fournisseurs de modèles IA, en proposant des engagements généraux sur la transparence et la gestion des risques. Il sert de « fondation » et souligne la nécessaire collaboration multi-acteurs et l’élaboration d’un code « à l’épreuve du futur ».
• Deuxième projet (19 déc 2024) : Le Code intègre de nombreux retours issus d’experts et de parties prenantes. La première partie du projet de Code définit les obligations de transparence et de droit d’auteur pour les fournisseurs de modèles d’IA, avec des exemptions pour certains modèles open source. La deuxième partie, présente des risques systémiques, traite des mesures d’évaluation, d’atténuation des risques et des obligations en matière de cybersécurité.
• Troisième projet (11 mars 2025) : Cette version propose une structure davantage finalisée avec une répartition en sections (Transparence, Copyright, Sécurité et Risques systémiques), mais aussi des dispositions spécifiques pour les modèles à risque systémique (GPAISR – General-Purpose AI with Systemic Risk) et un « Safety and Security Framework ». Ce dernier s’appliquera aux GPAISR des signataires du Code et détaillera l’évaluation des risques systémiques, l’atténuation de ces mêmes risques ainsi que des mesures et procédures de gestion des risques que les signataires envisagent d’adopter pour maintenir les risques systémiques liés à leurs GPAISR à des niveaux acceptables⁸.

Face à la multiplication des projets d’intelligence artificielle dans les entreprises, la prévention du risque cyber doit devenir systématique dans tout cadre de gouvernance IA.

II. Contenu et obligations du Code de bonnes pratiques. 

Le Code vise deux catégories :

• Les modèle d’IA à usage général qui sont des modèles qui, après avoir été formés sur de grandes quantités de données, peuvent accomplir une grande variété de tâches. Ce type de modèle est suffisamment flexible pour être intégré dans différents systèmes ou applications. Il ne concerne pas les IA utilisées uniquement pour la recherche, le développement ou le prototypage avant leur commercialisation⁹. 
• Les modèles présentant un risque systémique (GPAISR – General-Purpose AI with Systemic Risk)¹⁰ : cette notion désigne un risque lié aux capacités des modèles d’IA à usage général, qui pourrait avoir un grand impact sur le marché de l’Union. Ce risque pourrait affecter la santé publique, la sécurité, les droits fondamentaux ou la société en général et se propager largement dans toute la chaîne de valeur.

Pour les premiers modèles, le Code prévoit des obligations de transparence et de respect du droit d’auteur, rassemblées dans la « Transparency Section » et la « Copyright Section » du Code¹¹. Les fournisseurs sont ainsi tenus de s’engager en matière de transparence en fournissant une documentation claire sur leurs modèles (par exemple sur l’origine et le type des données, les capacités et limitations de l’IA¹²) et de se conformer aux obligations relatives au copyright¹³.

Pour les GPAISR, le Code introduit une section spécifique intitulée « Safety and Security Section », qui décrit un ensemble de mesures d’évaluation et de contrôle des risques¹⁴. Y figurent, par exemple, des engagements à conduire des analyses de risque (« Systemic risk assessment […] along the entire model lifecycle […] ») et à mettre en place une structure de gouvernance adaptée (« Signatories commit to adopting and implementing a Safety and Security Framework […] »).

III. Les avantages stratégiques du Code

Bien que ce Code n’ait pas de caractère contraignant, il n’en constitue un outil précieux pour aider les professionnels concernés à se conformer aux obligations du RIA. En effet, bien qu’il ne confère pas de présomption de conformité avec le RIA, il offre un cadre et des orientations pratiques qui aident les signataires à respecter leurs obligations, en particulier en matière de gestion des risques systémique, de sécurité et de transparence.

En adhérant à ce Code, les signataires facilitent la mise en œuvre du RIA, ce qui peut réduire les risques d’incidents et de sanctions tout en renforçant leur démarche de conformité. 

En effet, l’article 101 du RIA mentionne explicitement que la prise d’engagements dans le cadre de codes de bonnes pratiques est prise en compte lors de la détermination des amendes. Cela s’applique aux fournisseurs de modèles d’IA à usage général en cas de non-conformité : « La Commission tient également compte des engagements pris conformément à l’article 93, paragraphe 3, ou pris dans les codes de bonne pratique pertinents conformément à l’article 56. »

Cela signifie qu’adhérer au Code de bonnes pratiques peut être considéré positivement et peut être perçu comme un effort pour se conformer aux obligations du RIA, ce qui pourrait réduire le montant de l’amende qui peut atteindre 3% du chiffre d’affaires annuel mondial ou 15 000 000 d’euros.

IV. Qui est concerné par le Code de bonnes pratiques européen sur l’intelligence artificielle ?

Le Code européen de bonnes pratiques concerne principalement deux grandes catégories d’acteurs :

D’une part, les fournisseurs de modèles d’IA à usage général (General-purpose AI Providers), qui sont directement soumis aux obligations du Code lorsqu’ils mettent à disposition leurs solutions. Ces acteurs incluent les entreprises technologiques spécialisées dans le développement d’IA, mais aussi les éditeurs de solutions logicielles. À ce titre, ils doivent notamment documenter les caractéristiques techniques de leurs solutions (origine des données, processus de décision, transparence des algorithmes), conformément aux exigences détaillées dans la section Transparence du Code.

D’autre part, les utilisateurs finaux sont indirectement concernés par le Code. Bien qu’ils ne soient pas directement signataires, ces utilisateurs ont tout intérêt à privilégier les modèles conformes au Code, afin de garantir une meilleure sécurité juridique et une réduction du risque d’incidents liés à l’usage d’IA dans leurs pratiques professionnelles. Le respect du Code peut constituer une preuve de diligence en cas de litige ou de contrôle par les autorités compétentes, renforçant leur crédibilité et leur conformité réglementaire vis-à-vis de leurs clients et partenaires institutionnels.

Aumans Avocats : spécialistes en IT/Data, protection des données et externalisation de DPO

En tant que cabinet d’avocats spécialisé IT / Data et protection des données, nous sommes à votre disposition pour vous accompagner dans tous vos projets. Que vous soyez une startup, une PME ou un groupe de sociétés, notre expertise vous permettra de naviguer sereinement dans le paysage complexe de la réglementation et de la conformité. N’hésitez pas à nous contacter pour bénéficier de conseils personnalisés et sécuriser votre avenir numérique.

Sources :

1. https://eur-lex.europa.eu/eli/reg/2024/1689/oj?locale=fr – Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle (IA Act, RIA) ↩︎
2. https://digital-strategy.ec.europa.eu/fr/policies/ai-code-practice – Code de pratique général sur l’IA ↩︎
3. https://digital-strategy.ec.europa.eu/fr/library/first-draft-general-purpose-ai-code-practice-published-written-independent-experts – Publication du premier projet de code de bonnes pratiques sur l’IA à usage général, rédigé par des experts indépendants ↩︎
4. https://digital-strategy.ec.europa.eu/fr/library/second-draft-general-purpose-ai-code-practice-published-written-independent-experts – Publication du deuxième projet de code de bonnes pratiques sur l’IA à usage général, rédigé par des experts indépendants ↩︎
5. https://digital-strategy.ec.europa.eu/en/library/third-draft-general-purpose-ai-code-practice-published-written-independent-experts – Troisième Projet du Code de Pratique de l’IA à Usage Général publié, écrit par des experts indépendants ↩︎
6. Ibid, SAFETY AND SECURITY SECTION, « We would like to thank all stakeholders for their valuable input and collaborative stance. » ↩︎
7. Ibid, Engagements,   « Additional time for consultation and deliberation – both externally and internally – will be needed to further improve the Code » ↩︎
8. Ibid, SAFETY AND SECURITY SECTION ↩︎
9. https://eur-lex.europa.eu/eli/reg/2024/1689/oj?locale=fr – Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle (IA Act, RIA), Art 3(63) ↩︎
10. Ibid, Art 3(65) ↩︎
11. https://digital-strategy.ec.europa.eu/en/library/third-draft-general-purpose-ai-code-practice-published-written-independent-experts – Troisième Projet du Code de Pratique de l’IA à Usage Général publié, écrit par des experts indépendants, TRANSPARENCY SECTION / COPYRIGHT SECTION ↩︎
12. Ibid, TRANSPARENCY SECTION, “Signatories commit to providing additional information necessary to enable downstream providers to have a good understanding of the capabilities and limitations of the general-purpose AI model and to comply with their obligations pursuant to the AI Act.” ↩︎
13. Ibid, COPYRIGHT SECTION, ”In order to fulfil the obligation to put in place a policy to comply with Union law on copyright […] Signatories commit to drawing up [..]. implementing a copyright policy […]” ↩︎
14. Ibid, SAFETY AND SECURITY SECTION, “The Safety and Security Section of the Code of Practice describes one way in which leading AI companies can comply with the AI Act. The AI Act is a binding AI regulation passed by the European Union in 2024. The part of the AI Act that is concerned with obligations for general-purpose AI models (GPAI) will become effective on August 2, 2025.” ↩︎