Analyse préliminaire de la possibilité d’appréhender la désinformation climatique sur Grok au titre du DSA et de l’IA Act.

Cette  analyse préliminaire vise à déterminer si le Digital Services Act (« DSA»)[1] est mobilisable pour appréhender la désinformation climatique sur “Grok”, un chatbot basé sur un grand modèle de langage (Large Language Model « LLM») développé par la plateforme xAI fondée par Elon Musk. Nous avons également analysé les implications du règlement sur l’intelligence artificielle (« AI Act »).[2]

Nos conclusions préliminaires sont les suivantes :

• Le DSA ne semble pas pouvoir être appliqué à Grok en tant que plateforme autonome, mais pourrait s’appliquer à cette IA en tant que fonctionnalité du réseau social X.
• L’AI Act dont l’application progressive commencera en août 2025 pour certaines plateformes, dont Grok, pourrait être un levier futur pour challenger la désinformation climatique sur cette plateforme.

__________

1. Obligations au titre du DSA

1.1. Inapplicabilité du DSA à Grok en tant plateforme autonome

Le DSA s’applique à tous les services dits « intermédiaires » définis comme les services en ligne de transport, mise en cache ou hébergement de données générés par les utilisateurs.[3] Il prévoit également des obligations additionnelles pour les très grandes plateformes en lignes et moteurs de recherche (respectivement « VLOPs » et « VLOSEs»).

Il est communément accepté que, pour être considérés comme des services intermédiaires au sens du DSA, les plateformes doivent conserver une position « neutre », permettant aux utilisateurs de stocker ou d’accéder à des données générées par eux-mêmes ou d’autres utilisateurs sans produire elle-même de contenu original. En effet, cette condition a été reconnue par la Cour de Justice de l’Union européenne (“CJUE”) lors d’un arrêt Google Search[4] de 2011, à l’occasion duquel, la Cour a interprété la notion parapluie de « prestataires intermédiaires » prévue par la directive sur le commerce électronique. Elle a par la suite confirmé de manière constante cette interprétation.[5]

Le DSA fait référence à la notion de service intermédiaire, qui recouvre les mêmes sous-catégories que celles de prestataires intermédiaires et mentionne de plus de manière explicite que « les exemptions de responsabilité établies dans le présent règlement ne devraient pas s’appliquer lorsque, au lieu de se limiter à fournir les services de manière neutre dans le cadre d’un simple traitement technique et automatique des informations fournies par le destinataire du service, le fournisseur de services intermédiaires joue un rôle actif de nature à lui permettre de connaître ou de contrôler ces informations ».[6]

Ainsi, ce considérant doit s’interpréter comme excluant du champ d’application du DSA, les prestataires qui ne fournissent pas les services de « manière neutre »..

Or, la plupart des observateurs considèrent que les LLM vont au-delà de cette position « neutre » en permettant l’accès et la diffusion de contenus originaux générés par les LLM et non par les utilisateurs.[7] Ainsi, les LLMs tels que Grok ne semblent pas entrer dans le champ d’application du DSA en tant que plateformes autonomes.

1.2. Applicabilité du DSA à Grok en tant que système de recommandation ou système connexe intégré au réseau social X

X est soumis aux obligations du DSA et a d’ailleurs été désigné comme VLOP par la Commission en avril 2023.[17]

Grok, dès lors qu’il est intégré au réseau social X, pourrait être considéré soit comme un « service connexe» de la plateforme X au titre de l’article 34 du DSA, soit comme un « système de recommandation » aux termes de l’article 3 s) du DSA.[18] Dans les deux cas, l’intégration de Grok au sein de X déclenche l’application d’une série d’obligations.

• S’agissant des obligations relatives aux services connexes, en tant que VLOP, X doit établir chaque année une évaluation des risques systémiques qui découlent de la conception ou du fonctionnement de ses services ou de ses services connexes.[19] La plateforme doit ensuite mettre en place des mesures d’atténuation de ces risques « raisonnables, proportionnées et efficaces ».[20] Ainsi, en tant que service connexe, Grok devra être pris en compte dans cette évaluation des risques systémiques.
• S’agissant des obligations relatives aux services de recommandation, Grok devra également être pris en compte dans la mise en œuvre des obligations de transparence qui s’imposent à X. La plateforme devra établir dans ses conditions générales, dans un langage simple et compréhensible, les principaux paramètres utilisés dans Grok et les options dont disposent les destinataires du service pour modifier ou influencer ces principaux paramètres.[21] En outre, comme dans le premier cas, la conception de Grok, en tant que système de recommandation, devra être pris en compte dans la cadre de l’évaluation des risques systémiques prévu à l’article 34 comme facteur susceptible d’influencer les risques systémiques.[22]

Dans tous les cas, le respect par les VLOPs de leurs obligations au titre du DSA doit faire l’objet d’un audit indépendant, au minimum une fois par an.[23] La Commission a précisé que l’utilisation des modèles génératifs et partant des LLM devait être pris en compte dans l’élaboration des méthodes d’audit.[24]

La Commission européenne a souligné à plusieurs reprises l’impact potentiel des IA génératives sur l’émergence et la matérialisation des risques systémiques visés à l’article 34. En mars 2024, elle a notamment adressé une demande d’informations à 6 VLOPs, dont X, et 2 VLOSEs portant sur les mesures prises par ces plateformes pour atténuer les risques associés à l’IA générative.[25] En outre, dans ses lignes directives à l’intention des VLOPs concernant l’atténuation des risques systémiques pour les processus électoraux, la Commission encourage les VLOPS à accorder une attention particulière aux IA génératives et à mettre en place des mesures d’atténuation des risques inspirées de l’AI Act,[26] notamment au regard des contenus mensongers, faux, trompeurs ou trompeurs qu’elles peuvent créer et/ou diffuser.[27]

La désinformation ne constitue pas un risque systémique expressément listé dans le DSA mais le texte souligne que la manipulation des VLOPs en vue de répandre des fausses informations peut participer à la réalisation d’autres risques systémiques tels que la mise en péril du discours civique.[28]

A ce titre, un code de bonnes pratiques contre la désinformation, pour lequel la participation reste volontaire, intègrera le cadre normatif du DSA le 1^er juillet 2025. L’adhésion et le respect de ce code par les VLOPs pourrait être considérés comme constituant une mesure appropriée d’atténuation des risques au titre de l’article 35 du DSA[29] tandis que le refus d’adhérer à ce code, sans explication valables, pourrait être pris en compte, le cas échéant, pour déterminer si le VLOP a enfreint les obligations prévues dans le DSA.[30]

A noter que X s’est retiré du code de bonnes pratiques contre la désinformation au moment du rachat par Elon Musk.[31]

2. Obligations au titre de l’ AI ACT

Au titre de l’AI Act, l’entreprise xAi, qui développe Grok, sera soumise à une série d’obligations notamment en matière de transparence. Grok peut en effet être qualifié d’IA à « usage général » (general-purpose AI ou GPAI) au sens de l’AI Act.[32] De plus, cette plateforme devrait être considéré comme une GPAI qui présente un risque systémique, au regard de ses capacités techniques particulièrement élevées.[33]

L’AI Act imposera ainsi à l’entreprise xAI une série d’obligations :

A partir du 2 août 2025:[35]

Des obligations générales en tant que GPAI :[36]

• Établir et conserver une documentation détaillée sur sa conception, son processus d’entraînement et d’essai[37] et mettre ces informations à disposition, sur demande du Bureau de l’IA[38] et des autorités nationales compétentes, ainsi que des fournisseurs des systèmes d’IA en aval ;
• Mettre en place une politique visant à se conformer au droit de l’UE en matière de propriété intellectuelle ;
• Elaborer et mettre à disposition du public un résumé suffisamment détaillé du contenu utilisé pour entraîner le GPAI.

Des obligations renforcées en tant que GPAI présentant un risque systémique :[39]

• Effectuer une évaluation des modèles en vue d’identifier et d’atténuer les risques systémiques ;
• Evaluer et atténuer les risques systémiques éventuels au niveau de l’UE qui peuvent découler du développement, de la mise sur le marché ou de l’utilisation du service ;
• Surveiller et communiquer au Bureau de l’IA tous les incidents graves et les éventuelles mesures correctives pour y remédier ;
• Garantir un niveau approprié en matière de cybersécurité pour le GPAI et l’infrastructure physique du modèle.

A partir du 2 août 2026:[34]

• Informer les utilisateurs qu’ils interagissent avec un système d’IA, sauf lorsque « cela ressort clairement du point de vue d’une personne physique normalement informée et raisonnablement attentive et avisée, compte tenu des circonstances et du contexte d’utilisation »
• Inscrire en filigrane sur les contenus générés par le système qu’ils ont été produits ou manipulés par l’IA, y compris dans le cas des « deepfakes »

Pour se conformer à ces obligations, les fournisseurs de GPAI peuvent s’appuyer sur les codes de bonnes pratiques qui sont en cours de rédaction par le Bureau de l’IA et qui pourra inviter les fournisseurs à y adhérer.[40]

On retrouve ainsi l’obligation d’évaluer et d’atténuer les risques systémiques découlant de l’utilisation des GPAI, en miroir des articles 34 et 35 du DSA.[41] Le risque systémique est défini par le règlement comme le « risque spécifique aux capacités à fort impact des modèles d’IA à usage général, ayant une incidence significative sur le marché de l’Union en raison de leur portée ou d’effets négatifs réels ou raisonnablement prévisibles sur la santé publique, la sûreté, la sécurité publique, les droits fondamentaux ou la société dans son ensemble, pouvant être propagé à grande échelle tout au long de la chaîne de valeur».[42]

La désinformation, au surplus climatique, n’est pas mentionnée comme risque systémique. Mais sa possible reconnaissance comme risque systémique (ou facteur d’influence des risques systémiques) dans le cadre du DSA pourrait influencer la mise en œuvre de cette obligation dans le cadre de l’AI Act. En outre, la Commission européenne a mandaté en mai 2023 les organisations européennes de normalisation CEN et CENELEC pour élaborer des normes applicables aux exigences concernant les systèmes d’IA, et notamment établir une matrice d’identification des risques systémiques.[43] Les risques que représentent les GPAI en matière de désinformation ont de plus déjà été relevés par des observateurs.[44]

_____

[1] Règlement (UE) 2022/2065 du Parlement Européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE (règlement sur les services numériques), disponible ici.

[2] Règlement (UE) 2024/168 du Parlement Européen et du Conseil du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle et modifiant les règlements (CE) no 300/2008, (UE) no 167/2013, (UE) no 168/2013, (UE) 2018/858, (UE) 2018/1139 et (UE) 2019/2144 et les directives 2014/90/UE, (UE) 2016/797 et (UE) 2020/1828 (règlement sur l’intelligence artificielle), disponible ici.

[3]  DSA, Articles 2 et 3(g).

[4] CJUE, 23 mars 2010, C-236/08 à C-238/08, Google Search, ECLI:EU:C:2010:159, para 114.

[5] CJUE, 12 juillet 2011, C-324/09, L’Oréal, ECLI:EU:C:2011:474, para 113.

[6] DSA, Considérant 18.

[7] Voir notamment S. Wachter, B. Mittelstadt, C. Russell, « Do large language models have a legal duty to tell the truth? », R. Soc. Open Sci. 11:240197, disponible ici; P. Hacker, A. Engel, M. Mauer, “Regulating ChatGPT and other Large Generative AI Models”, FAccT ’23: Proceedings of the 2023 ACM Conference on Fairness, Accountability, and Transparency, Juin 2023, disponible ici.

[8] Voir notamment L. Lemoine, M. Vermeulen, Assessing the Extent to Which Generative Artificial Intelligence (AI) Falls Within the Scope of the EU’s Digital Services Act: an Initial Analysis, Octobre 2023, disponible ici; B. B. Arcila, “Is It a Platform ? Is it a Search Engine? It’s Chat GPT! The European Liability Regime for Large Language Models”, Journal of Free Speech Law, Vol. 3, Issue 2, 2023, disponible ici.

[9] DSA, Article 3 (j) :  « service intermédiaire qui permet aux utilisateurs de formuler des requêtes afin d’effectuer des recherches sur, en principe, tous les sites internet ou tous les sites internet dans une langue donnée, sur la base d’une requête lancée sur n’importe quel sujet sous la forme d’un mot-clé, d’une demande vocale, d’une expression ou d’une autre entrée, et qui renvoie des résultats dans quelque format que ce soit dans lesquels il est possible de trouver des informations en rapport avec le contenu demandé ».

[10] En d’autres termes, le moteur de recherche doit conserver un rôle neutre de par son comportement « purement technique, automatique et passif » (CJUE, 23 mars 2010, C-236/08 à C-238/08, Google Search, ECLI:EU:C:2010:159, para 113).

[11] DSA, Article 3 j).

[12] De plus, la Cour de justice a confirmé que le traitement algorithmique des données par Youtube en vue de modérer le contenu sur sa plateforme « n’implique pas que, ce faisant, cet exploitant joue un rôle actif lui conférant la connaissance ou le contrôle du contenu » (CJUE, 22 juin 2021, Youtube, C‑682/18 et C‑683/18, ECLI:EU:C:2021:503, para. 109).

[13] AI Act, Considérant 119 : : « (…) les systèmes d’IA régis par le présent règlement pourraient être fournis en tant que services intermédiaires ou parties de ceux-ci au sens du règlement (UE) 2022/2065, (…) Par exemple, les systèmes d’IA pourraient être utilisés pour fournir des moteurs de recherche en ligne, en particulier, dans la mesure où un système d’IA tel qu’un dialogueur réalise des recherches sur, en principe, tous les sites web, puis en intègre les résultats dans ses connaissances existantes et utilise les connaissances mises à jour pour générer une sortie unique qui combine différentes sources d’information. »

[14] Voir notamment F. G’sell, “Chapter 5 Regulatory initiatives” in F. G’sell, Regulating under Uncertainty: Governance Options for Generative AI, October 2024, disponible ici.

[15] Voir le communiqué accompagnant le déploiement de Grok 3.0 et expliquant les fonctionnalités de l’IA, disponible ici.

[16] Voir un article retraçant l’incident, disponible ici.

[17] Voir le communiqué de presse, disponible ici. A cet égard, X fait l’objet d’une procédure en manquement de la part de la Commission dans le cadre de laquelle elle a conclu de manière préliminaire à la violation par X de ses obligations au titre du DSA, notamment en matière de transparence (voir le communiqué de presse détaillant les griefs, disponible ici).

[18] Le système de recommandation est défini comme un « un système entièrement ou partiellement automatisé utilisé par une plateforme en ligne pour suggérer sur son interface en ligne des informations spécifiques aux destinataires du service ou pour hiérarchiser ces informations, notamment à la suite d’une recherche lancée par le destinataire du service ou en déterminant de toute autre manière l’ordre relatif ou d’importance des informations affichées ».

[19] Le DSA identifie quatre catégories de risques systémiques :  la diffusion de contenu illicite, les effets négatifs sur les droits fondamentaux, le discours civique, les processus électoraux et la sécurité publique ainsi que les effets négatifs liés aux violences sexistes, à la protection de la santé publiques, des mineurs et du bien-être physique et mental des personnes (DSA, Article 34(1)).

[20] DSA, Article 35(1).

[21] DSA, Article 27(1).

[22] DSA, Article 34(2).

[23] DSA, Article 37(1).

[24] Règlement (UE) 2024/436 de la Commission du 20 octobre 2023 complétant le règlement (UE) 2022/2065 du Parlement européen et du Conseil en établissant des règles concernant la réalisation d’audits pour les très grandes plateformes en ligne et les très grands moteurs de recherche en ligne, Considérants 28 et 29, disponible ici.

[25] Les demandes d’information se concentrent sur les « hallucinations » des IA génératives à l’occasion desquelles elles peuvent fournir des fausses informations, la diffusion de « deepfakes » ainsi que la manipulation automatisée de leurs services qui peut tromper les électeurs. En sus, la Commission a également demandé des informations concernant l’évaluation et l’atténuation des risques liées aux contenus générés et diffusés par les IA génératives et leur impact sur les processus électoraux, la diffusion de contenu illégal, la protection des droits fondamentaux, la protection des mineurs, la protection des données personnelles, la protection du consommateur et de la propriété intellectuelle. Voir le communiqué de presse disponible ici.

[26] Voir section (2).

[27] Voir Communication de la Commission, Lignes Directrices, la Commission à l’intention des fournisseurs de très grandes plateformes en ligne et de très grands moteurs de recherche en ligne sur l’atténuation des risques systémiques pour les processus électoraux, présentées en vertu de l’article 35, paragraphe 3, du règlement (UE) 2022/2065, C/2024/3014, Avril 2024.

[28] DSA, Considérant 84.

[29] Le DSA précise cependant que le « simple fait d’adhérer à un code de conduite donné et de le mettre en œuvre ne devrait pas en lui-même faire présumer que le présent règlement est respecté » (Considérant 104).

[30] DSA, Considérant 104.

[31] J. Hendrix, Musk’s Twitter Ditches EU Code of Practice on Disinformation, TechPolicy.Press, 26 mai 2023, disponible ici.

[32] Le modèle d’IA à usage général est défini comme « un modèle d’IA, y compris lorsque ce modèle d’IA est entraîné à l’aide d’un grand nombre de données utilisant l’auto-supervision à grande échelle, qui présente une généralité significative et est capable d’exécuter de manière compétente un large éventail de tâches distinctes, indépendamment de la manière dont le modèle est mis sur le marché, et qui peut être intégré dans une variété de systèmes ou d’applications en aval, à l’exception des modèles d’IA utilisés pour des activités de recherche, de développement ou de prototypage avant leur mise sur le marché (AI Act, Article 3 (63)).

[33] Aux termes de l’article 51(3). Les modèles d’IA à fort impact, qui utilisent une quantité importante de données pour leur entraînement sont présumés entrer dans la catégorie des modèles d’IA présentant un risque systémique Grok a été identifié comme remplissant ces conditions, voir ici.

[34] AI Act, Articles 50 et 113.

[35] AI Act, Article 113 b).

[36] AI Act, Article 53.

[37] Cette documentation doit contenir une liste d’informations prévues en Annexe XI du règlement.

[38] Instance nouvellement créée au sein de la Communication, le Bureau de l’IA est un centre d’expertise chargé de la mise en œuvre de l’AI Act. A ce titre, il est compétent pour développer des outils et des méthodologies pour orienter les opérateurs et les autorités nationales de surveillance du marché dans l’implémentation du règlement.

[39] AI Act, Article 55(1).

[40] AI Act, Articles 55(2) et 56(7) et (9).

[41] L’AI Act précise que pour les systèmes d’IA intégrés dans des VLOPs ou des VLOSEs, cette obligation est présumée remplie dès lors que l’obligation au titre des articles 34 et 35 du DSA sont elles-mêmes remplies, à moins que des risques systémiques important non couverts par le DSA apparaissent (Considérant 118).

[42] AI Act, Article 3 (63).

[43] Voir la Décision d’exécution de la Commission relative à une demande de normalisation adressée au Comité européen de normalisation et au Comité européen de normalisation électrotechnique à l’appui de la politique de l’Union en matière d’intelligence artificielle, C(2023)3215, disponible ici. Les résultats de ce processus de standardisation sont attendus courant 2025.

[44] Voir R. Uuk, C. Ignacio Gutierrez, D. Guppy, L. Lauwaert, A. Kasirzadeh, L. Velasco, P. Slattery, and C. Prunkl, A Taxonomy of Systemic Risks from General-Purpose AI, November 2024, disponible ici, et également, S. Wachter, B. Mittelstadt, C. Russell, « Do large language models have a legal duty to tell the truth? », R. Soc. Open Sci. 11:240197, disponible ici.

[45] La Commission européenne avait également publié une proposition de directive sur la responsabilité civile des IA qu’elle a retiré en 2025, voir l’historique de la proposition de directive ici.

Contactez-nous si vous souhaitez faire appel à nos compétences