Intelligence Artificielle & AI Act : le 1er projet de Code de Pratiques aborde la question sensible des droits d’auteur

1. Rappel du rôle des Codes de pratiques dans la mise en œuvre du Règlement Européen sur l'IA (« IA Act »)

Tandis que la mise en œuvre de l'IA Act est actuellement en cours, différents mécanismes d'application ont été prévus par ce règlement. L'un des plus importants est constitué par les codes de pratique, qui sont actuellement élaborés par l'Office de l'IA et un large éventail de parties prenantes. Ces codes de pratique constituent un ensemble de lignes directrices pour le respect de l'IA Act. Ils représenteront un outil essentiel pour garantir le respect des obligations, particulièrement durant la période intermédiaire entre l'entrée en vigueur des obligations des fournisseurs de modèles d'IA à usage général (août 2025) et l'adoption des normes (août 2027 ou plus tard). Bien que ces codes ne soient pas juridiquement contraignants, le respect de ces lignes directrices servira de «présomption de conformité» aux obligations des fournisseurs de modèles GPAI (« General Purpose Artificial Intelligence ») jusqu'à l'entrée en vigueur de normes plus robustes. Les codes de pratique sont élaborés dans le cadre d'un processus multipartite, impliquant des groupes de travail, des experts universitaires et indépendants, des fournisseurs de modèles d'IA, des membres de la société civile, etc. L'Office AI de l'UE évaluera l'adéquation des codes de pratique et pourra les approuver par le biais d'un acte d'exécution. Dans l'hypothèse où un code de pratique ne pourrait être finalisé, la Commission se réserve la possibilité de fournir des règles communes pour la mise en œuvre.

‍

2. Synthèse du premier projet de Code de pratiques du 18 novembre 2024

Le projet de « Code de pratiques pour les modèles d'intelligence artificielle généraliste (GPAI) », publié le 18 novembre dernier, s'inscrit dans ce cadre légal précis. Il consacre notamment une attention particulière à la conformité des modèles avec les règles européennes en matière de droits de propriété intellectuelle, et c’est sous cet angle uniquement que nous allons analyser ce nouveau texte.

Le Code établit des mesures détaillées visant à encadrer l'utilisation des contenus protégés tout au long du cycle de vie des modèles, depuis leur entraînement jusqu'à leur déploiement. Ces dispositions, qui s'appuient sur les articles 53 et 55 de l'IA Act, sont complétées par les règles issues de la Directive (UE) 2019/790 sur le droit d'auteur et les droits voisins dans le marché unique numérique, en particulier les exceptions et limitations applicables à l'extraction de textes et de données (TDM).

Rappelons pour mémoire que l'Article 53 de l'IA Act relatif aux obligations incombant aux fournisseurs de modèles d'IA à usage général dispose expressément que ces derniers sont tenus de  mettre en place une politique visant à se conformer au droit de l'Union en matière de droit d'auteur et droits voisins, en identifiant et respectant, notamment au moyen de technologies de pointe, une réservation de droits exprimée conformément à l'article 4, paragraphe 3, de la directive (UE) 2019/790 ; qu’ils sont également tenus d’élaborer et mettre à la disposition du public un résumé suffisamment détaillé du contenu utilisé pour entraîner le modèle d'IA à usage général, conformément à un modèle fourni par le Bureau de l'IA. Ces règles de l’IA Act sont ainsi complétées par certaines des dispositions de ce Code de pratiques, dont nous feront ci-après une synthèse :  

‍

a. Transparence sur l'utilisation des données protégées

Le Code impose aux fournisseurs de GPAI de documenter et de rendre accessibles les informations relatives aux données utilisées pour l'entraînement, le test et la validation de leurs modèles. Cette obligation s'applique spécifiquement aux données protégées par des droits de propriété intellectuelle.

L'article 53(1)(c) de l'AI Act dispose que les fournisseurs doivent mettre en place une politique de conformité avec le droit d'auteur, incluant des mécanismes permettant d'identifier et de respecter les réserves de droits exprimées par les titulaires, conformément à l'article 4(3) de la Directive 2019/790. Le Code précise que cette transparence doit inclure :

• La nature des données utilisées (textes, images, vidéos, autres contenus protégés).
• Les sources des données, incluant leur provenance et les modalités d'acquisition, qu'elles proviennent d'un accord de licence, de données accessibles au public ou d'exceptions prévues par la loi.
• Une description des mécanismes mis en œuvre pour vérifier que les droits des titulaires ont été respectés.

Une question demeure néanmoins en suspens : celle de savoir si les fournisseurs doivent divulguer «chaque œuvre utilisée individuellement». Le document indique qu'une telle exigence pourrait être disproportionnée pour certains modèles, notamment ceux entraînés sur des ensembles de données massifs, comme des corpus web. Il est toutefois recommandé que les fournisseurs communiquent des informations générales sur les jeux de données, y compris des métadonnées permettant d'identifier les catégories d'œuvres utilisées, leur origine et le respect des éventuelles réserves de droits.

‍

b. Respect des réserves de droits et rôle des technologies avancées

Le Code insiste sur la nécessité pour les fournisseurs d'utiliser des technologies de pointe pour identifier et respecter les réserves de droits (op out). Cela comprend :

• L'emploi de crawlers conformes au protocole robots.txt, lequel permet aux titulaires de restreindre l'accès automatisé à leurs contenus en ligne.
• La mise en œuvre de mécanismes pour identifier les réserves de droits exprimées de manière lisible par machine, par exemple via des métadonnées ou d'autres standards établis.
• L'exclusion des sources non autorisées, telles que les sites de piratage, en utilisant des listes noires publiées par les autorités compétentes, comme la Commission européenne.

Le texte recommande également la participation des fournisseurs à des discussions collaboratives avec les titulaires de droits, les organisations de gestion collective et d'autres parties prenantes pour développer des standards interopérables permettant une gestion automatisée des droits à grande échelle. Ces discussions pourraient être pilotées par la Commission européenne, qui serait chargée d'établir des solutions reconnues comme "état de l'art".

‍

c. Documentation pour l'AI Office et transparence publique

Les fournisseurs doivent tenir à jour une documentation technique détaillée sur les données utilisées, à destination de l'AI Office et, dans certains cas, des autorités nationales compétentes. Cette documentation doit inclure :

• Une description des données protégées utilisées pour l'entraînement, avec des informations sur leur acquisition (licence, exceptions de Text and Data Mining dite « TDM »).
• Des preuves que les réserves de droits ont été respectées, comme des métadonnées associées aux œuvres ou des accords contractuels.
• Les critères appliqués pour exclure les données non conformes ou illicites.

Le Code encourage également la transparence vis-à-vis du public en publiant, sur le site du fournisseur, des informations générales sur les politiques de conformité en matière de droit d'auteur. Ces informations doivent être accessibles et rédigées dans un langage compréhensible pour un large public.

‍

d. Conformité en cas d'utilisation à des fins TDM (Text and Data Mining)

La Directive (UE) 2019/790 prévoit des exceptions et limitations spécifiques pour l'extraction de textes et de données (TDM), qui permettent, sous conditions, d'utiliser des contenus protégés sans autorisation préalable. Cependant, les titulaires de droits peuvent exprimer une réserve explicite, interdisant l'utilisation de leurs œuvres à ces fins. Le Code oblige les fournisseurs à :

• S'assurer qu'ils disposent d'un accès licite aux contenus protégés utilisés pour le TDM.
• Respecter les réserves exprimées via des moyens techniques ou contractuels.
• Prendre des mesures proactives pour éviter l'utilisation de contenus issus de sources illicites ou controversées.

‍

e. Gestion des risques liés à la génération de contenus

Pour prévenir les risques de production d'œuvres contrefaisantes ou similaires à des œuvres protégées, le Code exige des fournisseurs qu'ils implémentent des mécanismes techniques visant à :

• Identifier les outputs susceptibles de reproduire des œuvres protégées.
• Minimiser les risques d'« Overfitting », c'est-à-dire la reproduction presque exacte de données d'entraînement protégées.
• Informer les utilisateurs finaux des limitations et des responsabilités juridiques associées à l'utilisation des modèles, notamment dans des contrats ou politiques d'utilisation.

‍

Conclusion

Le projet de Code de pratiques met en place des exigences rigoureuses pour encadrer l'utilisation des contenus protégés dans le développement des GPAI. Bien qu'il n'impose pas encore la divulgation exhaustive œuvre par œuvre des données utilisées, il insiste sur une transparence accrue, tant vis-à-vis des autorités que du public, et sur l'emploi de technologies avancées pour garantir le respect des droits d'auteur.

En intégrant ces dispositions, le Code cherche à établir un juste équilibre entre innovation technologique et protection des droits des créateurs, tout en créant un cadre de référence harmonisé pour les fournisseurs opérant dans l'Union européenne.