Guide juridique de l'intelligence artificielle - FG Avocat

Guide juridique de l’intelligence artificielle

Les Guides du droit du numérique

Comprendre l'encadrement juridique de l'intelligence artificielle

Sous-titre

Par Me Fatima Ghilassene — Avocate en droit du numérique

Sommaire

Guide pratique pour les organisations Comprendre les règles applicables à l’intelligence artificielle, anticiper les risques juridiques et mettre en place une gouvernance responsable.

Objectifs du guide

L’intelligence artificielle est désormais présente dans toutes les organisations. Qu’il s’agisse d’utiliser ChatGPT pour rédiger un document, d’automatiser un service client, d’améliorer un processus de recrutement ou de développer un système d’aide à la décision, les usages se multiplient rapidement. Cette évolution constitue une opportunité majeure d’innovation et de compétitivité. Elle soulève également de nombreuses questions juridiques.

  • Peut-on utiliser librement une IA générative ?
  • Les données saisies dans un agent conversationnel sont-elles protégées ?
  • Qui est responsable lorsqu’une IA commet une erreur ?
  • Quels sont les risques pour les droits fondamentaux ?
  • Quelles obligations découlent de l’AI Act ?
  • Comment mettre en place une gouvernance de l’intelligence artificielle ?

Ce guide a pour objectif d’apporter des réponses claires et opérationnelles à ces questions. Il s’adresse aux dirigeants, responsables conformité, juristes, DPO, responsables informatiques, responsables des ressources humaines, collectivités territoriales et plus largement à toutes les organisations souhaitant développer ou utiliser des systèmes d’intelligence artificielle dans un cadre juridique sécurisé. Au-delà de l’AI Act, il propose une approche globale de la gouvernance de l’IA, articulant protection des données, cybersécurité, propriété intellectuelle, responsabilité civile et protection des droits fondamentaux.

Sommaire PARTIE I — Comprendre l’intelligence artificielle

Chapitre 1

Pourquoi toutes les organisations sont concernées par l’intelligence artificielle

Chapitre 2

Qu’est-ce que l’intelligence artificielle ?

Chapitre 3

Les principaux usages de l’intelligence artificielle dans les organisations

Chapitre 4

Les principaux risques juridiques liés à l’intelligence artificielle

PARTIE II — Comprendre l’AI Act

Chapitre 5

Pourquoi l’Union européenne encadre l’intelligence artificielle

Chapitre 6

Le fonctionnement de l’AI Act : une approche fondée sur les risques

Chapitre 7

Les pratiques interdites

Chapitre 8

Les systèmes d’IA à haut risque

Chapitre 9

Les obligations des organisations

PARTIE III — Déployer une intelligence artificielle de manière responsable

Chapitre 10

Identifier les usages de l’IA dans son organisation

Chapitre 11

Choisir un fournisseur d’intelligence artificielle

Chapitre 12

Protéger les données personnelles et les informations confidentielles

Chapitre 13

Sécuriser les usages de l’intelligence artificielle

Chapitre 14

Former les collaborateurs

Chapitre 15

Mettre en place une gouvernance de l’intelligence artificielle

PARTIE IV — Responsabilités et perspectives

Chapitre 16

Qui est responsable en cas de dommage ?

Chapitre 17

Les contrôles et les sanctions

Chapitre 18

Construire une stratégie de responsabilité numérique

Conclusion générale

L’intelligence artificielle : une opportunité à gouverner plutôt qu’une technologie à subir.

Ce guide s’inscrit dans une collection cohérente

Afin de construire une véritable bibliothèque juridique à destination des organisations, ce guide constitue le deuxième volume d’une collection consacrée à la responsabilité numérique. La collection comprendra progressivement :

  • Comprendre le RGPD : guide pratique pour les organisations ;
  • Comprendre l’encadrement juridique de l’intelligence artificielle ;
  • Comprendre la cybersécurité : obligations juridiques et gouvernance des risques numériques ;
  • Comprendre NIS2 : guide pratique pour les organisations concernées ;
  • La gouvernance des données : enjeux juridiques et bonnes pratiques ;
  • La responsabilité numérique : construire une gouvernance conforme, éthique et durable.

PARTIE I — Comprendre l’intelligence artificielle Chapitre 1 — Pourquoi toutes les organisations sont concernées par l’intelligence artificielle

L’intelligence artificielle n’est plus une technologie réservée aux laboratoires de recherche ou aux grandes entreprises du numérique. En quelques années, elle s’est imposée dans le quotidien des organisations, quels que soient leur taille, leur secteur d’activité ou leurs missions. Une PME utilise un assistant conversationnel pour rédiger ses courriels. Une collectivité territoriale expérimente un agent conversationnel pour répondre aux administrés. Un cabinet d’expertise comptable automatise la production de certains documents. Un établissement de santé s’appuie sur des outils d’aide au diagnostic. Un service des ressources humaines recourt à des solutions de tri de candidatures. Souvent, ces usages se développent rapidement, sans projet informatique d’envergure et parfois même sans validation préalable de la direction. L’intelligence artificielle est ainsi devenue une technologie du quotidien. Cette diffusion rapide constitue une formidable opportunité d’innovation, mais elle crée également de nouveaux risques juridiques que les organisations ne peuvent plus ignorer.

Une révolution comparable à l’arrivée d’Internet

L’arrivée de l’intelligence artificielle générative constitue probablement l’une des transformations technologiques les plus importantes depuis la généralisation d’Internet. Pour la première fois, chacun peut dialoguer avec une machine capable de produire :

  • un texte ;
  • une analyse ;
  • un résumé ;
  • une traduction ;
  • une image ;
  • un code informatique ;
  • un support de présentation ;
  • voire une assistance à la prise de décision.

Cette facilité d’utilisation explique l’adoption extrêmement rapide de ces outils. Contrairement aux précédentes innovations numériques, l’IA ne nécessite souvent aucune compétence technique particulière. Quelques secondes suffisent pour obtenir un résultat.

Une adoption massive dans les organisations

Dans de nombreuses structures, l’utilisation de l’intelligence artificielle précède désormais la mise en place d’une politique interne. Les collaborateurs utilisent spontanément des outils accessibles gratuitement sur Internet pour :

  • préparer un rapport ;
  • rédiger un contrat ;
  • répondre à un client ;
  • traduire un document ;
  • produire une présentation ;
  • analyser un tableau de données ;
  • générer du code informatique.

Ces usages se développent parfois sans que l’organisation sache précisément :

  • quelles données sont transmises ;
  • où elles sont hébergées ;
  • comment elles sont réutilisées ;
  • quelles garanties sont offertes.

L’IA entre ainsi dans les organisations par les usages avant d’y entrer par la gouvernance.

Une technologie qui dépasse le service informatique

L’intelligence artificielle ne concerne plus uniquement les directions des systèmes d’information. Elle touche désormais toutes les fonctions de l’organisation. Par exemple : La direction générale peut utiliser l’IA pour préparer des notes stratégiques. Les ressources humaines peuvent recourir à des outils d’aide au recrutement ou à la formation. Les juristes utilisent des assistants pour analyser des contrats ou effectuer des recherches. Les équipes marketing génèrent des contenus rédactionnels ou visuels. Les services clients déploient des agents conversationnels. Les développeurs s’appuient sur des assistants de programmation. Les directions financières automatisent certaines analyses. L’IA devient progressivement une technologie transversale.

Des opportunités considérables

Lorsqu’elle est utilisée dans un cadre maîtrisé, l’intelligence artificielle peut apporter de nombreux bénéfices. Elle permet notamment :

  • d’automatiser certaines tâches répétitives ;
  • d’améliorer la productivité ;
  • d’accélérer la recherche d’informations ;
  • d’assister la rédaction de documents ;
  • d’améliorer la qualité de certains services ;
  • d’aider à la prise de décision ;
  • d’optimiser les processus internes.

Pour les petites structures, elle offre également un accès à des capacités auparavant réservées aux grandes organisations.

Des risques souvent sous-estimés

L’utilisation de l’intelligence artificielle soulève toutefois de nombreuses questions juridiques. Par exemple : Peut-on copier des informations confidentielles dans un agent conversationnel ? Les données saisies sont-elles conservées ? Qui est responsable lorsqu’une IA fournit une information erronée ? Une décision peut-elle être prise uniquement par un algorithme ? Comment protéger les secrets d’affaires ? Quelles sont les conséquences d’une erreur produite par un système d’IA ? Les contenus générés sont-ils protégés par le droit d’auteur ? Ces questions dépassent largement le seul cadre technique. Elles relèvent désormais de la gouvernance des organisations.

Une multiplication des réglementations

L’encadrement juridique de l’intelligence artificielle ne repose pas sur un texte unique. Les organisations doivent aujourd’hui composer avec plusieurs réglementations complémentaires. Parmi les principales figurent notamment :

  • le RGPD ;
  • l’AI Act ;
  • le Data Act ;
  • le Data Governance Act ;
  • la directive NIS2 ;
  • le règlement DORA pour le secteur financier ;
  • le Digital Services Act (DSA) ;
  • le Digital Markets Act (DMA).

À ces textes s’ajoutent :

  • le droit de la propriété intellectuelle ;
  • le droit de la consommation ;
  • le droit du travail ;
  • le droit de la responsabilité civile ;
  • le droit pénal ;
  • les règles relatives aux secrets d’affaires.

L’encadrement juridique de l’intelligence artificielle devient ainsi une matière transversale.

Une question de gouvernance

Face à ces évolutions, la question n’est plus de savoir s’il faut utiliser l’intelligence artificielle. La véritable question est désormais : Comment l’utiliser de manière responsable ? Cette réflexion suppose notamment de définir :

  • quels outils peuvent être utilisés ;
  • pour quels usages ;
  • avec quelles données ;
  • sous quelles conditions ;
  • avec quels contrôles ;
  • selon quelles responsabilités.

L’intelligence artificielle devient ainsi un sujet de gouvernance, au même titre que la cybersécurité ou la protection des données personnelles.

L’émergence de la responsabilité numérique

L’essor de l’intelligence artificielle illustre une évolution plus profonde. Les organisations ne sont plus seulement responsables de leurs décisions humaines. Elles doivent également maîtriser les conséquences des technologies qu’elles déploient. Cette responsabilité concerne notamment :

  • la protection des données ;
  • la cybersécurité ;
  • la transparence des traitements ;
  • la prévention des discriminations ;
  • la supervision humaine ;
  • la qualité des décisions assistées par l’IA ;
  • le respect des droits fondamentaux.

L’intelligence artificielle constitue ainsi l’un des piliers de la responsabilité numérique.

Une opportunité plutôt qu’une contrainte

L’encadrement juridique de l’intelligence artificielle ne doit pas être perçu comme un frein à l’innovation. Au contraire, il vise à favoriser le développement d’une intelligence artificielle digne de confiance. Une organisation qui connaît les risques liés à l’IA, met en place une gouvernance adaptée et forme ses collaborateurs pourra innover plus sereinement et renforcer la confiance de ses clients, de ses partenaires et de ses collaborateurs. L’objectif du droit n’est pas d’empêcher l’innovation. Il est de créer les conditions d’une innovation responsable.

À retenir

L’intelligence artificielle est désormais présente dans la quasi-totalité des organisations. Son développement offre des perspectives importantes d’innovation, mais il s’accompagne de nouveaux risques juridiques, organisationnels et éthiques. L’IA ne constitue plus seulement une question technique. Elle devient un sujet de gouvernance, de conformité et de responsabilité numérique. Comprendre son fonctionnement et le cadre juridique qui l’entoure constitue aujourd’hui un préalable indispensable à toute stratégie de transformation numérique. ➡ Chapitre suivant : Qu’est-ce que l’intelligence artificielle ? Comprendre les notions essentielles avant d’aborder son encadrement juridique.

PARTIE I — Comprendre l’intelligence artificielle Chapitre 2 — Qu’est-ce que l’intelligence artificielle ? Comprendre les notions essentielles avant d’aborder son encadrement juridique

L’intelligence artificielle est devenue un sujet incontournable. Pourtant, cette expression recouvre des réalités très diverses et demeure souvent source de confusion. Les médias évoquent quotidiennement l’intelligence artificielle, les entreprises annoncent intégrer de l’IA dans leurs produits et les organisations utilisent des assistants conversationnels sans toujours savoir précisément sur quelles technologies ils reposent. Avant d’aborder les règles juridiques applicables, il est donc indispensable de comprendre ce qu’est réellement l’intelligence artificielle. Cette compréhension est essentielle, car le droit ne réglemente pas une technologie abstraite. Il encadre des usages concrets susceptibles d’avoir des conséquences sur les personnes, les organisations et la société.

Une définition difficile

Il n’existe pas une définition unique de l’intelligence artificielle. Selon les disciplines, l’IA peut être définie comme :

  • une branche de l’informatique ;
  • un ensemble de techniques ;
  • une méthode de résolution de problèmes ;
  • ou encore un système capable d’accomplir certaines tâches traditionnellement réalisées par l’intelligence humaine.

Le point commun de ces approches est le suivant : un système d’intelligence artificielle est conçu pour analyser des informations, identifier des modèles, produire des résultats ou assister une prise de décision de manière plus ou moins autonome. Il ne s’agit pas d’une intelligence comparable à celle d’un être humain. L’intelligence artificielle ne comprend pas le monde comme nous le faisons. Elle traite des données selon des modèles mathématiques extrêmement complexes.

La définition retenue par l’AI Act

L’Union européenne a retenu une définition juridique de l’intelligence artificielle afin de déterminer le champ d’application de l’AI Act. Un système d’IA est un système conçu pour fonctionner avec différents niveaux d’autonomie et capable, à partir d’objectifs explicites ou implicites, de générer des résultats tels que :

  • des prédictions ;
  • des recommandations ;
  • des décisions ;
  • des contenus.

Ces résultats peuvent influencer des environnements physiques ou virtuels. Cette définition est volontairement large afin de couvrir les évolutions technologiques futures. Le droit ne cherche donc pas à réglementer une technologie précise, mais une catégorie de systèmes présentant certaines caractéristiques.

L’intelligence artificielle n’est pas une technologie unique

On parle souvent de l’intelligence artificielle comme s’il s’agissait d’un outil unique. En réalité, l’IA regroupe une grande diversité de technologies. Parmi elles figurent notamment :

  • l’apprentissage automatique (machine learning) ;
  • l’apprentissage profond (deep learning) ;
  • la vision par ordinateur ;
  • le traitement automatique du langage naturel ;
  • la reconnaissance vocale ;
  • les systèmes experts ;
  • les modèles génératifs.

Ces technologies poursuivent des objectifs différents et présentent des niveaux de risque variables. Cette diversité explique pourquoi l’AI Act adopte une approche fondée sur les risques plutôt qu’une réglementation uniforme.

Les données : le carburant de l’intelligence artificielle

Une intelligence artificielle ne fonctionne pas sans données. Les données constituent la matière première indispensable à son fonctionnement. Elles permettent :

  • d’entraîner les modèles ;
  • d’améliorer leurs performances ;
  • de produire des résultats ;
  • de corriger certaines erreurs.

Plus les données sont nombreuses et pertinentes, plus les performances du système peuvent être élevées. À l’inverse, des données incomplètes, erronées ou biaisées peuvent conduire à des résultats inexacts ou discriminatoires. La qualité des données est donc un enjeu juridique autant que technique.

Les modèles d’intelligence artificielle

Les données ne suffisent pas. Encore faut-il disposer d’un modèle capable de les exploiter. Un modèle est un ensemble d’algorithmes entraînés à reconnaître certaines régularités. Par exemple, un modèle peut apprendre à :

  • reconnaître une image ;
  • traduire un texte ;
  • détecter une fraude ;
  • résumer un document ;
  • prédire une panne ;
  • générer un contenu.

L’entraînement du modèle consiste à lui présenter un grand nombre d’exemples afin qu’il identifie progressivement des relations statistiques entre les données. Il ne mémorise pas les réponses. Il apprend à produire les résultats les plus probables.

Les grands modèles de langage

Depuis 2022, les grands modèles de langage (Large Language Models ou LLM) connaissent un développement spectaculaire. Ils sont à l’origine de nombreux outils largement diffusés, tels que les assistants conversationnels. Ces modèles sont entraînés sur d’immenses volumes de textes afin d’apprendre les relations entre les mots. Lorsqu’un utilisateur pose une question, le système ne recherche pas une réponse dans une base documentaire. Il prédit, mot après mot, la réponse statistiquement la plus probable au regard de son entraînement et des instructions reçues. Cette distinction est essentielle. L’IA générative ne « pense » pas. Elle génère un contenu à partir de probabilités.

Pourquoi les IA peuvent-elles se tromper ?

Les systèmes d’intelligence artificielle peuvent produire des réponses inexactes. Plusieurs raisons expliquent ce phénomène. Le modèle peut :

  • disposer d’informations incomplètes ;
  • interpréter incorrectement une question ;
  • reproduire des biais présents dans les données d’entraînement ;
  • générer une réponse statistiquement plausible mais factuellement erronée.

On parle parfois d’« hallucination » pour désigner ces réponses inventées. Cette expression est imagée. Elle ne signifie pas que le système imagine au sens humain du terme. Elle désigne simplement la production d’une information incorrecte présentée comme crédible. Pour cette raison, les résultats produits par une IA doivent toujours faire l’objet d’une vérification, en particulier lorsqu’ils concernent des domaines sensibles comme le droit, la santé ou la finance.

Une autonomie relative

L’intelligence artificielle est souvent présentée comme autonome. Cette autonomie doit être nuancée. Dans la plupart des cas, un système d’IA :

  • poursuit des objectifs définis par des humains ;
  • fonctionne dans un cadre déterminé ;
  • applique des règles de fonctionnement établies lors de sa conception.

Même lorsqu’il adapte son comportement au fil de son utilisation, il demeure encadré par des paramètres définis par ses concepteurs ou ses utilisateurs. La question essentielle n’est donc pas celle d’une autonomie totale, mais celle du degré d’intervention humaine nécessaire pour superviser les décisions produites.

Pourquoi cette compréhension est-elle importante pour le droit ?

Le droit ne réglemente pas l’intelligence artificielle parce qu’elle serait une technologie nouvelle. Il l’encadre parce que certains de ses usages peuvent avoir des conséquences importantes. Par exemple :

  • une IA peut influencer une décision de recrutement ;
  • elle peut contribuer à accorder ou refuser un crédit ;
  • elle peut participer à un diagnostic médical ;
  • elle peut analyser le comportement d’un salarié ;
  • elle peut générer un contenu portant atteinte à des droits de propriété intellectuelle ;
  • elle peut traiter des données personnelles à grande échelle.

Ces usages soulèvent des questions de responsabilité, de transparence, de sécurité et de protection des droits fondamentaux. Comprendre le fonctionnement général de l’IA permet donc de mieux comprendre les choix opérés par le législateur européen.

Une technologie en constante évolution

L’intelligence artificielle évolue à un rythme particulièrement rapide. De nouveaux modèles apparaissent régulièrement, les performances progressent et les usages se diversifient. Cette évolution explique pourquoi le droit privilégie aujourd’hui une réglementation fondée sur les risques plutôt que sur des technologies déterminées. L’objectif est de construire un cadre suffisamment souple pour accompagner l’innovation tout en garantissant la protection des personnes.

À retenir

L’intelligence artificielle désigne un ensemble de technologies capables de produire des prédictions, des recommandations, des décisions ou des contenus à partir de données. Elle ne constitue ni une intelligence humaine ni une technologie unique. Son fonctionnement repose sur des modèles mathématiques entraînés à partir de grands volumes de données. Cette compréhension est indispensable pour appréhender les enjeux juridiques liés à son utilisation. Le droit n’encadre pas l’intelligence artificielle en tant que telle, mais les risques que certains de ses usages peuvent faire peser sur les personnes, les organisations et les droits fondamentaux. ➡ Chapitre suivant : Les principaux usages de l’intelligence artificielle dans les organisations : opportunités, cas d’usage et points de vigilance juridiques.

PARTIE I — Comprendre l’intelligence artificielle Chapitre 3 — Les principaux usages de l’intelligence artificielle dans les organisations : opportunités, cas d’usage et points de vigilance juridiques

L’intelligence artificielle est désormais utilisée dans la plupart des organisations, souvent de manière progressive et parfois sans stratégie globale. Contrairement aux précédentes révolutions numériques, son adoption ne nécessite pas toujours un investissement important ni des compétences techniques avancées. Quelques clics suffisent aujourd’hui pour intégrer un assistant conversationnel dans le quotidien professionnel. Cette facilité d’accès explique le développement extrêmement rapide des usages. Mais elle conduit également les organisations à utiliser des outils dont elles ne maîtrisent pas toujours les implications juridiques. Avant de mettre en place une gouvernance de l’intelligence artificielle, il est donc essentiel d’identifier les principaux usages qui se développent au sein des organisations.

Une technologie devenue transversale

L’intelligence artificielle n’est plus réservée aux directions informatiques. Elle est progressivement utilisée dans l’ensemble des fonctions de l’organisation. Chaque métier découvre des outils capables d’automatiser certaines tâches, d’assister la prise de décision ou de faciliter la production de contenus. L’IA devient ainsi une technologie transversale, susceptible de modifier les méthodes de travail dans tous les secteurs d’activité.

Les usages dans les fonctions support

Les premiers usages concernent souvent les activités administratives. Les collaborateurs utilisent l’intelligence artificielle pour :

  • rédiger des courriers ;
  • préparer des comptes rendus ;
  • résumer des documents ;
  • traduire des textes ;
  • générer des présentations ;
  • produire des tableaux de synthèse ;
  • organiser des réunions.

Ces usages permettent un gain de temps important. Ils nécessitent toutefois une relecture systématique des contenus produits. L’intelligence artificielle assiste le travail humain ; elle ne le remplace pas.

Les usages des directions juridiques

Les juristes figurent parmi les utilisateurs les plus actifs des outils d’intelligence artificielle générative. Ils les utilisent notamment pour :

  • préparer une première version d’un contrat ;
  • rechercher de la jurisprudence ;
  • résumer des décisions de justice ;
  • comparer plusieurs versions d’un document ;
  • identifier des clauses contractuelles ;
  • préparer des notes juridiques.

Ces usages peuvent améliorer la productivité. Ils ne dispensent toutefois jamais d’une analyse juridique humaine. Une réponse produite par une IA ne constitue ni un avis juridique, ni une garantie de conformité.

Les ressources humaines

Les directions des ressources humaines développent également de nombreux usages. L’intelligence artificielle peut notamment être utilisée pour :

  • rédiger des offres d’emploi ;
  • préparer des fiches de poste ;
  • assister le tri des candidatures ;
  • élaborer des supports de formation ;
  • répondre aux questions fréquentes des salariés ;
  • analyser certains indicateurs RH.

Ces usages doivent être encadrés avec une vigilance particulière. Les traitements de données des salariés ou des candidats peuvent soulever des questions relatives :

  • au RGPD ;
  • au droit du travail ;
  • aux discriminations ;
  • aux décisions automatisées.

L’intervention humaine demeure essentielle.

Le marketing et la communication

Les équipes communication utilisent largement les outils d’IA générative. Ils permettent notamment de :

  • rédiger des articles ;
  • produire des publications sur les réseaux sociaux ;
  • générer des illustrations ;
  • créer des slogans ;
  • adapter un contenu à plusieurs publics ;
  • analyser des tendances.

Ces outils facilitent la production éditoriale. Ils soulèvent néanmoins plusieurs questions :

  • respect du droit d’auteur ;
  • protection des marques ;
  • risques de plagiat ;
  • fiabilité des informations diffusées ;
  • transparence sur les contenus générés.

L’organisation demeure responsable des contenus qu’elle publie.

Les services clients

Les agents conversationnels connaissent un développement rapide. Ils permettent :

  • de répondre aux questions fréquentes ;
  • d’orienter les utilisateurs ;
  • d’automatiser certaines démarches ;
  • d’améliorer la disponibilité des services.

Lorsqu’ils sont correctement conçus, ces outils améliorent l’expérience utilisateur. Ils doivent toutefois être transparents. Les utilisateurs doivent savoir qu’ils dialoguent avec une intelligence artificielle lorsqu’il existe un risque de confusion. Cette exigence est désormais prévue par l’AI Act dans certaines situations.

Les métiers techniques

Les développeurs utilisent désormais des assistants capables de :

  • générer du code informatique ;
  • expliquer un programme ;
  • détecter certaines erreurs ;
  • proposer des améliorations.

Ces outils accélèrent le développement logiciel. Ils n’exonèrent toutefois pas les équipes de leurs obligations de contrôle. Le code généré doit être revu, testé et sécurisé avant son déploiement.

Les fonctions de direction

Les dirigeants utilisent de plus en plus l’intelligence artificielle comme outil d’aide à la décision. Elle peut notamment contribuer à :

  • préparer une analyse stratégique ;
  • synthétiser une veille ;
  • comparer plusieurs scénarios ;
  • préparer une présentation ;
  • élaborer un plan d’action.

L’IA constitue alors un outil d’assistance. La décision demeure celle du dirigeant. Cette distinction est essentielle du point de vue juridique.

L’intelligence artificielle générative

Les outils les plus largement diffusés aujourd’hui appartiennent à la catégorie des IA génératives. Ils permettent de produire :

  • des textes ;
  • des images ;
  • des présentations ;
  • des tableaux ;
  • du code informatique ;
  • des fichiers audio ;
  • des vidéos.

Ils transforment profondément les méthodes de travail. Cette évolution explique l’adoption très rapide de ces technologies dans les organisations.

Les usages qui appellent une vigilance particulière

Certains usages présentent des risques juridiques plus importants. C’est notamment le cas lorsque l’intelligence artificielle intervient :

  • dans le recrutement ;
  • dans l’évaluation des salariés ;
  • dans l’octroi d’un crédit ;
  • dans le domaine de la santé ;
  • dans l’éducation ;
  • dans la sécurité ;
  • dans les services publics ;
  • dans la justice.

Ces domaines concernent directement les droits fondamentaux des personnes. Ils font donc l’objet d’un encadrement renforcé par l’AI Act.

Les bonnes pratiques avant d’utiliser une IA

Avant de déployer un outil d’intelligence artificielle, une organisation devrait systématiquement s’interroger. Par exemple :

  • Quel est l’objectif poursuivi ?
  • Des données personnelles seront-elles utilisées ?
  • Des informations confidentielles seront-elles saisies ?
  • Le fournisseur offre-t-il des garanties suffisantes ?
  • Les résultats devront-ils être systématiquement vérifiés ?
  • Les collaborateurs sont-ils formés à l’utilisation de cet outil ?
  • Une politique interne encadre-t-elle ces usages ?

Ces questions permettent d’anticiper les principaux risques.

Une gouvernance avant tout

Le véritable enjeu n’est pas de savoir si une organisation utilise l’intelligence artificielle. Dans la plupart des cas, elle l’utilise déjà. La question est désormais de savoir si cette utilisation est :

  • connue ;
  • maîtrisée ;
  • documentée ;
  • sécurisée ;
  • conforme aux exigences juridiques.

Une gouvernance efficace commence toujours par une cartographie des usages. C’est seulement après avoir identifié les outils réellement utilisés qu’il devient possible de définir une politique adaptée.

À retenir

L’intelligence artificielle est désormais utilisée dans l’ensemble des fonctions des organisations. Elle améliore la productivité, facilite l’accès à l’information et automatise de nombreuses tâches. Ces bénéfices s’accompagnent toutefois de risques juridiques liés notamment à la protection des données, à la confidentialité, à la propriété intellectuelle, aux discriminations, à la cybersécurité et à la responsabilité. La première étape d’une gouvernance responsable consiste à identifier les usages réels de l’intelligence artificielle au sein de l’organisation, afin de les encadrer par des règles claires, des procédures adaptées et une supervision humaine appropriée. ➡ Chapitre suivant : Les principaux risques juridiques liés à l’intelligence artificielle : comprendre les enjeux avant de déployer un système d’IA.

PARTIE I — Comprendre l’intelligence artificielle Chapitre 4 — Les principaux risques juridiques liés à l’intelligence artificielle :

anticiper plutôt que subir

L’intelligence artificielle offre des perspectives considérables d’innovation. Elle permet d’automatiser des tâches, d’améliorer la productivité et d’assister la prise de décision dans de nombreux domaines. Mais cette technologie n’est jamais neutre. Selon les usages qui en sont faits, elle peut porter atteinte à des droits individuels, créer des responsabilités nouvelles ou exposer les organisations à des risques juridiques importants. Ces risques ne résultent pas uniquement de l’IA elle-même. Ils apparaissent le plus souvent lorsque l’organisation déploie une intelligence artificielle sans en maîtriser le fonctionnement, sans encadrer son utilisation ou sans évaluer ses conséquences. Avant même d’étudier l’AI Act, il est donc essentiel d’identifier les principaux risques liés à l’utilisation de l’intelligence artificielle.

Le risque lié aux données personnelles

La plupart des systèmes d’intelligence artificielle traitent des données. Ces données peuvent être :

  • des données personnelles ;
  • des données professionnelles ;
  • des données commerciales ;
  • des données techniques.

Lorsqu’un collaborateur copie dans une IA :

  • un contrat ;
  • un CV ;
  • un dossier médical ;
  • un courrier électronique ;
  • une liste de clients ;
  • ou tout autre document contenant des informations identifiables, il peut déclencher un traitement de données personnelles soumis au RGPD.

L’organisation doit alors s’assurer :

  • qu’elle dispose d’une base juridique ;
  • que les données sont protégées ;
  • que les personnes sont informées lorsque cela est nécessaire ;
  • que les transferts internationaux sont maîtrisés.

L’utilisation d’une IA ne suspend jamais l’application du RGPD.

Le risque pour les informations confidentielles

Toutes les informations traitées par une organisation ne sont pas des données personnelles. Certaines relèvent :

  • du secret des affaires ;
  • du savoir-faire de l’entreprise ;
  • de la stratégie commerciale ;
  • de la recherche et développement ;
  • des informations financières ;
  • des négociations contractuelles.

Transmettre ces informations à un outil d’intelligence artificielle peut entraîner une perte de confidentialité. Même lorsque le fournisseur garantit qu’elles ne seront pas utilisées pour entraîner ses modèles, l’organisation doit connaître précisément :

  • les conditions d’utilisation ;
  • les modalités d’hébergement ;
  • les accès possibles ;
  • les durées de conservation.

La protection du patrimoine informationnel constitue aujourd’hui un enjeu majeur.

Le risque de propriété intellectuelle

L’intelligence artificielle soulève de nombreuses questions en matière de propriété intellectuelle. Par exemple :

  • Les contenus utilisés pour entraîner un modèle étaient-ils licitement accessibles ?
  • Une image générée peut-elle être protégée par le droit d’auteur ?
  • Qui est titulaire des droits sur un contenu produit par une IA ?
  • Une réponse générée reproduit-elle une œuvre existante ?

Ces questions demeurent, pour certaines, en cours de construction. Les organisations doivent donc rester prudentes lorsqu’elles utilisent des contenus générés automatiquement, notamment dans un contexte commercial.

Le risque d’erreur

Une intelligence artificielle peut produire une réponse convaincante tout en étant juridiquement ou factuellement inexacte. Elle peut :

  • inventer une décision de justice ;
  • citer un texte inexistant ;
  • produire un calcul erroné ;
  • résumer incorrectement un document ;
  • proposer une analyse incomplète.

Ces erreurs peuvent avoir des conséquences importantes. La responsabilité ne disparaît pas parce qu’une IA a participé à la production du résultat. L’utilisateur demeure responsable des décisions prises. C’est pourquoi toute production générée par une IA doit faire l’objet d’une vérification humaine.

Le risque de discrimination

Les systèmes d’intelligence artificielle apprennent à partir de données. Si ces données comportent des biais, le système peut reproduire, voire amplifier, certaines discriminations. Ces situations peuvent concerner notamment :

  • le recrutement ;
  • l’accès à un crédit ;
  • l’assurance ;
  • l’accès au logement ;
  • certaines politiques tarifaires ;
  • l’accès à des prestations.

La discrimination algorithmique constitue aujourd’hui l’un des principaux enjeux de l’encadrement juridique de l’IA. Elle explique en grande partie l’adoption de l’AI Act.

Le risque lié au manque de transparence

Certaines intelligences artificielles sont particulièrement complexes. Il peut être difficile de comprendre :

  • pourquoi une réponse a été produite ;
  • quels critères ont été pris en compte ;
  • quelles données ont influencé le résultat.

Cette opacité pose un véritable défi juridique. Comment contester une décision que personne n’est capable d’expliquer ? La transparence devient ainsi une exigence fondamentale de la gouvernance des systèmes d’intelligence artificielle.

Le risque de cybersécurité

Les systèmes d’intelligence artificielle deviennent eux-mêmes des cibles. Ils peuvent faire l’objet :

  • de cyberattaques ;
  • de manipulations ;
  • d’empoisonnement des données d’entraînement ;
  • de détournement de leurs fonctionnalités ;
  • de vols de modèles.

À cela s’ajoute un autre risque : l’utilisation de l’intelligence artificielle par des cybercriminels pour automatiser des campagnes d’hameçonnage, produire des logiciels malveillants ou faciliter certaines attaques. L’IA renforce donc les enjeux de cybersécurité, tant pour les organisations qui l’utilisent que pour celles qui doivent s’en protéger.

Le risque lié aux décisions automatisées

L’intelligence artificielle est de plus en plus utilisée pour assister, voire automatiser, certaines décisions. Lorsque ces décisions concernent des personnes, plusieurs questions se posent :

  • Une intervention humaine est-elle prévue ?
  • La décision peut-elle être contestée ?
  • Les critères utilisés sont-ils objectifs ?
  • Les personnes ont-elles été correctement informées ?

Le droit européen impose des garanties particulières lorsque les décisions automatisées produisent des effets importants sur les personnes.

Le risque de responsabilité

L’une des questions les plus fréquemment posées est la suivante : Qui est responsable lorsqu’une intelligence artificielle cause un dommage ? En réalité, la responsabilité peut concerner plusieurs acteurs :

  • le fournisseur du système ;
  • l’éditeur du logiciel ;
  • l’intégrateur ;
  • l’organisation qui déploie l’IA ;
  • l’utilisateur ;
  • voire d’autres intervenants selon les circonstances.

L’intelligence artificielle ne possède pas de personnalité juridique. Elle ne peut donc pas être tenue responsable. La responsabilité demeure humaine.

Un risque de non-conformité réglementaire

Les organisations doivent désormais respecter un nombre croissant de réglementations. Selon les usages, un système d’IA peut être concerné notamment par :

  • le RGPD ;
  • l’AI Act ;
  • la directive NIS2 ;
  • le Data Act ;
  • le droit de la consommation ;
  • le droit du travail ;
  • le droit de la propriété intellectuelle.

Une approche purement technique devient insuffisante. L’intelligence artificielle appelle une gouvernance juridique globale.

Une approche fondée sur les risques

Tous les systèmes d’intelligence artificielle ne présentent pas le même niveau de risque. Utiliser une IA pour générer un brouillon de courrier n’appelle pas les mêmes précautions que développer un système d’aide au recrutement ou un dispositif de notation des personnes. C’est précisément cette logique qu’a retenue l’Union européenne. Plutôt que d’encadrer toutes les intelligences artificielles de la même manière, l’AI Act adapte les obligations au niveau de risque présenté par chaque système. Cette approche sera étudiée dans la partie suivante.

Une gouvernance avant tout

Le principal enseignement est simple. Les risques liés à l’intelligence artificielle ne doivent pas conduire à renoncer à son utilisation. Ils doivent conduire à mieux l’organiser. Une gouvernance efficace repose notamment sur :

  • l’identification des usages ;
  • l’évaluation des risques ;
  • la définition de règles internes ;
  • la formation des collaborateurs ;
  • la supervision humaine ;
  • la documentation des décisions.

L’intelligence artificielle devient ainsi un sujet permanent de gouvernance des organisations.

À retenir

L’intelligence artificielle soulève des enjeux qui dépassent largement la seule innovation technologique. Protection des données, confidentialité, propriété intellectuelle, cybersécurité, discriminations, responsabilité ou transparence : les risques sont multiples et souvent interdépendants. L’enjeu n’est pas d’empêcher l’utilisation de l’intelligence artificielle, mais de l’intégrer dans une démarche de gouvernance fondée sur l’anticipation des risques, la conformité et la protection des droits fondamentaux. Cette approche constitue le fondement même de l’AI Act, dont les principes seront étudiés dans la partie suivante. ➡ Partie II – Comprendre l’AI Act : pourquoi l’Union européenne a choisi d’encadrer l’intelligence artificielle et comment fonctionne cette nouvelle réglementation.

PARTIE II — Comprendre l’AI Act Chapitre 5 — Pourquoi l’Union européenne encadre l’intelligence artificielle

L’intelligence artificielle connaît un développement sans précédent. En quelques années, elle est devenue un outil accessible au plus grand nombre et s’est progressivement imposée dans de nombreux secteurs d’activité. Cette diffusion rapide ouvre des perspectives considérables d’innovation, de croissance économique et d’amélioration des services. Mais elle soulève également des interrogations inédites. Comment éviter qu’un algorithme discrimine certaines personnes ? Comment garantir qu’une décision importante ne soit pas prise sans contrôle humain ? Comment protéger les données personnelles utilisées pour entraîner les modèles ? Comment préserver les droits fondamentaux face à des systèmes toujours plus autonomes ? Face à ces questions, l’Union européenne a fait le choix d’adopter le premier cadre juridique horizontal consacré à l’intelligence artificielle : l’AI Act. Ce règlement ne vise pas à freiner l’innovation. Il cherche au contraire à créer les conditions d’une intelligence artificielle digne de confiance, respectueuse des personnes et compatible avec les valeurs européennes.

Une technologie aux conséquences inédites

L’intelligence artificielle ne constitue pas une innovation comparable aux précédents outils numériques. Contrairement à un logiciel classique, elle est capable :

  • d’analyser de très grandes quantités de données ;
  • d’apprendre à partir d’exemples ;
  • de générer des contenus ;
  • d’assister des décisions humaines ;
  • voire, dans certains cas, de prendre des décisions de manière largement automatisée.

Ces capacités offrent des bénéfices importants. Elles peuvent également produire des conséquences significatives sur la vie des personnes. Une intelligence artificielle peut influencer :

  • un recrutement ;
  • l’accès à un crédit ;
  • un diagnostic médical ;
  • une décision administrative ;
  • une enquête policière ;
  • un parcours scolaire.

L’impact potentiel dépasse donc largement le domaine technologique.

Un vide juridique relatif

Avant l’AI Act, les systèmes d’intelligence artificielle étaient déjà soumis à de nombreuses règles. Selon les situations, s’appliquaient notamment :

  • le RGPD ;
  • le droit de la consommation ;
  • le droit de la concurrence ;
  • le droit du travail ;
  • le droit de la responsabilité civile ;
  • le droit de la propriété intellectuelle ;
  • les règles relatives à la cybersécurité.

Ces textes demeurent applicables. Ils n’ont toutefois pas été conçus spécifiquement pour répondre aux enjeux propres à l’intelligence artificielle. Par exemple, ils n’imposaient pas d’obligations spécifiques concernant :

  • la qualité des jeux de données ;
  • la surveillance humaine des systèmes d’IA ;
  • la documentation technique des modèles ;
  • la gestion des biais algorithmiques ;
  • la transparence des systèmes d’intelligence artificielle.

L’AI Act vient combler cette lacune.

Une approche fondée sur les droits fondamentaux

Le choix européen repose sur une conviction forte : l’innovation technologique ne peut être dissociée de la protection des droits fondamentaux. L’intelligence artificielle peut en effet affecter :

  • la dignité humaine ;
  • le respect de la vie privée ;
  • la protection des données personnelles ;
  • l’égalité de traitement ;
  • la liberté d’expression ;
  • la liberté de réunion ;
  • la non-discrimination ;
  • l’accès à un recours effectif.

L’AI Act s’inscrit donc dans une tradition juridique européenne qui place la personne au cœur de la régulation des technologies numériques. Cette approche distingue l’Union européenne d’autres modèles de régulation davantage centrés sur les seules considérations économiques ou technologiques.

Favoriser la confiance

Le développement de l’intelligence artificielle repose largement sur la confiance. Une organisation hésitera à déployer une solution d’IA si elle ne connaît pas :

  • son niveau de fiabilité ;
  • ses garanties de sécurité ;
  • les responsabilités de chaque acteur ;
  • les règles applicables.

De même, les utilisateurs seront réticents à utiliser une intelligence artificielle s’ils ne savent pas :

  • comment leurs données sont utilisées ;
  • si les résultats sont fiables ;
  • ou comment contester une décision automatisée.

En définissant des règles communes, l’AI Act cherche à instaurer un climat de confiance favorable au développement de l’innovation.

Éviter une fragmentation du marché européen

Avant l’adoption de l’AI Act, chaque État membre pouvait être tenté de développer ses propres règles. Une telle situation aurait créé une grande insécurité juridique. Une entreprise développant une solution d’intelligence artificielle aurait dû adapter son produit à vingt-sept réglementations différentes. Le règlement européen poursuit donc également un objectif économique. Il instaure un cadre harmonisé applicable dans l’ensemble de l’Union européenne. Cette harmonisation facilite :

  • le développement des entreprises innovantes ;
  • la circulation des produits ;
  • les investissements ;
  • la coopération entre les États membres.

Une réglementation proportionnée

L’Union européenne n’a pas choisi d’encadrer toutes les intelligences artificielles de la même manière. Cette approche aurait été irréaliste. Les risques ne sont pas identiques selon qu’un système :

  • génère un brouillon de courrier ;
  • recommande un film ;
  • pilote un véhicule autonome ;
  • participe à un diagnostic médical ;
  • sélectionne des candidats à un emploi.

L’AI Act adopte donc une approche graduée. Les obligations augmentent en fonction du niveau de risque présenté par le système. Cette logique constitue l’une des principales innovations du règlement.

Une réglementation tournée vers l’avenir

L’intelligence artificielle évolue extrêmement rapidement. Le législateur européen a donc évité de rédiger une réglementation limitée à une technologie particulière. L’AI Act repose sur des principes suffisamment souples pour s’adapter à l’apparition de nouveaux modèles et de nouveaux usages. Cette approche vise à préserver la capacité d’innovation tout en garantissant un niveau élevé de protection.

Une articulation avec les autres réglementations

L’AI Act ne remplace pas les autres textes applicables. Il vient compléter un ensemble réglementaire plus large comprenant notamment :

  • le RGPD ;
  • le Data Act ;
  • le Data Governance Act ;
  • le Digital Services Act (DSA) ;
  • le Digital Markets Act (DMA) ;
  • la directive NIS2 ;
  • le règlement DORA ;
  • le Cyber Resilience Act.

Ces textes poursuivent des objectifs complémentaires. Ensemble, ils dessinent progressivement un véritable droit européen du numérique.

Une nouvelle étape du droit du numérique

L’adoption de l’AI Act marque une évolution importante. Pendant longtemps, le droit du numérique s’est principalement intéressé :

  • aux données personnelles ;
  • au commerce électronique ;
  • aux plateformes numériques ;
  • à la cybersécurité.

L’intelligence artificielle ouvre une nouvelle phase. Le législateur ne régule plus seulement les données ou les services numériques. Il encadre désormais les systèmes capables d’influencer les décisions humaines. Cette évolution témoigne de la maturité croissante du droit du numérique, qui tend progressivement à s’affirmer comme une branche autonome du droit, dotée de ses propres principes, de ses propres mécanismes et d’une vision cohérente de la gouvernance des technologies.

Une vision européenne de l’innovation

L’AI Act traduit finalement un choix politique. L’Union européenne ne cherche pas à opposer innovation et protection des droits. Elle considère que les technologies les plus performantes seront également celles auxquelles les citoyens pourront faire confiance. Cette confiance repose sur plusieurs principes :

  • la transparence ;
  • la sécurité ;
  • la responsabilité ;
  • la supervision humaine ;
  • le respect des droits fondamentaux.

Ces principes irriguent l’ensemble du règlement. Ils guideront également les futures évolutions du droit de l’intelligence artificielle.

À retenir

L’AI Act est né de la volonté de concilier innovation et protection des droits fondamentaux. Plutôt que d’interdire l’intelligence artificielle, l’Union européenne a choisi d’encadrer les usages présentant les risques les plus importants tout en favorisant le développement d’une IA digne de confiance. Cette approche fondée sur les risques constitue la pierre angulaire du règlement et explique l’ensemble de son architecture. ➡ Chapitre suivant : Le fonctionnement de l’AI Act : comprendre l’approche fondée sur les risques et les différentes catégories de systèmes d’intelligence artificielle.

PARTIE II — Comprendre l’AI Act Chapitre 6 — Le fonctionnement de l’AI Act :

une approche fondée sur les risques

L’AI Act n’interdit pas l’intelligence artificielle. Il ne soumet pas non plus tous les systèmes aux mêmes obligations. Le législateur européen a fait un choix pragmatique : adapter les exigences juridiques au niveau de risque présenté par chaque système d’intelligence artificielle. Cette approche constitue l’un des fondements du règlement. Elle repose sur une idée simple : plus un système est susceptible de porter atteinte aux droits fondamentaux, à la santé ou à la sécurité des personnes, plus les obligations applicables sont importantes. À l’inverse, les systèmes présentant peu de risques ne sont soumis qu’à des obligations limitées, voire à aucune obligation spécifique. Cette logique permet de protéger les personnes sans freiner inutilement l’innovation.

Une réglementation proportionnée

Toutes les intelligences artificielles ne présentent pas les mêmes enjeux. Un assistant qui aide à rédiger un courrier n’a pas les mêmes conséquences qu’un système utilisé pour sélectionner des candidats à un emploi ou assister un diagnostic médical. Le niveau d’encadrement juridique doit donc être proportionné au risque. L’AI Act distingue ainsi plusieurs catégories de systèmes :

  • les systèmes présentant un risque inacceptable ;
  • les systèmes à haut risque ;
  • certains systèmes soumis à des obligations de transparence ;
  • les modèles d’intelligence artificielle à usage général ;
  • les systèmes présentant un risque limité ou minimal.

Cette classification détermine les obligations applicables aux différents acteurs.

Les systèmes présentant un risque inacceptable

Certaines utilisations de l’intelligence artificielle sont considérées comme incompatibles avec les valeurs fondamentales de l’Union européenne. Elles sont donc interdites. Le législateur estime que leurs conséquences potentielles sont telles qu’aucune mesure d’encadrement ne permettrait de les rendre acceptables. Ces pratiques concernent notamment certains systèmes susceptibles de :

  • manipuler les comportements des personnes de manière préjudiciable ;
  • exploiter la vulnérabilité de certains publics ;
  • réaliser certaines formes de notation sociale ;
  • utiliser certaines techniques de reconnaissance biométrique dans des conditions strictement encadrées.

Ces interdictions seront étudiées plus en détail dans le chapitre suivant.

Les systèmes d’IA à haut risque

L’AI Act concentre l’essentiel de ses exigences sur les systèmes dits à haut risque. Il ne s’agit pas nécessairement des systèmes les plus sophistiqués. Ils sont qualifiés de « haut risque » parce qu’ils sont utilisés dans des domaines où une erreur peut avoir des conséquences importantes sur les personnes. Par exemple :

  • l’emploi ;
  • l’éducation ;
  • la santé ;
  • les infrastructures critiques ;
  • certains produits soumis à une réglementation européenne ;
  • les services essentiels ;
  • la justice ;
  • certaines activités des autorités publiques.

Ces systèmes demeurent autorisés. En revanche, ils doivent respecter un ensemble d’obligations particulièrement exigeantes.

Les systèmes soumis à des obligations de transparence

Tous les systèmes d’intelligence artificielle ne présentent pas un risque élevé. Certains doivent néanmoins respecter des exigences particulières de transparence. L’objectif est de permettre aux utilisateurs de comprendre qu’ils interagissent avec une intelligence artificielle ou qu’ils sont confrontés à un contenu généré artificiellement. Selon les situations, les utilisateurs devront notamment être informés :

  • qu’ils dialoguent avec un système d’IA ;
  • qu’une image, un son ou une vidéo ont été générés ou modifiés artificiellement ;
  • que certains contenus sont synthétiques.

La transparence constitue l’un des principes directeurs de l’AI Act.

Les modèles d’intelligence artificielle à usage général

L’essor des modèles de fondation (foundation models) et des grands modèles de langage (Large Language Models) a conduit le législateur européen à créer une catégorie spécifique. Ces modèles sont conçus pour être utilisés dans une multitude d’applications différentes. Ils peuvent notamment servir à produire :

  • des textes ;
  • des images ;
  • du code informatique ;
  • des traductions ;
  • des analyses ;
  • des résumés.

Ils constituent aujourd’hui la base de nombreux services accessibles au grand public. L’AI Act leur impose des obligations particulières, adaptées à leur rôle central dans l’écosystème de l’intelligence artificielle.

Les systèmes présentant un risque limité ou minimal

La majorité des systèmes utilisés quotidiennement relèvent de cette catégorie. Il peut s’agir, par exemple :

  • d’outils d’assistance à la rédaction ;
  • de recommandations de contenus ;
  • d’assistants bureautiques ;
  • de fonctions d’autocomplétion ;
  • de filtres intelligents.

Ces systèmes ne sont généralement pas soumis aux obligations applicables aux systèmes à haut risque. Le législateur a souhaité éviter d’imposer des contraintes disproportionnées à des usages présentant peu de risques.

Une réglementation centrée sur les usages

L’AI Act ne classe pas les intelligences artificielles en fonction de leur puissance technologique. Il s’intéresse principalement à leurs usages. Un même modèle peut ainsi être utilisé :

  • pour générer un brouillon de courrier ;
  • pour assister un enseignant ;
  • pour sélectionner des candidats ;
  • pour contribuer à une décision médicale.

Selon le contexte d’utilisation, les obligations juridiques peuvent être très différentes. Cette approche permet d’adapter la réglementation à la réalité des pratiques.

Une responsabilité partagée

L’AI Act ne s’adresse pas à un seul acteur. Il distingue plusieurs catégories d’intervenants. Selon les situations, les obligations peuvent concerner :

  • les fournisseurs de systèmes d’intelligence artificielle ;
  • les déployeurs, c’est-à-dire les organisations qui utilisent ces systèmes ;
  • les importateurs ;
  • les distributeurs ;
  • les représentants autorisés.

Chacun assume des responsabilités adaptées à son rôle dans la chaîne de valeur. Cette répartition contribue à renforcer la sécurité des systèmes tout au long de leur cycle de vie.

Une approche évolutive

L’AI Act a été conçu pour accompagner les évolutions technologiques. Les usages de l’intelligence artificielle évoluent rapidement. De nouveaux modèles apparaissent régulièrement. De nouvelles applications sont développées dans des secteurs très variés. Le règlement prévoit donc des mécanismes permettant d’adapter progressivement son application afin de tenir compte des évolutions technologiques et des retours d’expérience. Cette souplesse est indispensable pour garantir l’efficacité de la réglementation dans la durée.

Ce que cela signifie concrètement pour les organisations

Pour une organisation, la première question n’est pas : « Utilisons-nous une intelligence artificielle ? » La véritable question est : « Quel est le niveau de risque des systèmes que nous utilisons ? » Cette analyse conditionne l’ensemble de la démarche de conformité. Elle suppose notamment :

  • d’identifier les systèmes utilisés ;
  • d’en comprendre les finalités ;
  • d’évaluer leurs impacts sur les personnes ;
  • de déterminer les obligations applicables.

La cartographie des usages constitue ainsi la première étape d’une gouvernance efficace de l’intelligence artificielle.

Une nouvelle méthode de régulation

Avec l’AI Act, l’Union européenne introduit une méthode de régulation qui pourrait inspirer d’autres domaines du numérique. Plutôt que de réglementer une technologie en tant que telle, elle construit un cadre fondé sur les risques qu’elle peut générer. Cette approche est cohérente avec celle déjà retenue par le RGPD. Elle traduit une évolution du droit européen vers une gouvernance fondée sur l’anticipation, la prévention et la responsabilisation des acteurs. Elle illustre également l’émergence progressive d’un véritable droit européen de la responsabilité numérique, dans lequel les organisations sont invitées à intégrer la gestion des risques technologiques au cœur de leur gouvernance.

À retenir

L’AI Act ne soumet pas toutes les intelligences artificielles aux mêmes règles. Il adopte une approche graduée fondée sur le niveau de risque présenté par chaque système. Les obligations les plus importantes concernent les systèmes susceptibles d’avoir des conséquences significatives sur les droits fondamentaux, la santé ou la sécurité des personnes. Pour les organisations, la conformité commence donc par une bonne connaissance des usages de l’intelligence artificielle et par une évaluation rigoureuse des risques associés. ➡ Chapitre suivant : Les pratiques interdites par l’AI Act : quelles utilisations de l’intelligence artificielle sont désormais prohibées dans l’Union européenne ?

PARTIE II — Comprendre l’AI Act Chapitre 7 — Les pratiques interdites par l’AI Act : les limites que l’intelligence artificielle ne doit pas franchir

L’AI Act repose sur un principe simple : toutes les utilisations de l’intelligence artificielle ne sont pas acceptables. Si la plupart des systèmes peuvent être développés ou utilisés sous certaines conditions, certaines pratiques sont considérées comme incompatibles avec les valeurs fondamentales de l’Union européenne. Le législateur a estimé que les risques qu’elles font peser sur la dignité humaine, la liberté, l’égalité ou la démocratie sont tels qu’aucune mesure de contrôle ne serait suffisante. Ces systèmes sont donc, en principe, interdits. Cette liste limitée traduit une philosophie essentielle de l’AI Act : l’objectif n’est pas d’interdire l’intelligence artificielle, mais de proscrire les usages qui portent une atteinte inacceptable aux droits fondamentaux.

Pourquoi certaines pratiques sont-elles interdites ?

L’intelligence artificielle peut influencer les comportements humains. Elle peut analyser des personnes, orienter leurs choix, détecter certaines caractéristiques ou participer à des décisions importantes. Utilisée sans encadrement, elle pourrait devenir un instrument :

  • de manipulation ;
  • de surveillance généralisée ;
  • de discrimination ;
  • ou de contrôle social.

L’Union européenne a donc choisi de fixer des limites claires. Ces interdictions constituent le socle éthique du règlement. Elles rappellent que l’innovation technologique ne peut se développer au détriment des libertés fondamentales.

Une logique de protection des personnes

Les pratiques interdites présentent un point commun. Elles créent un risque jugé incompatible avec les droits fondamentaux protégés par le droit de l’Union européenne. L’AI Act ne sanctionne pas une technologie particulière. Il interdit certains usages de cette technologie lorsqu’ils portent une atteinte excessive aux personnes. Le critère déterminant est donc l’impact du système, et non sa sophistication technique.

Les systèmes de manipulation

L’une des premières catégories interdites concerne les systèmes conçus pour manipuler le comportement des personnes. L’AI Act vise notamment les systèmes utilisant des techniques susceptibles d’altérer de manière significative la capacité d’une personne à prendre une décision libre et éclairée. L’objectif est d’éviter que des mécanismes invisibles influencent les comportements au détriment des intérêts des personnes concernées. Cette interdiction protège notamment :

  • le libre arbitre ;
  • l’autonomie de décision ;
  • la dignité humaine.

Elle ne remet pas en cause les outils d’assistance ou de recommandation lorsqu’ils respectent ces principes.

L’exploitation des personnes vulnérables

Le règlement interdit également certains systèmes exploitant la vulnérabilité de personnes en raison notamment :

  • de leur âge ;
  • d’un handicap ;
  • ou de leur situation particulière.

Une intelligence artificielle ne peut être conçue pour tirer profit de la fragilité d’un public afin d’influencer son comportement de manière préjudiciable. Cette protection concerne notamment :

  • les enfants ;
  • les personnes âgées ;
  • les personnes en situation de handicap ;
  • les personnes particulièrement dépendantes.

Le développement d’une intelligence artificielle responsable implique une attention particulière à ces publics.

La notation sociale

L’AI Act interdit certaines pratiques de notation sociale (social scoring). Ce type de système consiste à attribuer une note à une personne sur la base de son comportement, de ses activités ou de caractéristiques personnelles afin de déterminer les avantages ou les restrictions dont elle pourrait bénéficier. Une telle logique peut conduire à des formes de discrimination systémique incompatibles avec les valeurs européennes. L’Union européenne a donc clairement écarté ce modèle. Cette interdiction traduit une volonté de préserver :

  • l’égalité de traitement ;
  • la dignité des personnes ;
  • la liberté individuelle.

Certaines utilisations de l’identification biométrique

L’identification biométrique constitue l’un des sujets les plus sensibles de l’AI Act. Les technologies de reconnaissance faciale, vocale ou comportementale peuvent présenter des intérêts importants en matière de sécurité. Elles peuvent également porter gravement atteinte à la vie privée lorsqu’elles permettent une surveillance permanente de la population. Le règlement prévoit donc un encadrement particulièrement strict de certains usages, notamment dans les espaces accessibles au public. Des exceptions existent, notamment pour certaines missions des autorités publiques prévues par le règlement et strictement encadrées. Ces situations demeurent toutefois exceptionnelles et entourées de nombreuses garanties.

Les systèmes exploitant les émotions

L’AI Act encadre également certains systèmes destinés à reconnaître ou déduire les émotions des personnes. Ces technologies soulèvent plusieurs difficultés. Les émotions sont complexes. Leur interprétation est souvent incertaine. Le risque d’erreur est particulièrement élevé. Lorsqu’elles sont utilisées dans certains contextes sensibles, ces technologies peuvent conduire à des décisions injustifiées ou discriminatoires. Le règlement prévoit donc des restrictions importantes pour certains usages, notamment dans les domaines de l’emploi et de l’éducation, sous réserve d’exceptions précisément définies.

Les systèmes de catégorisation des personnes

L’intelligence artificielle peut être utilisée pour classer des individus selon différents critères. Certaines formes de catégorisation présentent des risques importants lorsqu’elles reposent sur des caractéristiques sensibles. Le règlement limite ainsi certains usages visant à déduire ou classifier des personnes sur la base de données biométriques lorsqu’ils sont susceptibles de porter atteinte à leurs droits fondamentaux. Cette approche vise à prévenir les discriminations et les traitements arbitraires.

Une liste limitée mais évolutive

Les pratiques interdites demeurent relativement peu nombreuses. Le législateur européen a souhaité réserver cette qualification aux situations les plus graves. L’objectif est d’éviter une interdiction excessive qui freinerait l’innovation. Toutefois, cette liste pourra évoluer à mesure que de nouveaux usages apparaîtront et que les connaissances scientifiques progresseront. L’encadrement juridique de l’intelligence artificielle est appelé à s’adapter aux évolutions technologiques.

Quelles conséquences pour les organisations ?

La plupart des organisations ne développent pas elles-mêmes des systèmes interdits. En revanche, elles peuvent être amenées à utiliser des solutions commercialisées par des fournisseurs. Avant de déployer un outil d’intelligence artificielle, il est donc recommandé de vérifier :

  • les finalités du système ;
  • les fonctionnalités proposées ;
  • les domaines d’utilisation ;
  • les garanties offertes par le fournisseur ;
  • la conformité du système au cadre européen.

Cette vérification participe pleinement à la gouvernance des risques numériques.

Les erreurs les plus fréquentes

Certaines organisations pensent, à tort, que l’AI Act ne concerne que les entreprises développant des intelligences artificielles. Or, les utilisateurs professionnels ont également des responsabilités. Parmi les erreurs les plus fréquentes figurent notamment :

  • utiliser un outil sans analyser ses fonctionnalités réelles ;
  • confondre expérimentation interne et déploiement opérationnel ;
  • ignorer les conséquences d’une collecte massive de données ;
  • considérer qu’un outil commercialisé est nécessairement conforme ;
  • ne pas associer les équipes juridiques ou conformité au choix des solutions.

La conformité commence dès la sélection des outils.

Une question de responsabilité numérique

Les interdictions prévues par l’AI Act traduisent une évolution plus profonde. Le développement technologique ne peut être dissocié de la responsabilité des organisations. Chaque acteur est désormais invité à s’interroger non seulement sur ce qu’il est techniquement possible de faire, mais également sur ce qu’il est juridiquement et éthiquement acceptable de mettre en œuvre. Cette réflexion dépasse le seul cadre de l’intelligence artificielle. Elle participe à l’émergence d’une véritable gouvernance de la responsabilité numérique.

À retenir

L’AI Act interdit un nombre limité de pratiques considérées comme incompatibles avec les droits fondamentaux de l’Union européenne. Manipulation des comportements, exploitation des personnes vulnérables, certaines formes de notation sociale ou encore certains usages de l’identification biométrique figurent parmi les pratiques prohibées. Pour les organisations, ces interdictions rappellent qu’avant toute innovation, il convient d’évaluer les conséquences d’un système d’intelligence artificielle sur les personnes et de s’assurer que son utilisation respecte les principes fondamentaux de dignité, de liberté, d’égalité et de transparence. Chapitre suivant : Les systèmes d’intelligence artificielle à haut risque : quels sont-ils, ➡ pourquoi sont-ils soumis à des obligations renforcées et quelles conséquences pour les organisations ?

PARTIE II — Comprendre l’AI Act Chapitre 8 — Les systèmes d’intelligence artificielle à haut risque : les obligations renforcées au cœur de l’AI Act

L’AI Act ne considère pas que toutes les intelligences artificielles présentent le même niveau de risque. Si certaines pratiques sont interdites, la grande majorité des systèmes d’IA restent autorisés. En revanche, lorsqu’un système est susceptible d’avoir une influence importante sur la vie des personnes, le règlement impose des exigences beaucoup plus strictes. Ces systèmes sont qualifiés de systèmes d’intelligence artificielle à haut risque. Ils constituent le cœur du dispositif mis en place par l’Union européenne. Pour les organisations, cette catégorie est particulièrement importante. De nombreuses administrations, entreprises, établissements de santé, établissements d’enseignement ou employeurs utilisent déjà des outils susceptibles d’entrer dans cette qualification. Comprendre cette notion est donc une étape essentielle de toute démarche de conformité.

Qu’est-ce qu’un système d’IA à haut risque ?

Contrairement à une idée reçue, un système à haut risque n’est pas nécessairement un système très performant ou très complexe. La qualification ne dépend pas de la sophistication technologique. Elle dépend principalement des conséquences que le système peut avoir sur les personnes. Un système est considéré comme présentant un haut risque lorsqu’il est susceptible d’affecter de manière significative :

  • la santé ;
  • la sécurité ;
  • les droits fondamentaux ;
  • l’accès à certains services essentiels ;
  • ou les perspectives professionnelles ou personnelles d’un individu.

Le critère déterminant est donc l’impact potentiel du système.

Deux grandes catégories de systèmes

L’AI Act identifie principalement deux grandes catégories de systèmes à haut risque.

Les systèmes intégrés dans certains produits réglementés

La première catégorie concerne des systèmes d’intelligence artificielle intégrés dans des produits déjà soumis à des exigences européennes de sécurité. Il peut notamment s’agir :

  • de dispositifs médicaux ;
  • de certains véhicules ;
  • de machines industrielles ;
  • d’équipements de sécurité.

Dans ces situations, l’IA constitue un élément du produit et peut avoir une incidence directe sur la sécurité des utilisateurs.

Les systèmes utilisés dans des domaines sensibles

La seconde catégorie concerne les systèmes utilisés dans certains secteurs où les décisions prises peuvent avoir des conséquences importantes pour les personnes. C’est cette catégorie qui intéresse la majorité des organisations.

Les domaines concernés

L’AI Act identifie plusieurs domaines dans lesquels les systèmes d’IA peuvent être qualifiés de haut risque. Parmi eux figurent notamment :

L’emploi

L’intelligence artificielle est de plus en plus utilisée pour :

  • présélectionner des candidatures ;
  • analyser des CV ;
  • évaluer des compétences ;
  • assister des entretiens ;
  • apprécier les performances des salariés ;
  • participer à certaines décisions relatives à la carrière.

Ces usages peuvent avoir un impact direct sur le parcours professionnel d’une personne. Ils justifient donc un encadrement renforcé.

L’éducation et la formation

Les établissements peuvent utiliser des systèmes d’IA pour :

  • évaluer des étudiants ;
  • orienter des élèves ;
  • attribuer certaines formations ;
  • détecter des risques de décrochage.

Ces décisions peuvent influencer durablement le parcours d’un individu.

Les services essentiels

Certains systèmes interviennent dans l’accès :

  • au crédit ;
  • aux assurances ;
  • aux prestations sociales ;
  • au logement ;
  • ou à d’autres services essentiels.

Une erreur algorithmique peut alors avoir des conséquences particulièrement importantes.

La santé

L’intelligence artificielle est aujourd’hui utilisée pour :

  • assister les diagnostics ;
  • interpréter des images médicales ;
  • évaluer certains risques ;
  • orienter des traitements.

Ces outils offrent des perspectives considérables. Ils doivent néanmoins faire l’objet d’un contrôle particulièrement rigoureux.

Les infrastructures critiques

Des systèmes d’intelligence artificielle peuvent contribuer au fonctionnement :

  • des réseaux énergétiques ;
  • des transports ;
  • des réseaux d’eau ;
  • des télécommunications.

Une défaillance peut affecter un grand nombre de personnes.

La justice et les autorités publiques

Certaines administrations utilisent déjà des outils d’aide à la décision. L’AI Act veille à ce que ces systèmes ne remettent pas en cause :

  • l’égalité devant la loi ;
  • le droit à un recours ;
  • les garanties procédurales ;
  • les libertés fondamentales.

Pourquoi ces systèmes sont-ils soumis à des obligations renforcées ?

Plus les conséquences d’une erreur sont importantes, plus les garanties doivent être élevées. Une erreur dans un correcteur orthographique est rarement lourde de conséquences. En revanche, une erreur dans :

  • un système de recrutement ;
  • un dispositif médical ;
  • un système d’attribution d’un crédit ;
  • ou une décision administrative, peut profondément affecter la vie d’une personne.

L’AI Act cherche donc à prévenir ces risques avant qu’ils ne produisent leurs effets.

Une logique de prévention

Le règlement adopte une démarche comparable à celle du RGPD. Il ne se contente pas de sanctionner les incidents. Il impose aux organisations d’anticiper les risques. Cette logique implique notamment :

  • une évaluation préalable ;
  • une documentation des systèmes ;
  • un contrôle continu ;
  • une surveillance après leur mise en service.

La conformité devient un processus permanent.

Les principales obligations

Les fournisseurs de systèmes à haut risque doivent notamment garantir :

  • une gestion des risques tout au long du cycle de vie du système ;
  • une gouvernance des données de qualité ;
  • une documentation technique complète ;
  • une traçabilité des opérations ;
  • un niveau approprié de transparence ;
  • une supervision humaine effective ;
  • un niveau élevé de robustesse, de précision et de cybersécurité.

Ces exigences seront étudiées plus en détail dans les chapitres suivants.

Les obligations des organisations utilisatrices

L’AI Act ne concerne pas uniquement les entreprises qui développent des systèmes d’intelligence artificielle. Les organisations qui les utilisent ont également des responsabilités. Elles doivent notamment :

  • utiliser le système conformément à sa destination ;
  • veiller au respect des instructions du fournisseur ;
  • assurer une supervision humaine adaptée ;
  • conserver certains journaux d’utilisation lorsque cela est requis ;
  • signaler les incidents graves dans les conditions prévues par le règlement.

La conformité devient ainsi une responsabilité partagée entre le fournisseur et le déployeur.

Une cartographie indispensable

Pour une organisation, la première étape consiste à identifier les systèmes susceptibles d’être qualifiés de haut risque. Cette cartographie permet notamment de répondre aux questions suivantes :

  • Quels outils d’IA utilisons-nous ?
  • Dans quels services ?
  • Pour quelles finalités ?
  • Les décisions concernent-elles des personnes ?
  • Ces décisions produisent-elles des effets significatifs ?
  • Les systèmes relèvent-ils des catégories prévues par l’AI Act ?

Cette démarche constitue le point de départ de toute stratégie de conformité.

Les erreurs les plus fréquentes

Plusieurs erreurs apparaissent régulièrement dans les organisations. Par exemple :

  • considérer qu’un système acheté auprès d’un fournisseur est automatiquement conforme ;
  • penser que seuls les développeurs sont concernés par l’AI Act ;
  • ignorer les usages informels de l’IA par les collaborateurs ;
  • ne pas associer les directions métiers à l’évaluation des risques ;
  • confondre innovation rapide et gouvernance efficace.

La conformité ne dépend pas uniquement de la technologie. Elle repose avant tout sur l’organisation mise en place autour de son utilisation.

Des enjeux qui dépassent la conformité

L’identification des systèmes à haut risque ne répond pas uniquement à une exigence réglementaire. Elle permet également :

  • d’améliorer la qualité des décisions ;
  • de réduire les risques de contentieux ;
  • de renforcer la confiance des utilisateurs ;
  • de sécuriser les projets numériques ;
  • d’anticiper les évolutions réglementaires.

À terme, cette démarche participe au développement d’une gouvernance responsable de l’intelligence artificielle.

À retenir

Les systèmes d’intelligence artificielle à haut risque occupent une place centrale dans l’AI Act. Ils sont autorisés, mais soumis à des exigences renforcées en raison de leur impact potentiel sur la santé, la sécurité ou les droits fondamentaux des personnes. Pour les organisations, la première étape consiste à identifier les systèmes concernés, à évaluer les risques associés et à mettre en place une gouvernance adaptée. Cette approche préventive traduit une évolution profonde du droit européen : l’intelligence artificielle n’est plus seulement envisagée comme une innovation technologique, mais comme un enjeu de gouvernance, de confiance et de responsabilité numérique. ➡ Chapitre suivant : Les obligations des organisations : comment utiliser l’intelligence artificielle en conformité avec l’AI Act ?

PARTIE II — Comprendre l’AI Act Chapitre 9 — Les obligations des organisations : comment utiliser l’intelligence artificielle en conformité avec l’AI Act ?

L’AI Act ne s’adresse pas uniquement aux entreprises qui développent des systèmes d’intelligence artificielle. Il concerne également les organisations qui les utilisent dans le cadre de leurs activités. Cette précision est essentielle. Une collectivité territoriale qui utilise un assistant conversationnel, une entreprise qui déploie un outil d’aide au recrutement ou un établissement de santé qui s’appuie sur une solution d’aide au diagnostic sont tous concernés par certaines obligations prévues par le règlement. L’intelligence artificielle ne devient pas conforme par le seul fait qu’elle est commercialisée par un fournisseur reconnu. L’organisation qui choisit de l’utiliser demeure responsable de son déploiement, de son intégration dans ses processus et des décisions prises à partir de ses résultats. L’AI Act invite ainsi les organisations à développer une véritable gouvernance de l’intelligence artificielle.

Comprendre son rôle dans l’écosystème de l’IA

La première étape consiste à identifier le rôle joué par l’organisation. Toutes les structures n’ont pas les mêmes responsabilités. Certaines développent leurs propres systèmes d’intelligence artificielle. D’autres adaptent un modèle existant à leurs besoins. La plupart utilisent simplement des solutions proposées par des éditeurs spécialisés. Le règlement distingue ainsi plusieurs catégories d’acteurs :

  • les fournisseurs, qui développent ou mettent un système sur le marché ;
  • les déployeurs, qui utilisent ce système dans le cadre de leurs activités ;
  • les importateurs et les distributeurs, qui participent à sa commercialisation.

La majorité des entreprises, des administrations et des associations seront principalement des déployeurs.

Identifier les systèmes d’intelligence artificielle utilisés

Une organisation ne peut respecter ses obligations que si elle connaît les outils qu’elle utilise. Cette étape est souvent plus complexe qu’il n’y paraît. L’intelligence artificielle est parfois introduite de manière informelle par les collaborateurs. Un salarié utilise un assistant conversationnel pour rédiger des courriels. Un manager s’appuie sur une IA pour préparer ses présentations. Une équipe marketing génère des images. Un développeur utilise un assistant de programmation. Sans politique interne, ces usages peuvent se multiplier sans être identifiés. La première obligation consiste donc à établir une cartographie des usages de l’IA.

Évaluer les risques liés aux usages

Tous les systèmes n’appellent pas le même niveau de vigilance. Une organisation doit s’interroger notamment sur :

  • les finalités poursuivies ;
  • les personnes concernées ;
  • les données utilisées ;
  • les conséquences possibles d’une erreur ;
  • le niveau d’autonomie du système ;
  • la nécessité d’une intervention humaine.

Cette analyse permet de déterminer si le système relève d’un régime particulier prévu par l’AI Act. Elle facilite également la mise en œuvre des autres réglementations, notamment le RGPD.

Maintenir une supervision humaine

L’un des principes majeurs de l’AI Act est que les décisions importantes ne doivent pas être abandonnées à une intelligence artificielle sans contrôle. La supervision humaine constitue une garantie essentielle. Elle signifie que les personnes responsables doivent être en mesure :

  • de comprendre le fonctionnement général du système ;
  • d’interpréter ses résultats ;
  • de détecter d’éventuelles anomalies ;
  • de corriger une erreur ;
  • d’interrompre l’utilisation du système lorsque cela est nécessaire.

La supervision ne doit pas être purement théorique. Elle doit pouvoir être exercée de manière effective.

Former les collaborateurs

Une organisation ne peut pas utiliser l’intelligence artificielle de manière responsable si ses collaborateurs ne comprennent pas les enjeux associés. La formation constitue donc une composante essentielle de la conformité. Elle ne doit pas se limiter aux aspects techniques. Les collaborateurs doivent également être sensibilisés :

  • aux risques juridiques ;
  • aux règles de confidentialité ;
  • à la protection des données personnelles ;
  • aux risques de biais ;
  • aux limites des contenus générés ;
  • aux obligations de vérification.

Former les utilisateurs contribue directement à réduire les risques opérationnels.

Encadrer les usages par une politique interne

Les organisations ont intérêt à formaliser leurs règles dans une politique interne d’utilisation de l’intelligence artificielle. Cette politique peut notamment préciser :

  • les outils autorisés ;
  • les usages interdits ;
  • les données pouvant être utilisées ;
  • les conditions de validation des résultats ;
  • les responsabilités de chacun ;
  • les modalités de signalement des incidents.

Elle constitue un document de référence pour les collaborateurs et facilite la diffusion d’une culture commune de l’IA responsable.

Protéger les données et les informations sensibles

L’utilisation d’un système d’intelligence artificielle ne dispense jamais du respect des autres réglementations. Les organisations doivent notamment veiller à protéger :

  • les données personnelles ;
  • les secrets d’affaires ;
  • les informations stratégiques ;
  • les données couvertes par une obligation de confidentialité.

Avant de transmettre des informations à une IA, il convient de s’interroger :

  • Le fournisseur conserve-t-il les données ?
  • Les données servent-elles à entraîner les modèles ?
  • Les informations quittent-elles l’Union européenne ?
  • Des garanties contractuelles sont-elles prévues ?

Ces questions relèvent pleinement de la gouvernance des risques.

Choisir des fournisseurs de confiance

Toutes les solutions d’intelligence artificielle n’offrent pas les mêmes garanties. Avant de retenir un fournisseur, il est recommandé d’évaluer notamment :

  • sa conformité réglementaire ;
  • sa politique de sécurité ;
  • ses engagements contractuels ;
  • ses mécanismes de transparence ;
  • les modalités de traitement des données ;
  • les conditions d’assistance et de maintenance.

Le choix d’un fournisseur constitue une décision de gouvernance autant qu’une décision technique.

Documenter les décisions

L’AI Act s’inscrit dans une logique proche de celle du RGPD. Les organisations doivent être en mesure de démontrer leur conformité. Cette exigence suppose notamment de conserver une documentation relative :

  • aux systèmes utilisés ;
  • aux évaluations de risques ;
  • aux procédures internes ;
  • aux formations réalisées ;
  • aux incidents rencontrés ;
  • aux mesures correctrices mises en œuvre.

Cette documentation facilite les contrôles et contribue à une amélioration continue.

Préparer la gestion des incidents

Comme tout système numérique, une intelligence artificielle peut produire des erreurs ou être à l’origine d’incidents. L’organisation doit prévoir des procédures permettant :

  • d’identifier rapidement les anomalies ;
  • de suspendre l’utilisation du système si nécessaire ;
  • d’évaluer les conséquences ;
  • d’informer les personnes compétentes ;
  • de mettre en œuvre des mesures correctrices.

Une gestion efficace des incidents limite les risques juridiques et renforce la confiance.

Une gouvernance intégrée

L’intelligence artificielle ne doit pas être gérée isolément. Elle s’inscrit dans un écosystème plus large comprenant notamment :

  • la protection des données personnelles ;
  • la cybersécurité ;
  • la gestion documentaire ;
  • la conformité réglementaire ;
  • la maîtrise des risques ;
  • la gouvernance numérique.

Les organisations les plus avancées ne créent pas une gouvernance spécifique de l’IA. Elles intègrent l’intelligence artificielle dans leur politique globale de responsabilité numérique. Cette approche permet d’éviter la multiplication des procédures et favorise une vision cohérente des risques.

Les erreurs les plus fréquentes

L’expérience montre que les principales difficultés ne proviennent pas de la technologie elle-même, mais de son utilisation. Les erreurs les plus courantes consistent à :

  • autoriser l’usage de l’IA sans cadre interne ;
  • ignorer les usages spontanés des collaborateurs ;
  • transmettre des informations confidentielles à des outils publics ;
  • ne pas vérifier les contenus générés ;
  • considérer que la responsabilité incombe exclusivement au fournisseur ;
  • négliger la formation des utilisateurs.

Ces situations peuvent exposer l’organisation à des risques juridiques, financiers et réputationnels.

Une opportunité de moderniser la gouvernance

L’AI Act ne doit pas être perçu comme une contrainte supplémentaire. Il offre l’occasion de structurer durablement la gouvernance de l’intelligence artificielle. Les organisations qui mettent en place des procédures claires, forment leurs équipes et documentent leurs pratiques disposeront d’un avantage durable. Elles pourront adopter les innovations plus rapidement, limiter les risques et renforcer la confiance de leurs collaborateurs, de leurs clients et de leurs partenaires. L’intelligence artificielle devient alors un levier de performance, encadré par une gouvernance responsable.

À retenir

L’AI Act ne concerne pas uniquement les développeurs de systèmes d’intelligence artificielle. Les organisations qui utilisent ces technologies ont également des responsabilités importantes. La conformité repose sur plusieurs piliers : connaître les outils utilisés, évaluer les risques, maintenir une supervision humaine, former les collaborateurs, protéger les données, choisir des fournisseurs fiables et documenter les décisions. Au-delà du respect du règlement, ces obligations contribuent à construire une gouvernance responsable de l’intelligence artificielle, pleinement intégrée dans une démarche plus large de responsabilité numérique. ➡ Partie III – Déployer une intelligence artificielle de manière responsable : de la cartographie des usages à la mise en place d’une gouvernance opérationnelle.

PARTIE III — Déployer une intelligence artificielle de manière responsable Chapitre 10 — Identifier les usages de l’intelligence artificielle dans son organisation :

la première étape d’une gouvernance efficace

La conformité à l’AI Act ne commence pas par la rédaction d’une politique interne ou la mise en place d’un comité de gouvernance. Elle commence par une question beaucoup plus simple : Savons-nous réellement où et comment l’intelligence artificielle est utilisée dans notre organisation ? Dans la majorité des cas, la réponse est plus incertaine qu’il n’y paraît. Depuis l’apparition des outils d’intelligence artificielle générative, les usages se sont développés très rapidement, souvent à l’initiative des collaborateurs eux-mêmes. Ils utilisent des assistants conversationnels pour rédiger des documents, préparer des présentations, analyser des données ou générer du code, sans que ces pratiques soient toujours connues de leur hiérarchie. Avant même d’évaluer les risques ou de mettre en place des règles, il est donc indispensable de dresser un état des lieux des usages existants. Cette cartographie constitue le socle de toute démarche de gouvernance de l’intelligence artificielle.

Une réalité souvent méconnue

Contrairement aux logiciels traditionnels, les outils d’intelligence artificielle sont particulièrement faciles d’accès. Quelques minutes suffisent pour créer un compte et commencer à utiliser :

  • un assistant conversationnel ;
  • un générateur d’images ;
  • un outil de traduction ;
  • un assistant de programmation ;
  • un logiciel de transcription ;
  • un générateur de présentations.

Cette simplicité explique leur diffusion extrêmement rapide. Elle explique également pourquoi de nombreuses organisations ignorent l’étendue réelle de leurs usages.

L’essor du « Shadow AI »

À l’image du Shadow IT, on parle aujourd’hui de Shadow AI pour désigner l’utilisation d’outils d’intelligence artificielle sans validation ou sans contrôle de l’organisation. Un collaborateur peut, par exemple :

  • copier un contrat dans une IA pour en obtenir un résumé ;
  • demander à un assistant conversationnel de rédiger une réponse à un client ;
  • générer un code informatique ;
  • analyser un tableau contenant des données sensibles ;
  • créer des visuels destinés à une campagne de communication.

Ces usages ne sont pas nécessairement problématiques. Ils deviennent en revanche préoccupants lorsqu’ils échappent à toute gouvernance.

Pourquoi cartographier les usages ?

La cartographie poursuit plusieurs objectifs. Elle permet notamment :

  • d’identifier les outils réellement utilisés ;
  • de comprendre les finalités poursuivies ;
  • de mesurer les risques ;
  • de repérer les traitements de données personnelles ;
  • d’identifier les informations confidentielles susceptibles d’être exposées ;
  • de définir les priorités de mise en conformité.

Sans cette vision d’ensemble, toute politique d’intelligence artificielle risque de demeurer théorique.

Quels usages faut-il recenser ?

La cartographie ne doit pas se limiter aux projets officiellement lancés par la direction. Elle doit couvrir l’ensemble des usages de l’organisation. Par exemple :

Les usages bureautiques

  • rédaction de courriels ;
  • préparation de comptes rendus ;
  • traduction ;
  • synthèse de documents.

Les usages métiers

  • recrutement ;
  • relation client ;
  • assistance juridique ;
  • analyse financière ;
  • gestion documentaire.

Les usages techniques

  • génération de code ;
  • cybersécurité ;
  • automatisation ;
  • analyse de données.

Les usages expérimentaux

  • tests réalisés par certains collaborateurs ;
  • démonstrateurs ;
  • projets pilotes.

Tous ces usages méritent d’être identifiés, même lorsqu’ils paraissent limités.

Associer les directions métiers

Une erreur fréquente consiste à confier la cartographie exclusivement au service informatique. Or, les usages sont principalement connus des équipes opérationnelles. Il est donc recommandé d’associer :

  • la direction générale ;
  • les ressources humaines ;
  • les services juridiques ;
  • la direction informatique ;
  • la cybersécurité ;
  • les achats ;
  • la communication ;
  • les directions métiers.

Cette approche favorise une vision plus fidèle de la réalité.

Les questions à se poser

Pour chaque outil identifié, plusieurs questions méritent d’être posées. Par exemple :

  • Quel outil est utilisé ?
  • Par quels services ?
  • Pour quelles finalités ?
  • Les données personnelles sont-elles concernées ?
  • Des informations confidentielles sont-elles transmises ?
  • Les résultats sont-ils systématiquement vérifiés ?
  • Le système intervient-il dans une prise de décision ?
  • Existe-t-il une supervision humaine ?
  • Le fournisseur est-il identifié ?
  • Les conditions d’utilisation ont-elles été analysées ?

Ces questions permettent de hiérarchiser les risques.

Identifier les usages sensibles

Tous les usages ne présentent pas le même niveau de risque. Une attention particulière doit être portée aux systèmes utilisés dans des domaines tels que :

  • le recrutement ;
  • l’évaluation des salariés ;
  • la santé ;
  • les décisions financières ;
  • les services publics ;
  • l’éducation ;
  • la sécurité ;
  • les traitements de données personnelles.

Ces usages peuvent relever du régime des systèmes d’IA à haut risque prévu par l’AI Act. Ils nécessitent donc une analyse approfondie.

Une cartographie évolutive

La cartographie ne doit pas être considérée comme un document figé. Les usages de l’intelligence artificielle évoluent rapidement. De nouveaux outils apparaissent régulièrement. Les collaborateurs développent de nouveaux cas d’usage. Les fournisseurs enrichissent leurs fonctionnalités. Il est donc recommandé de mettre à jour cette cartographie à intervalles réguliers, par exemple chaque année ou lors du déploiement d’un nouvel outil majeur.

Un outil de pilotage

Au-delà de la conformité, la cartographie constitue un véritable outil de gouvernance. Elle permet notamment :

  • d’identifier les besoins de formation ;
  • de définir une politique d’utilisation ;
  • de prioriser les audits ;
  • de préparer les analyses de risques ;
  • de faciliter les échanges avec les directions métiers.

Elle offre également une vision stratégique des transformations en cours.

Les erreurs les plus fréquentes

Les organisations rencontrent souvent les mêmes difficultés. Par exemple :

  • croire que seuls les outils officiellement déployés sont utilisés ;
  • oublier les usages individuels des collaborateurs ;
  • limiter la cartographie aux logiciels informatiques ;
  • ne jamais mettre à jour les informations recueillies ;
  • négliger les expérimentations internes.

Ces omissions réduisent considérablement l’efficacité de la gouvernance.

Une première étape vers la responsabilité numérique

Cartographier les usages de l’intelligence artificielle ne répond pas uniquement à une exigence réglementaire. Cette démarche traduit une évolution plus profonde de la gouvernance des organisations. Avant de réglementer, il faut comprendre. Avant de contrôler, il faut connaître. Avant de décider, il faut disposer d’une vision globale des pratiques. Cette logique est au cœur de la responsabilité numérique. Elle permet d’accompagner l’innovation tout en préservant la confiance, la sécurité et les droits fondamentaux.

À retenir

Toute démarche de conformité à l’AI Act commence par une cartographie des usages de l’intelligence artificielle. Cette cartographie permet d’identifier les outils utilisés, les finalités poursuivies, les données concernées et les risques associés. Elle constitue le socle d’une gouvernance efficace et conditionne la mise en œuvre des autres mesures de conformité. Dans un contexte où les usages de l’IA évoluent rapidement, connaître les pratiques de son organisation est désormais la première responsabilité des dirigeants. Chapitre suivant : Choisir un fournisseur d’intelligence artificielle : les critères juridiques, ➡ techniques et organisationnels à prendre en compte avant tout déploiement.

PARTIE III — Déployer une intelligence artificielle de manière responsable Chapitre 11 — Choisir un fournisseur d’intelligence artificielle : les critères juridiques, techniques et organisationnels à prendre en compte

Pour de nombreuses organisations, l’intelligence artificielle ne sera pas développée en interne. Elle sera acquise auprès d’un éditeur de logiciels, intégrée dans une solution métier ou accessible sous la forme d’un service en ligne. Le choix d’un fournisseur constitue donc une décision stratégique. Il ne s’agit pas uniquement de comparer des performances techniques ou des coûts d’abonnement. L’organisation doit également s’assurer que la solution retenue offre les garanties nécessaires en matière de conformité, de sécurité, de transparence et de gouvernance. L’AI Act renforce cette exigence en rappelant que les utilisateurs professionnels ne peuvent pas se contenter de faire confiance au fournisseur. Ils doivent être en mesure de démontrer qu’ils ont choisi une solution adaptée à leurs besoins et compatible avec leurs obligations. Le choix d’un outil d’intelligence artificielle devient ainsi une véritable décision de gouvernance.

Définir le besoin avant de choisir l’outil

La première erreur consiste souvent à rechercher un outil avant d’avoir identifié le besoin. L’intelligence artificielle n’est pas une finalité. Elle doit répondre à un objectif clairement identifié. Avant toute sélection, il convient notamment de déterminer :

  • quelles tâches doivent être assistées ;
  • quels processus sont concernés ;
  • quelles données seront utilisées ;
  • quels bénéfices sont attendus ;
  • quels risques doivent être maîtrisés.

Cette réflexion permet d’éviter le déploiement d’outils inadaptés ou redondants.

Identifier le rôle du fournisseur

Tous les fournisseurs n’interviennent pas au même niveau. Certains développent leurs propres modèles d’intelligence artificielle. D’autres proposent une interface utilisant des modèles conçus par un tiers. D’autres encore intègrent des fonctionnalités d’IA dans un logiciel existant. Comprendre cette chaîne de valeur est essentiel. L’organisation doit notamment savoir :

  • qui développe le modèle ;
  • qui exploite le service ;
  • qui héberge les données ;
  • qui assure la maintenance ;
  • qui est responsable des mises à jour.

Cette identification facilite l’analyse des responsabilités.

Vérifier la conformité réglementaire

Avant toute contractualisation, il est recommandé d’évaluer le niveau de conformité du fournisseur. Plusieurs questions peuvent être posées. Le fournisseur :

  • identifie-t-il clairement son rôle au regard de l’AI Act ?
  • fournit-il une documentation sur son système ?
  • décrit-il les limites de son outil ?
  • explique-t-il les mesures de sécurité mises en œuvre ?
  • précise-t-il les modalités de traitement des données ?

Ces informations témoignent souvent du niveau de maturité du fournisseur.

Examiner les conditions d’utilisation

Les conditions générales d’utilisation sont souvent acceptées sans lecture approfondie. Pourtant, elles peuvent contenir des clauses déterminantes. Il convient notamment de vérifier :

  • les droits d’utilisation accordés ;
  • les limitations de responsabilité ;
  • les modalités de conservation des données ;
  • les possibilités de suspension du service ;
  • les règles applicables aux contenus générés ;
  • les conditions de résiliation.

Une lecture attentive permet d’anticiper de nombreuses difficultés.

Porter une attention particulière aux données

L’un des principaux enjeux concerne les données transmises au fournisseur. Avant toute utilisation, plusieurs questions doivent être examinées. Les données sont-elles :

  • utilisées uniquement pour fournir le service ?
  • conservées après leur traitement ?
  • réutilisées pour entraîner les modèles ?
  • transférées hors de l’Union européenne ?
  • accessibles à des sous-traitants ?

Les réponses à ces questions conditionnent notamment l’application du RGPD et des règles relatives aux transferts internationaux de données.

Évaluer les garanties de sécurité

La sécurité constitue un critère essentiel. Le fournisseur doit être en mesure de présenter des mesures adaptées afin de protéger :

  • les données ;
  • les modèles ;
  • les accès ;
  • les infrastructures.

L’organisation peut notamment s’intéresser :

  • aux mécanismes d’authentification ;
  • au chiffrement des données ;
  • à la gestion des habilitations ;
  • aux procédures de sauvegarde ;
  • à la gestion des incidents ;
  • aux certifications de sécurité éventuellement détenues.

La sécurité du fournisseur participe directement à celle de l’organisation.

Comprendre les limites du système

Aucune intelligence artificielle n’est infaillible. Un fournisseur responsable explique clairement :

  • les usages recommandés ;
  • les usages déconseillés ;
  • les limites connues du système ;
  • les risques d’erreur ;
  • les besoins de supervision humaine.

Cette transparence permet aux utilisateurs de mieux apprécier la fiabilité des résultats.

Vérifier les engagements contractuels

Le contrat constitue un outil essentiel de maîtrise des risques. Il peut notamment préciser :

  • les responsabilités respectives des parties ;
  • les niveaux de service attendus ;
  • les modalités d’assistance ;
  • les délais de correction des anomalies ;
  • les obligations de confidentialité ;
  • les engagements de conformité réglementaire.

Lorsque des données personnelles sont traitées, un contrat de sous-traitance conforme au RGPD peut également être nécessaire.

Anticiper l’évolution du fournisseur

Le choix d’un fournisseur s’inscrit souvent dans la durée. Il est donc utile d’apprécier :

  • sa capacité d’innovation ;
  • la fréquence des mises à jour ;
  • la qualité du support ;
  • sa stabilité économique ;
  • sa politique de gouvernance.

Un fournisseur capable d’accompagner les évolutions réglementaires constitue un partenaire précieux.

Associer les différentes compétences

Le choix d’une solution d’intelligence artificielle ne relève pas uniquement du service informatique. Il est recommandé d’associer :

  • la direction générale ;
  • les directions métiers ;
  • les juristes ;
  • le DPO ;
  • les équipes cybersécurité ;
  • les achats ;
  • la conformité.

Cette approche pluridisciplinaire permet d’apprécier le projet dans toutes ses dimensions.

Élaborer une grille d’évaluation

Pour faciliter la comparaison entre plusieurs solutions, il peut être utile d’établir une grille d’analyse comportant notamment les critères suivants : CritèreQuestions à se poser Fonctionnalit Le système répond-il au besoin identifié ? és TransparenceLe fournisseur explique-t-il le fonctionnement général de son IA ? DonnéesComment les données sont-elles traitées et protégées ? SécuritéLes mesures de cybersécurité sont-elles suffisantes ? Le fournisseur fournit-il les informations nécessaires au respect de l’AI Act et du Conformité RGPD ? ContratLes responsabilités sont-elles clairement définies ? SupportL’accompagnement proposé est-il adapté ? PérennitéLe fournisseur présente-t-il des garanties de stabilité ? Cette démarche favorise des décisions objectives et documentées.

Les erreurs les plus fréquentes

Dans la pratique, plusieurs erreurs reviennent régulièrement. Certaines organisations :

  • choisissent un outil uniquement en fonction de son coût ;
  • utilisent la version gratuite d’un service sans analyser ses conditions d’utilisation ;
  • transmettent des données sensibles sans vérification préalable ;
  • supposent que le fournisseur assure seul la conformité réglementaire ;
  • ne réalisent aucun audit avant le déploiement.

Ces situations peuvent créer des risques importants, parfois difficiles à corriger une fois le système intégré aux processus de l’organisation.

Le fournisseur comme partenaire de gouvernance

Le choix d’un fournisseur ne constitue plus une simple décision d’achat. Il participe désormais à la stratégie de gouvernance de l’organisation. Un fournisseur transparent, capable de démontrer sa conformité et d’accompagner ses clients dans la maîtrise des risques, devient un véritable partenaire de confiance. À l’inverse, une solution peu documentée ou insuffisamment sécurisée peut fragiliser durablement la conformité de l’organisation. Dans un contexte où les réglementations européennes se multiplient, la sélection des partenaires technologiques devient un élément central de la responsabilité numérique.

À retenir

Choisir un fournisseur d’intelligence artificielle ne consiste pas uniquement à comparer des fonctionnalités. Les organisations doivent également évaluer les garanties offertes en matière de conformité, de sécurité, de transparence, de traitement des données et de gouvernance. Une sélection rigoureuse constitue la première étape d’un déploiement sécurisé de l’intelligence artificielle et contribue à construire une relation de confiance durable entre l’organisation, ses partenaires et les personnes concernées. ➡ Chapitre suivant : Protéger les données personnelles et les informations confidentielles : les bonnes pratiques pour utiliser l’intelligence artificielle sans compromettre son patrimoine informationnel.

PARTIE III — Déployer une intelligence artificielle de manière responsable Chapitre 12 — Protéger les données personnelles et les informations confidentielles : les bonnes pratiques pour utiliser l’intelligence artificielle en toute sécurité

L’utilisation quotidienne de l’intelligence artificielle conduit les organisations à partager un volume croissant d’informations avec des outils numériques. Qu’il s’agisse d’un assistant conversationnel, d’un générateur de documents, d’un outil d’analyse ou d’une plateforme de traduction, ces systèmes ne produisent leurs résultats qu’à partir des informations qui leur sont fournies. Cette réalité soulève une question essentielle : Quelles informations une organisation peut-elle transmettre à une intelligence artificielle ? La réponse ne relève pas uniquement du bon sens. Elle constitue aujourd’hui un enjeu majeur de conformité, de cybersécurité et de gouvernance. Une utilisation imprudente d’un système d’intelligence artificielle peut conduire à la divulgation de données personnelles, à la perte d’informations stratégiques ou à la compromission du secret des affaires. La protection des informations devient ainsi l’un des premiers réflexes d’une utilisation responsable de l’IA.

Une intelligence artificielle fonctionne grâce aux informations qu’on lui fournit

Contrairement à un moteur de recherche, une intelligence artificielle générative construit sa réponse à partir des éléments qui lui sont transmis. Plus les informations fournies sont précises, plus le résultat est généralement pertinent. Cette logique peut conduire les utilisateurs à copier dans un agent conversationnel :

  • un contrat ;
  • un rapport confidentiel ;
  • un tableau financier ;
  • un curriculum vitae ;
  • un dossier médical ;
  • une liste de clients ;
  • des échanges de courriels ;
  • un projet de stratégie commerciale.

Or, ces documents peuvent contenir des informations particulièrement sensibles. Avant toute utilisation, il convient donc de s’interroger sur la nature des données communiquées.

Distinguer les différentes catégories d’informations

Toutes les informations ne présentent pas le même niveau de sensibilité. Une organisation a intérêt à distinguer plusieurs catégories.

Les données publiques

Ce sont les informations librement accessibles ou destinées à être diffusées. Par exemple :

  • des communiqués de presse ;
  • des documents institutionnels ;
  • des contenus publiés sur un site internet.

Leur utilisation présente généralement peu de difficultés.

Les données internes

Il s’agit des informations réservées au fonctionnement de l’organisation. Par exemple :

  • des procédures internes ;
  • des comptes rendus de réunions ;
  • des projets de documents.

Même si elles ne sont pas confidentielles au sens juridique, leur diffusion doit rester maîtrisée.

Les informations confidentielles

Certaines informations présentent une valeur stratégique. Il peut notamment s’agir :

  • de projets de contrats ;
  • de données financières ;
  • de résultats de recherche ;
  • de stratégies commerciales ;
  • d’informations relatives à des contentieux ;
  • de secrets d’affaires.

Ces informations ne devraient jamais être communiquées à un outil d’intelligence artificielle sans une analyse préalable des garanties offertes par le fournisseur.

Les données personnelles

Les données permettant d’identifier directement ou indirectement une personne bénéficient d’une protection particulière. Cela concerne notamment :

  • les noms ;
  • les adresses électroniques ;
  • les coordonnées ;
  • les photographies ;
  • les numéros d’identification ;
  • les données de santé ;
  • les données relatives aux salariés ;
  • les données des clients.

Leur utilisation reste soumise au RGPD, même lorsqu’elles sont traitées par une intelligence artificielle.

L’IA ne suspend jamais l’application du RGPD

Une erreur fréquente consiste à considérer que les outils d’intelligence artificielle constituent un environnement neutre. Il n’en est rien. Lorsque des données personnelles sont transmises à un système d’IA, les règles du RGPD continuent intégralement de s’appliquer. L’organisation doit notamment s’assurer :

  • que le traitement repose sur une base juridique ;
  • que seules les données nécessaires sont utilisées ;
  • que les personnes concernées sont protégées ;
  • que les mesures de sécurité sont adaptées ;
  • que les éventuels transferts internationaux sont maîtrisés.

L’usage de l’intelligence artificielle ne crée pas une exception au droit de la protection des données.

Le principe de minimisation

L’un des principes les plus utiles consiste à transmettre le moins d’informations possible. Avant d’utiliser une intelligence artificielle, il est recommandé de se demander : Le résultat recherché peut-il être obtenu sans communiquer de données sensibles ? Très souvent, la réponse est positive. Par exemple, il est possible :

  • d’anonymiser un document ;
  • de remplacer les noms par des identifiants fictifs ;
  • de supprimer les coordonnées ;
  • de retirer les informations confidentielles.

Cette démarche réduit considérablement les risques.

Anonymiser ou pseudonymiser les informations

Lorsque cela est possible, les données devraient être préparées avant leur transmission. Deux approches peuvent être envisagées.

L’anonymisation

Les éléments permettant d’identifier une personne sont supprimés de manière irréversible. Le document ne permet plus d’identifier les personnes concernées.

La pseudonymisation

Les informations identifiantes sont remplacées par un identifiant. La réidentification demeure possible, mais uniquement grâce à des informations conservées séparément. Ces techniques contribuent à limiter les risques tout en permettant l’utilisation de l’intelligence artificielle.

Les informations à ne jamais transmettre sans précaution

Certaines catégories d’informations appellent une vigilance particulière. Sauf garanties spécifiques clairement établies, il est fortement déconseillé de transmettre à une IA publique :

  • des mots de passe ;
  • des clés d’accès ;
  • des informations bancaires ;
  • des secrets industriels ;
  • des données médicales identifiantes ;
  • des informations couvertes par le secret professionnel ;
  • des projets d’acquisition ;
  • des stratégies de négociation ;
  • des informations classifiées.

La règle est simple : Plus une information est sensible, plus son utilisation dans un outil d’intelligence artificielle doit être encadrée.

Vérifier la politique du fournisseur

Toutes les solutions d’intelligence artificielle ne traitent pas les informations de la même manière. Avant leur utilisation, plusieurs questions méritent d’être examinées. Le fournisseur précise-t-il :

  • si les données sont conservées ?
  • si elles servent à entraîner les modèles ?
  • où elles sont hébergées ?
  • quels sous-traitants interviennent ?
  • combien de temps elles sont conservées ?
  • comment elles peuvent être supprimées ?

Ces éléments doivent être connus avant toute utilisation professionnelle.

Sensibiliser les collaborateurs

La meilleure politique de sécurité restera inefficace si les utilisateurs ne connaissent pas les bonnes pratiques. Les actions de sensibilisation devraient notamment rappeler :

  • quelles informations peuvent être transmises ;
  • quelles informations doivent rester confidentielles ;
  • comment vérifier les résultats produits ;
  • quels outils sont autorisés ;
  • à qui signaler un incident.

Une culture de la vigilance constitue la première ligne de défense.

Définir une politique interne

Les organisations ont intérêt à formaliser des règles simples. Par exemple :

  • utiliser uniquement les outils validés ;
  • éviter les comptes personnels pour les usages professionnels ;
  • anonymiser les données lorsque cela est possible ;
  • vérifier systématiquement les contenus générés ;
  • signaler toute anomalie ;
  • demander l’avis du service compétent en cas de doute.

Ces règles facilitent une utilisation homogène de l’intelligence artificielle.

Les erreurs les plus fréquentes

L’expérience montre que les incidents résultent rarement d’une défaillance technique. Ils trouvent souvent leur origine dans des usages inadaptés. Parmi les erreurs les plus fréquentes figurent :

  • copier intégralement un contrat confidentiel dans un agent conversationnel ;
  • utiliser un compte personnel pour traiter des dossiers professionnels ;
  • transmettre des données de santé identifiantes ;
  • croire que tous les outils garantissent automatiquement la confidentialité ;
  • ne pas vérifier les paramètres de partage des informations.

Ces pratiques peuvent engager la responsabilité de l’organisation.

Une approche globale de la protection de l’information

La protection des données ne constitue qu’une partie de la gouvernance de l’intelligence artificielle. Les organisations doivent désormais adopter une approche plus large, intégrant :

  • le RGPD ;
  • la cybersécurité ;
  • la protection du secret des affaires ;
  • la confidentialité contractuelle ;
  • la propriété intellectuelle ;
  • la gestion des risques numériques.

Cette vision transversale est au cœur de la responsabilité numérique. Elle permet de concilier innovation, sécurité et confiance.

À retenir

L’utilisation de l’intelligence artificielle suppose une vigilance constante quant aux informations qui lui sont confiées. Les organisations doivent distinguer les différentes catégories de données, limiter les informations transmises, protéger les données personnelles, préserver les informations confidentielles et vérifier les garanties offertes par les fournisseurs. Au-delà de la conformité au RGPD ou à l’AI Act, cette démarche contribue à protéger le patrimoine informationnel de l’organisation et à développer une utilisation responsable de l’intelligence artificielle. Chapitre suivant : Sécuriser les usages de l’intelligence artificielle : mettre en place des ➡ règles internes, prévenir les incidents et renforcer la résilience de l’organisation.

PARTIE III — Déployer une intelligence artificielle de manière responsable Chapitre 13 — Sécuriser les usages de l’intelligence artificielle : mettre en place des règles internes, prévenir les incidents et renforcer la résilience de l’organisation

L’intelligence artificielle est désormais utilisée dans la plupart des organisations, souvent par un nombre croissant de collaborateurs et pour des usages de plus en plus variés. Cette diffusion rapide présente un paradoxe. Plus les outils sont simples d’utilisation, plus les risques liés à leur usage deviennent difficiles à maîtriser. La sécurité ne dépend plus uniquement de la qualité technique d’un système d’intelligence artificielle. Elle repose également sur les règles mises en place par l’organisation, sur la sensibilisation des utilisateurs et sur sa capacité à anticiper les incidents. La gouvernance de l’intelligence artificielle ne peut donc être dissociée de la cybersécurité et de la gestion des risques numériques.

L’intelligence artificielle crée de nouvelles surfaces d’attaque

Comme toute technologie numérique, un système d’intelligence artificielle peut être la cible d’attaques. Mais il peut également devenir un vecteur de nouvelles vulnérabilités. Par exemple, une intelligence artificielle peut être utilisée pour :

  • accéder à des informations sensibles ;
  • produire des contenus frauduleux ;
  • faciliter une tentative d’hameçonnage ;
  • automatiser certaines cyberattaques ;
  • contourner des procédures internes.

Les organisations doivent donc intégrer l’intelligence artificielle dans leur stratégie globale de sécurité.

Le premier risque reste humain

Dans la majorité des incidents, la vulnérabilité ne réside pas dans l’algorithme. Elle résulte des usages. Un collaborateur peut, par exemple :

  • transmettre un document confidentiel à un outil public ;
  • utiliser un compte personnel à des fins professionnelles ;
  • accorder un accès excessif à une application ;
  • diffuser sans vérification un contenu généré par une IA ;
  • installer un outil non autorisé.

Ces situations illustrent que la sécurité repose avant tout sur les comportements.

Définir une politique d’utilisation de l’intelligence artificielle

Chaque organisation devrait disposer d’une politique interne précisant les conditions d’utilisation des outils d’intelligence artificielle. Cette politique n’a pas vocation à empêcher les usages. Elle vise à les sécuriser. Elle peut notamment définir :

  • les outils autorisés ;
  • les outils interdits ;
  • les usages professionnels admis ;
  • les données pouvant être transmises ;
  • les modalités de validation des contenus générés ;
  • les responsabilités de chaque utilisateur.

Un document clair contribue à harmoniser les pratiques.

Encadrer les accès

Tous les collaborateurs n’ont pas nécessairement besoin d’accéder aux mêmes outils. Il est recommandé d’adapter les autorisations selon :

  • les fonctions exercées ;
  • les besoins opérationnels ;
  • le niveau de sensibilité des informations manipulées.

Cette approche limite les risques d’utilisation inappropriée. Elle s’inscrit dans le principe du moindre privilège, largement reconnu en cybersécurité.

Maîtriser les paramètres des outils

Les solutions d’intelligence artificielle proposent souvent de nombreux paramètres. Par exemple :

  • conservation de l’historique ;
  • partage des conversations ;
  • entraînement des modèles ;
  • connexion à d’autres applications ;
  • synchronisation avec des espaces de stockage.

Ces paramètres doivent être analysés avant tout déploiement. Une configuration par défaut n’est pas toujours adaptée aux besoins d’une organisation.

Vérifier systématiquement les résultats

L’un des risques les plus fréquents consiste à accorder une confiance excessive aux réponses produites par une intelligence artificielle. Or, un contenu généré peut être :

  • incomplet ;
  • erroné ;
  • obsolète ;
  • juridiquement inexact ;
  • ou inadapté au contexte.

Une règle simple devrait être intégrée dans toute politique interne : aucune décision importante ne devrait être prise sans validation humaine. Cette exigence rejoint directement les principes de l’AI Act.

Prévenir les cybermenaces liées à l’IA

L’intelligence artificielle est également utilisée par des acteurs malveillants. Elle facilite notamment :

  • la création de courriels d’hameçonnage particulièrement crédibles ;
  • la génération de faux documents ;
  • la production de contenus de désinformation ;
  • certaines formes d’ingénierie sociale ;
  • l’automatisation d’attaques informatiques.

Les collaborateurs doivent être sensibilisés à ces nouvelles formes de menace. L’esprit critique demeure la meilleure protection.

Préparer la gestion des incidents

Malgré toutes les précautions, un incident peut toujours survenir. Une organisation devrait disposer d’une procédure précisant :

  • comment détecter un incident ;
  • à qui le signaler ;
  • quelles mesures prendre immédiatement ;
  • comment limiter les conséquences ;
  • comment documenter l’événement.

Lorsque des données personnelles sont concernées, cette procédure devra également être articulée avec les obligations prévues par le RGPD.

Réaliser des audits réguliers

La sécurité ne peut être évaluée une seule fois. Les usages évoluent rapidement. De nouveaux outils apparaissent. Les fonctionnalités changent. Il est donc recommandé d’effectuer régulièrement des audits portant notamment sur :

  • les outils utilisés ;
  • les paramètres de sécurité ;
  • les accès accordés ;
  • les pratiques des collaborateurs ;
  • la conformité aux politiques internes.

Ces audits permettent de détecter les écarts avant qu’ils ne deviennent des incidents.

Former plutôt qu’interdire

Certaines organisations sont tentées d’interdire totalement l’utilisation des intelligences artificielles génératives. Cette approche est rarement efficace. Les collaborateurs continuent souvent à utiliser ces outils à titre individuel. Il est généralement préférable :

  • d’identifier les usages ;
  • d’autoriser les outils offrant des garanties suffisantes ;
  • de former les utilisateurs ;
  • d’encadrer les pratiques.

La gouvernance repose davantage sur l’accompagnement que sur l’interdiction.

Une sécurité intégrée à la gouvernance

La sécurité de l’intelligence artificielle ne relève pas exclusivement du service informatique. Elle implique :

  • la direction générale ;
  • les responsables métiers ;
  • les équipes juridiques ;
  • le DPO ;
  • les responsables cybersécurité ;
  • les ressources humaines ;
  • les collaborateurs.

Cette approche collective traduit une évolution profonde. La sécurité devient un élément de la gouvernance de l’organisation.

Les erreurs les plus fréquentes

Les organisations rencontrent régulièrement les mêmes difficultés. Par exemple :

  • croire qu’un outil populaire est nécessairement sécurisé ;
  • autoriser l’utilisation d’outils sans définir de règles ;
  • ne pas sensibiliser les collaborateurs ;
  • oublier de revoir les paramètres de confidentialité ;
  • ne jamais auditer les usages réels ;
  • considérer que la cybersécurité relève uniquement de la direction informatique.

Ces erreurs augmentent le niveau de risque sans que l’organisation en ait toujours conscience.

De la cybersécurité à la résilience numérique

La sécurité ne consiste plus uniquement à empêcher les incidents. Elle consiste également à permettre à l’organisation de poursuivre ses activités lorsqu’un incident survient. Cette capacité d’adaptation est aujourd’hui désignée sous le terme de résilience numérique. Une organisation résiliente est capable :

  • d’anticiper les risques ;
  • de détecter rapidement les anomalies ;
  • de réagir efficacement ;
  • de tirer les enseignements des incidents.

L’intelligence artificielle doit désormais être intégrée dans cette stratégie globale de résilience.

À retenir

La sécurité de l’intelligence artificielle ne repose pas uniquement sur la technologie. Elle dépend principalement de la manière dont les organisations choisissent de l’utiliser. Une politique interne claire, une gestion rigoureuse des accès, une vérification systématique des résultats, des audits réguliers et une sensibilisation continue des collaborateurs constituent les principaux leviers d’une utilisation sécurisée. Au-delà de la conformité réglementaire, ces bonnes pratiques permettent de renforcer la résilience numérique de l’organisation et de développer une intelligence artificielle véritablement digne de confiance. ➡ Chapitre suivant : Former les collaborateurs : développer une culture de l’intelligence artificielle responsable au sein de l’organisation.

PARTIE III — Déployer une intelligence artificielle de manière responsable Chapitre 14 — Former les collaborateurs :

développer une culture de l’intelligence artificielle responsable

L’intelligence artificielle transforme profondément les méthodes de travail. Elle ne concerne plus uniquement les spécialistes de l’informatique ou de la donnée. Désormais, chaque collaborateur est susceptible d’utiliser quotidiennement un assistant conversationnel, un générateur de contenus, un outil d’analyse ou un logiciel intégrant des fonctionnalités d’intelligence artificielle. Cette généralisation des usages modifie profondément les enjeux de conformité. La sécurité d’une organisation ne dépend plus seulement de la qualité des outils qu’elle déploie. Elle dépend également de la manière dont ses collaborateurs les utilisent. Former les utilisateurs devient ainsi une composante essentielle de la gouvernance de l’intelligence artificielle. Une organisation ne peut pas développer une IA responsable sans développer, dans le même temps, une véritable culture de la responsabilité numérique.

L’intelligence artificielle est avant tout une question de pratiques

Les incidents liés à l’intelligence artificielle proviennent rarement d’un dysfonctionnement technique. Ils résultent le plus souvent d’un usage inadapté. Par exemple :

  • un collaborateur communique des données confidentielles à un assistant conversationnel ;
  • une réponse générée par une IA est reprise sans vérification ;
  • une image créée artificiellement est diffusée sans mention de son origine ;
  • un outil est utilisé sans que l’organisation en ait connaissance.

Ces situations ne traduisent pas nécessairement une mauvaise volonté. Elles révèlent souvent une méconnaissance des risques. La formation constitue donc le premier moyen de prévention.

Former tous les collaborateurs

La sensibilisation à l’intelligence artificielle ne doit pas être réservée aux équipes techniques. Tous les collaborateurs sont concernés. Qu’ils travaillent :

  • dans les ressources humaines ;
  • au service juridique ;
  • dans la communication ;
  • au service commercial ;
  • à la direction financière ;
  • dans les achats ;
  • ou au sein de la direction générale, ils sont susceptibles d’utiliser des outils d’intelligence artificielle dans leurs activités quotidiennes.

La formation doit donc concerner l’ensemble de l’organisation.

Adapter la formation aux métiers

Les besoins ne sont pas identiques selon les fonctions exercées. Un développeur n’utilise pas les mêmes outils qu’un juriste ou qu’un responsable des ressources humaines. Il est donc recommandé d’adapter les contenus. Par exemple :

Les dirigeants

Ils doivent comprendre :

  • les enjeux stratégiques ;
  • les responsabilités de l’organisation ;
  • les risques de gouvernance ;
  • les évolutions réglementaires.

Les managers

Ils doivent être capables :

  • d’encadrer les usages ;
  • d’identifier les risques ;
  • d’accompagner leurs équipes ;
  • de relayer les bonnes pratiques.

Les collaborateurs

Ils doivent notamment savoir :

  • quels outils sont autorisés ;
  • quelles informations peuvent être utilisées ;
  • comment vérifier les réponses générées ;
  • à qui signaler un incident.

Les équipes techniques

Elles doivent maîtriser :

  • les exigences de sécurité ;
  • les mécanismes de supervision ;
  • les obligations documentaires ;
  • les interactions entre l’AI Act, le RGPD et la cybersécurité.

Comprendre les limites de l’intelligence artificielle

Former les utilisateurs ne consiste pas uniquement à expliquer le fonctionnement des outils. Il est également essentiel d’en rappeler les limites. Une intelligence artificielle peut :

  • produire une réponse erronée ;
  • reproduire un biais ;
  • générer une information obsolète ;
  • inventer une référence ;
  • proposer une solution juridiquement inexacte.

Comprendre ces limites permet de développer un regard critique. L’utilisateur reste responsable de l’utilisation qu’il fait des résultats produits.

Développer les bons réflexes

La formation doit favoriser l’acquisition de réflexes simples. Avant d’utiliser une intelligence artificielle, chaque collaborateur devrait se demander :

  • Les informations que je transmets sont-elles confidentielles ?
  • Des données personnelles figurent-elles dans mon document ?
  • L’outil utilisé est-il autorisé par mon organisation ?
  • Dois-je vérifier les résultats obtenus ?
  • Cette décision nécessite-t-elle une validation humaine ?

Ces réflexes réduisent considérablement les risques.

Sensibiliser aux enjeux juridiques

L’utilisation d’une intelligence artificielle ne relève pas uniquement de la technique. Elle soulève également des questions de :

  • protection des données personnelles ;
  • propriété intellectuelle ;
  • confidentialité ;
  • cybersécurité ;
  • responsabilité ;
  • non-discrimination ;
  • transparence.

Les collaborateurs n’ont pas vocation à devenir juristes. Ils doivent en revanche connaître les principes essentiels leur permettant d’utiliser ces outils de manière responsable.

Une formation continue

Les technologies d’intelligence artificielle évoluent rapidement. De nouveaux outils apparaissent chaque mois. Les fonctionnalités changent. Les réglementations se développent. Une formation unique ne suffit donc pas. Les organisations ont intérêt à mettre en place un programme continu comprenant notamment :

  • des sessions de sensibilisation régulières ;
  • des ateliers pratiques ;
  • des guides internes ;
  • des retours d’expérience ;
  • une veille sur les évolutions réglementaires.

La formation devient un processus permanent.

Associer la formation à une politique interne

La formation est d’autant plus efficace qu’elle s’inscrit dans un cadre clair. Elle doit être articulée avec :

  • la politique d’utilisation de l’intelligence artificielle ;
  • la charte informatique ;
  • les procédures de cybersécurité ;
  • les règles de confidentialité ;
  • les politiques de protection des données.

Cette cohérence facilite l’appropriation des règles par les collaborateurs.

Valoriser les usages responsables

Former ne signifie pas uniquement prévenir les risques. Il est également utile de montrer comment l’intelligence artificielle peut améliorer le travail quotidien. Par exemple :

  • automatiser des tâches répétitives ;
  • faciliter la recherche documentaire ;
  • améliorer la qualité rédactionnelle ;
  • accélérer certaines analyses ;
  • soutenir la créativité.

Une approche équilibrée favorise une meilleure adhésion des équipes. L’objectif est de développer une utilisation éclairée, et non de susciter une méfiance excessive.

Les erreurs les plus fréquentes

Les organisations rencontrent souvent les mêmes difficultés. Par exemple :

  • considérer que les collaborateurs apprendront seuls à utiliser l’IA ;
  • limiter la formation aux aspects techniques ;
  • oublier les enjeux juridiques ;
  • ne former que les nouveaux arrivants ;
  • ne jamais actualiser les contenus de formation.

Ces approches deviennent rapidement insuffisantes.

Une nouvelle compétence professionnelle

L’utilisation responsable de l’intelligence artificielle tend à devenir une compétence professionnelle à part entière. À l’image de la cybersécurité ou de la protection des données personnelles, elle fait désormais partie des connaissances attendues dans de nombreuses fonctions. Cette évolution dépasse le seul cadre réglementaire. Elle accompagne la transformation des métiers et des organisations. Former les collaborateurs, c’est également préparer l’organisation aux évolutions futures du travail.

Une culture de la responsabilité numérique

L’objectif ultime ne consiste pas seulement à former à l’utilisation d’un outil. Il s’agit de développer une culture commune. Une organisation mature est une organisation dans laquelle chacun comprend que l’innovation s’accompagne de responsabilités. Cette culture repose sur quelques principes simples :

  • protéger les personnes ;
  • préserver la confidentialité ;
  • exercer un regard critique ;
  • maintenir une supervision humaine ;
  • signaler les difficultés ;
  • améliorer continuellement les pratiques.

L’intelligence artificielle devient alors un levier d’innovation maîtrisée.

À retenir

La conformité à l’AI Act ne repose pas uniquement sur des procédures ou des outils techniques. Elle dépend également de la capacité des collaborateurs à utiliser l’intelligence artificielle de manière éclairée et responsable. Une formation adaptée, continue et articulée avec les politiques internes constitue l’un des meilleurs moyens de prévenir les risques, de renforcer la confiance et d’accompagner durablement la transformation numérique de l’organisation. Développer les compétences en matière d’intelligence artificielle, c’est finalement développer une ᵉ véritable culture de la responsabilité numérique, indispensable aux organisations du XXI siècle. ➡ Chapitre suivant : Mettre en place une gouvernance de l’intelligence artificielle : organiser les responsabilités, piloter les risques et inscrire l’IA dans la stratégie de l’organisation.

PARTIE III — Déployer une intelligence artificielle de manière responsable Chapitre 15 — Mettre en place une gouvernance de l’intelligence artificielle :

organiser les responsabilités et inscrire l’IA dans la stratégie de l’organisation

L’intelligence artificielle ne constitue plus un simple outil informatique. Elle influence désormais les processus de décision, les relations avec les clients, la gestion des ressources humaines, les activités de recherche, les fonctions juridiques, les services publics et, plus largement, l’ensemble des activités des organisations. Son utilisation ne peut donc être laissée à la seule initiative des utilisateurs ou des équipes techniques. Comme la cybersécurité ou la protection des données personnelles, l’intelligence artificielle nécessite une gouvernance clairement définie. L’objectif n’est pas de créer une nouvelle structure administrative, mais d’organiser les responsabilités afin que l’innovation puisse se développer dans un cadre sécurisé, transparent et conforme aux exigences du droit. La gouvernance de l’intelligence artificielle constitue aujourd’hui l’un des principaux leviers de la responsabilité numérique.

La gouvernance : bien plus qu’une question de conformité

La gouvernance ne consiste pas uniquement à respecter l’AI Act. Elle permet également :

  • de maîtriser les risques ;
  • de sécuriser les projets ;
  • de coordonner les différents acteurs ;
  • de faciliter la prise de décision ;
  • de renforcer la confiance des parties prenantes.

Une organisation qui gouverne son intelligence artificielle est une organisation qui sait :

  • pourquoi elle utilise l’IA ;
  • dans quels domaines ;
  • avec quelles garanties ;
  • sous quelles responsabilités.

Cette visibilité constitue un avantage stratégique.

Faire de l’intelligence artificielle un sujet de gouvernance

Pendant longtemps, les projets numériques relevaient principalement des directions informatiques. L’intelligence artificielle modifie cette approche. Ses conséquences dépassent largement le cadre technique. Elle concerne notamment :

  • la stratégie de l’organisation ;
  • les ressources humaines ;
  • la conformité ;
  • la gestion des risques ;
  • la cybersécurité ;
  • la communication ;
  • la responsabilité sociétale.

Elle doit donc être pilotée au niveau de la gouvernance. L’implication de la direction générale constitue un facteur déterminant de réussite.

Définir les responsabilités

L’une des premières étapes consiste à clarifier les rôles de chacun. Sans nécessairement créer de nouvelles fonctions, il est utile d’identifier les responsabilités. Par exemple : La direction générale Elle définit les orientations stratégiques et valide les projets les plus sensibles. Les directions métiers Elles identifient les besoins opérationnels et veillent à la bonne utilisation des outils. La direction informatique Elle participe au choix des solutions, à leur intégration et à leur sécurisation. Le responsable de la cybersécurité Il évalue les risques techniques et définit les mesures de protection. Le DPO Il intervient lorsque les traitements concernent des données personnelles et veille au respect du RGPD. Les juristes et responsables conformité Ils analysent les obligations réglementaires, les contrats et les risques de responsabilité. Cette répartition favorise une gouvernance partagée.

Créer une politique de gouvernance de l’IA

Une organisation gagne à formaliser ses principes dans une politique de gouvernance. Ce document peut notamment préciser :

  • les objectifs poursuivis ;
  • les principes directeurs ;
  • les rôles et responsabilités ;
  • les critères de sélection des outils ;
  • les procédures d’évaluation des risques ;
  • les modalités de supervision humaine ;
  • les règles de documentation ;
  • les procédures de gestion des incidents.

Cette politique constitue le cadre de référence de l’ensemble des projets d’intelligence artificielle.

Intégrer l’IA dans les processus de décision

L’intelligence artificielle ne doit pas être introduite de manière isolée. Avant tout nouveau projet, plusieurs questions devraient être systématiquement examinées. Par exemple :

  • Le besoin est-il clairement identifié ?
  • Une solution d’intelligence artificielle est-elle réellement nécessaire ?
  • Quels bénéfices sont attendus ?
  • Quels risques peuvent être identifiés ?
  • Les données utilisées sont-elles appropriées ?
  • Une analyse juridique est-elle nécessaire ?
  • Les utilisateurs seront-ils formés ?

Ces questions permettent d’intégrer la gouvernance dès la conception des projets.

Documenter les décisions

Une gouvernance efficace repose sur la traçabilité. Les principales décisions devraient être documentées. Par exemple :

  • pourquoi un outil a été choisi ;
  • quels risques ont été identifiés ;
  • quelles mesures ont été retenues ;
  • quelles validations ont été obtenues ;
  • quelles formations ont été réalisées.

Cette documentation facilite les audits, les contrôles et les évolutions futures. Elle traduit également une démarche de responsabilité.

Mettre en place un suivi régulier

La gouvernance ne s’arrête pas au déploiement d’un outil. Les usages évoluent. Les réglementations changent. Les fournisseurs développent de nouvelles fonctionnalités. Il est donc recommandé de mettre en place un suivi périodique portant notamment sur :

  • les nouveaux usages ;
  • les incidents constatés ;
  • les retours des utilisateurs ;
  • les évolutions réglementaires ;
  • les performances des outils.

Cette amélioration continue rejoint les principes déjà connus en matière de protection des données et de cybersécurité.

Développer une gouvernance fondée sur les risques

L’AI Act repose sur une logique de gestion des risques. La gouvernance devrait adopter la même approche. Tous les projets ne nécessitent pas le même niveau de contrôle. Une organisation peut utilement distinguer : Les usages à faible risque Par exemple :

  • assistance à la rédaction ;
  • traduction ;
  • synthèse documentaire.

Ils appellent un encadrement relativement simple. Les usages à risque élevé Par exemple :

  • recrutement ;
  • évaluation des salariés ;
  • décisions financières ;
  • santé ;
  • services publics.

Ces projets justifient une analyse beaucoup plus approfondie. Cette approche permet d’allouer les ressources de manière proportionnée.

Associer les parties prenantes

La gouvernance de l’intelligence artificielle ne peut être construite uniquement par les juristes ou les informaticiens. Elle gagne à associer l’ensemble des acteurs concernés. Selon les projets, il peut être utile de consulter :

  • les représentants des utilisateurs ;
  • les partenaires sociaux ;
  • les responsables métiers ;
  • les experts techniques ;
  • les responsables de la conformité.

Cette concertation favorise une meilleure appropriation des règles.

Préparer les évolutions réglementaires

L’AI Act constitue une étape importante. Il ne sera probablement pas la dernière. L’environnement juridique continuera d’évoluer sous l’effet :

  • des nouvelles réglementations européennes ;
  • de la jurisprudence ;
  • des recommandations des autorités de contrôle ;
  • des évolutions technologiques.

Une gouvernance mature doit être capable d’intégrer ces changements sans remettre en cause l’ensemble de son organisation. La conformité devient ainsi un processus dynamique.

De la gouvernance de l’IA à la responsabilité numérique

Au fil de ce guide, une idée s’est progressivement imposée. L’intelligence artificielle ne peut être gouvernée isolément. Elle interagit avec :

  • la protection des données ;
  • la cybersécurité ;
  • la gouvernance des données ;
  • la propriété intellectuelle ;
  • la conformité réglementaire ;
  • la gestion des risques.

Ces domaines forment désormais un ensemble cohérent. C’est précisément ce que recouvre la notion de responsabilité numérique. La responsabilité numérique ne consiste pas à ajouter une nouvelle couche de conformité. Elle propose une vision intégrée de la gouvernance des technologies. L’intelligence artificielle en devient l’une des composantes majeures.

Les erreurs les plus fréquentes

Les organisations les plus avancées sur le plan technologique ne sont pas toujours les plus matures en matière de gouvernance. Les difficultés les plus fréquentes sont les suivantes :

  • lancer des projets d’IA sans validation de la direction ;
  • confier la gouvernance exclusivement au service informatique ;
  • ne pas documenter les décisions ;
  • oublier les directions métiers ;
  • considérer la conformité comme une formalité administrative ;
  • ne jamais réévaluer les risques.

À long terme, ces lacunes fragilisent les projets et limitent leur acceptabilité.

À retenir

La gouvernance de l’intelligence artificielle ne se résume pas au respect de l’AI Act. Elle consiste à organiser les responsabilités, à intégrer l’évaluation des risques dans les décisions, à documenter les choix effectués et à assurer un suivi continu des usages. Les organisations qui adoptent cette approche ne se contentent pas de satisfaire à leurs obligations réglementaires. Elles développent une capacité durable à innover dans un cadre sécurisé, transparent et respectueux des droits fondamentaux. En définitive, la gouvernance de l’intelligence artificielle constitue l’une des expressions les plus concrètes de la responsabilité numérique, appelée à devenir un pilier essentiel du droit du numérique et de la stratégie des organisations. ➡ Partie IV – Responsabilités et perspectives : qui est responsable en cas de dommage, quelles sont les sanctions prévues par l’AI Act et comment préparer son organisation aux évolutions du droit de l’intelligence artificielle ?

PARTIE IV — Responsabilités et perspectives Chapitre 16 — Qui est responsable en cas de dommage causé par une intelligence artificielle ?

L’une des questions les plus fréquemment posées par les organisations est simple en apparence : Qui est responsable lorsqu’une intelligence artificielle provoque un dommage ? Cette interrogation est légitime. Lorsqu’un système d’intelligence artificielle produit une erreur, prend une décision inadaptée ou génère un contenu préjudiciable, il est tentant d’attribuer la responsabilité à la machine elle-même. Pourtant, en droit, la réponse est claire. Une intelligence artificielle ne possède ni personnalité juridique, ni patrimoine, ni capacité à répondre de ses actes. Elle ne peut donc pas être tenue juridiquement responsable. La responsabilité demeure toujours celle des personnes physiques ou morales qui conçoivent, commercialisent, déploient ou utilisent le système. L’intelligence artificielle ne fait pas disparaître les règles classiques de responsabilité. Elle en modifie simplement les modalités d’application.

L’intelligence artificielle n’est pas un sujet de droit

Contrairement à une idée parfois véhiculée dans les médias, une intelligence artificielle n’est pas une personne juridique. Elle ne peut :

  • conclure un contrat ;
  • être condamnée par un tribunal ;
  • indemniser une victime ;
  • exercer des droits.

Elle constitue un outil technologique, même lorsqu’elle fonctionne avec un degré élevé d’autonomie. Cette distinction est fondamentale. Le droit continue à rechercher la responsabilité des acteurs humains.

Une responsabilité partagée

Le développement d’un système d’intelligence artificielle mobilise souvent plusieurs intervenants. Selon les situations, peuvent notamment intervenir :

  • le concepteur du modèle ;
  • le fournisseur de la solution ;
  • le distributeur ;
  • l’intégrateur ;
  • l’organisation qui déploie le système ;
  • les utilisateurs.

La responsabilité peut donc être répartie entre plusieurs acteurs. L’analyse dépendra des circonstances de chaque situation.

La responsabilité du fournisseur

Le fournisseur joue un rôle essentiel. Il conçoit, développe ou met sur le marché le système d’intelligence artificielle. À ce titre, il lui appartient notamment :

  • de respecter les exigences de l’AI Act ;
  • de documenter le système ;
  • d’assurer un niveau approprié de sécurité ;
  • de fournir les informations nécessaires à son utilisation ;
  • de corriger les anomalies identifiées.

Si un dommage résulte d’une défaillance de conception ou d’un manquement à ces obligations, sa responsabilité pourra être engagée.

La responsabilité de l’organisation utilisatrice

L’organisation qui utilise une intelligence artificielle n’est pas dégagée de toute responsabilité. Elle doit notamment :

  • choisir un système adapté à ses besoins ;
  • respecter les conditions d’utilisation ;
  • assurer une supervision humaine ;
  • former ses collaborateurs ;
  • protéger les données utilisées ;
  • vérifier les résultats produits.

Une décision prise exclusivement sur la base d’une réponse générée par une intelligence artificielle, sans contrôle humain lorsque celui-ci était nécessaire, peut engager la responsabilité de l’organisation.

La responsabilité des collaborateurs

Les collaborateurs agissent dans le cadre de leurs fonctions. Ils doivent respecter les procédures internes et utiliser les outils conformément aux règles définies par leur organisation. Par exemple, un salarié qui :

  • transmet volontairement des informations confidentielles ;
  • contourne les règles de sécurité ;
  • utilise un outil interdit ;
  • diffuse un contenu manifestement erroné sans vérification, peut engager sa responsabilité selon les règles applicables en droit du travail.

Dans la plupart des situations, c’est toutefois l’organisation qui répondra des conséquences des actes accomplis dans le cadre de l’activité professionnelle.

Les différents types de dommages

Les préjudices susceptibles de résulter d’un système d’intelligence artificielle sont variés. Ils peuvent notamment être :

Des dommages matériels

Par exemple :

  • une erreur de production industrielle ;
  • une défaillance d’un équipement ;
  • un dommage causé à un bien.

Des préjudices économiques

Par exemple :

  • une perte financière ;
  • une rupture de contrat ;
  • une perte de clientèle ;
  • une interruption d’activité.

Des atteintes aux droits des personnes

Il peut notamment s’agir :

  • d’une discrimination ;
  • d’une atteinte à la vie privée ;
  • d’une violation des données personnelles ;
  • d’une atteinte à la réputation.

Des préjudices immatériels

Par exemple :

  • une atteinte à l’image ;
  • une perte de confiance ;
  • un dommage moral.

L’intelligence artificielle peut être à l’origine de conséquences très diverses.

L’importance de la supervision humaine

L’AI Act insiste sur un principe essentiel. L’intelligence artificielle doit, dans de nombreuses situations, demeurer sous contrôle humain. Cette supervision poursuit plusieurs objectifs. Elle permet :

  • de détecter les erreurs ;
  • d’interpréter les résultats ;
  • d’interrompre un traitement inadapté ;
  • de corriger une décision.

Elle contribue également à réduire les risques de responsabilité. Une organisation capable de démontrer qu’elle a effectivement supervisé les décisions sera généralement mieux placée pour justifier sa démarche.

La preuve devient un enjeu majeur

En cas de litige, une question revient systématiquement : Que s’est-il réellement passé ? Il devient donc essentiel de pouvoir démontrer :

  • quel système a été utilisé ;
  • quelles données ont été saisies ;
  • quelles décisions ont été prises ;
  • quelle intervention humaine est intervenue ;
  • quelles vérifications ont été réalisées.

La documentation des processus devient ainsi un élément central de la gouvernance.

Une articulation avec les autres branches du droit

Les règles applicables à la responsabilité liée à l’intelligence artificielle ne se limitent pas à l’AI Act. Selon les situations, plusieurs branches du droit peuvent être mobilisées. Par exemple :

  • le droit de la responsabilité civile ;
  • le droit des contrats ;
  • le droit de la consommation ;
  • le droit du travail ;
  • le droit de la propriété intellectuelle ;
  • le RGPD ;
  • le droit pénal dans certaines hypothèses.

Cette pluralité de fondements illustre le caractère transversal du droit du numérique.

Les évolutions du droit européen

L’Union européenne poursuit actuellement ses travaux afin d’adapter les règles de responsabilité aux spécificités de l’intelligence artificielle. L’objectif est notamment de faciliter l’indemnisation des victimes lorsque la complexité technique d’un système rend difficile l’administration de la preuve. Ces évolutions témoignent d’une tendance de fond. À mesure que les technologies gagnent en autonomie, le droit cherche moins à créer un régime entièrement nouveau qu’à adapter les mécanismes existants afin de préserver un équilibre entre innovation, sécurité juridique et protection des personnes.

Prévenir plutôt que réparer

Pour les organisations, la meilleure stratégie consiste à réduire les risques en amont. Cette démarche passe notamment par :

  • une cartographie des usages ;
  • une évaluation des risques ;
  • une gouvernance claire ;
  • une supervision humaine adaptée ;
  • une documentation des décisions ;
  • une formation des collaborateurs.

Ces mesures limitent non seulement les risques de dommage, mais également les risques de contentieux.

Une responsabilité au cœur de la gouvernance numérique

L’intelligence artificielle transforme progressivement la manière dont les organisations prennent leurs décisions. Cette évolution appelle une nouvelle approche de la responsabilité. Il ne suffit plus de vérifier la conformité d’un outil. Il faut être capable de démontrer que son utilisation est maîtrisée, documentée et intégrée dans une gouvernance globale. La responsabilité devient ainsi un élément central de la responsabilité numérique. Cette notion dépasse largement le seul cadre de l’intelligence artificielle. Elle englobe l’ensemble des responsabilités liées à la conception, au déploiement et à l’utilisation des technologies numériques.

À retenir

L’intelligence artificielle ne peut pas être tenue juridiquement responsable des dommages qu’elle contribue à causer. La responsabilité demeure celle des acteurs humains : fournisseurs, organisations utilisatrices, intégrateurs ou, selon les circonstances, utilisateurs. Pour limiter les risques, les organisations doivent privilégier une approche fondée sur l’anticipation, la supervision humaine, la documentation des décisions et la gouvernance des risques. L’AI Act ne modifie pas ce principe fondamental : il renforce au contraire l’exigence de responsabilité des acteurs du numérique et participe à l’émergence d’un véritable droit de la responsabilité numérique. ➡ Chapitre suivant : Les contrôles et les sanctions : quelles conséquences en cas de non- respect de l’AI Act et comment s’y préparer ?

PARTIE IV — Responsabilités et perspectives Chapitre 16 — Qui est responsable en cas de dommage causé par une intelligence artificielle ?

L’une des questions les plus fréquemment posées par les organisations est simple en apparence : Qui est responsable lorsqu’une intelligence artificielle provoque un dommage ? Cette interrogation est légitime. Lorsqu’un système d’intelligence artificielle produit une erreur, prend une décision inadaptée ou génère un contenu préjudiciable, il est tentant d’attribuer la responsabilité à la machine elle-même. Pourtant, en droit, la réponse est claire. Une intelligence artificielle ne possède ni personnalité juridique, ni patrimoine, ni capacité à répondre de ses actes. Elle ne peut donc pas être tenue juridiquement responsable. La responsabilité demeure toujours celle des personnes physiques ou morales qui conçoivent, commercialisent, déploient ou utilisent le système. L’intelligence artificielle ne fait pas disparaître les règles classiques de responsabilité. Elle en modifie simplement les modalités d’application.

L’intelligence artificielle n’est pas un sujet de droit

Contrairement à une idée parfois véhiculée dans les médias, une intelligence artificielle n’est pas une personne juridique. Elle ne peut :

  • conclure un contrat ;
  • être condamnée par un tribunal ;
  • indemniser une victime ;
  • exercer des droits.

Elle constitue un outil technologique, même lorsqu’elle fonctionne avec un degré élevé d’autonomie. Cette distinction est fondamentale. Le droit continue à rechercher la responsabilité des acteurs humains.

Une responsabilité partagée

Le développement d’un système d’intelligence artificielle mobilise souvent plusieurs intervenants. Selon les situations, peuvent notamment intervenir :

  • le concepteur du modèle ;
  • le fournisseur de la solution ;
  • le distributeur ;
  • l’intégrateur ;
  • l’organisation qui déploie le système ;
  • les utilisateurs.

La responsabilité peut donc être répartie entre plusieurs acteurs. L’analyse dépendra des circonstances de chaque situation.

La responsabilité du fournisseur

Le fournisseur joue un rôle essentiel. Il conçoit, développe ou met sur le marché le système d’intelligence artificielle. À ce titre, il lui appartient notamment :

  • de respecter les exigences de l’AI Act ;
  • de documenter le système ;
  • d’assurer un niveau approprié de sécurité ;
  • de fournir les informations nécessaires à son utilisation ;
  • de corriger les anomalies identifiées.

Si un dommage résulte d’une défaillance de conception ou d’un manquement à ces obligations, sa responsabilité pourra être engagée.

La responsabilité de l’organisation utilisatrice

L’organisation qui utilise une intelligence artificielle n’est pas dégagée de toute responsabilité. Elle doit notamment :

  • choisir un système adapté à ses besoins ;
  • respecter les conditions d’utilisation ;
  • assurer une supervision humaine ;
  • former ses collaborateurs ;
  • protéger les données utilisées ;
  • vérifier les résultats produits.

Une décision prise exclusivement sur la base d’une réponse générée par une intelligence artificielle, sans contrôle humain lorsque celui-ci était nécessaire, peut engager la responsabilité de l’organisation.

La responsabilité des collaborateurs

Les collaborateurs agissent dans le cadre de leurs fonctions. Ils doivent respecter les procédures internes et utiliser les outils conformément aux règles définies par leur organisation. Par exemple, un salarié qui :

  • transmet volontairement des informations confidentielles ;
  • contourne les règles de sécurité ;
  • utilise un outil interdit ;
  • diffuse un contenu manifestement erroné sans vérification, peut engager sa responsabilité selon les règles applicables en droit du travail.

Dans la plupart des situations, c’est toutefois l’organisation qui répondra des conséquences des actes accomplis dans le cadre de l’activité professionnelle.

Les différents types de dommages

Les préjudices susceptibles de résulter d’un système d’intelligence artificielle sont variés. Ils peuvent notamment être :

Des dommages matériels

Par exemple :

  • une erreur de production industrielle ;
  • une défaillance d’un équipement ;
  • un dommage causé à un bien.

Des préjudices économiques

Par exemple :

  • une perte financière ;
  • une rupture de contrat ;
  • une perte de clientèle ;
  • une interruption d’activité.

Des atteintes aux droits des personnes

Il peut notamment s’agir :

  • d’une discrimination ;
  • d’une atteinte à la vie privée ;
  • d’une violation des données personnelles ;
  • d’une atteinte à la réputation.

Des préjudices immatériels

Par exemple :

  • une atteinte à l’image ;
  • une perte de confiance ;
  • un dommage moral.

L’intelligence artificielle peut être à l’origine de conséquences très diverses.

L’importance de la supervision humaine

L’AI Act insiste sur un principe essentiel. L’intelligence artificielle doit, dans de nombreuses situations, demeurer sous contrôle humain. Cette supervision poursuit plusieurs objectifs. Elle permet :

  • de détecter les erreurs ;
  • d’interpréter les résultats ;
  • d’interrompre un traitement inadapté ;
  • de corriger une décision.

Elle contribue également à réduire les risques de responsabilité. Une organisation capable de démontrer qu’elle a effectivement supervisé les décisions sera généralement mieux placée pour justifier sa démarche.

La preuve devient un enjeu majeur

En cas de litige, une question revient systématiquement : Que s’est-il réellement passé ? Il devient donc essentiel de pouvoir démontrer :

  • quel système a été utilisé ;
  • quelles données ont été saisies ;
  • quelles décisions ont été prises ;
  • quelle intervention humaine est intervenue ;
  • quelles vérifications ont été réalisées.

La documentation des processus devient ainsi un élément central de la gouvernance.

Une articulation avec les autres branches du droit

Les règles applicables à la responsabilité liée à l’intelligence artificielle ne se limitent pas à l’AI Act. Selon les situations, plusieurs branches du droit peuvent être mobilisées. Par exemple :

  • le droit de la responsabilité civile ;
  • le droit des contrats ;
  • le droit de la consommation ;
  • le droit du travail ;
  • le droit de la propriété intellectuelle ;
  • le RGPD ;
  • le droit pénal dans certaines hypothèses.

Cette pluralité de fondements illustre le caractère transversal du droit du numérique.

Les évolutions du droit européen

L’Union européenne poursuit actuellement ses travaux afin d’adapter les règles de responsabilité aux spécificités de l’intelligence artificielle. L’objectif est notamment de faciliter l’indemnisation des victimes lorsque la complexité technique d’un système rend difficile l’administration de la preuve. Ces évolutions témoignent d’une tendance de fond. À mesure que les technologies gagnent en autonomie, le droit cherche moins à créer un régime entièrement nouveau qu’à adapter les mécanismes existants afin de préserver un équilibre entre innovation, sécurité juridique et protection des personnes.

Prévenir plutôt que réparer

Pour les organisations, la meilleure stratégie consiste à réduire les risques en amont. Cette démarche passe notamment par :

  • une cartographie des usages ;
  • une évaluation des risques ;
  • une gouvernance claire ;
  • une supervision humaine adaptée ;
  • une documentation des décisions ;
  • une formation des collaborateurs.

Ces mesures limitent non seulement les risques de dommage, mais également les risques de contentieux.

Une responsabilité au cœur de la gouvernance numérique

L’intelligence artificielle transforme progressivement la manière dont les organisations prennent leurs décisions. Cette évolution appelle une nouvelle approche de la responsabilité. Il ne suffit plus de vérifier la conformité d’un outil. Il faut être capable de démontrer que son utilisation est maîtrisée, documentée et intégrée dans une gouvernance globale. La responsabilité devient ainsi un élément central de la responsabilité numérique. Cette notion dépasse largement le seul cadre de l’intelligence artificielle. Elle englobe l’ensemble des responsabilités liées à la conception, au déploiement et à l’utilisation des technologies numériques.

À retenir

L’intelligence artificielle ne peut pas être tenue juridiquement responsable des dommages qu’elle contribue à causer. La responsabilité demeure celle des acteurs humains : fournisseurs, organisations utilisatrices, intégrateurs ou, selon les circonstances, utilisateurs. Pour limiter les risques, les organisations doivent privilégier une approche fondée sur l’anticipation, la supervision humaine, la documentation des décisions et la gouvernance des risques. L’AI Act ne modifie pas ce principe fondamental : il renforce au contraire l’exigence de responsabilité des acteurs du numérique et participe à l’émergence d’un véritable droit de la responsabilité numérique. ➡ Chapitre suivant : Les contrôles et les sanctions : quelles conséquences en cas de non- respect de l’AI Act et comment s’y préparer ?

PARTIE IV — Responsabilités et perspectives Chapitre 17 — Les contrôles et les sanctions :

quelles conséquences en cas de non-respect de l’AI Act ?

L’entrée en vigueur de l’AI Act marque une nouvelle étape dans la régulation des technologies numériques en Europe. Comme le RGPD avant lui, ce règlement ne se limite pas à énoncer des principes. Il prévoit également des mécanismes de contrôle et un régime de sanctions destiné à garantir son application effective. Toutefois, réduire l’AI Act à un dispositif répressif serait une erreur. Son objectif principal n’est pas de sanctionner les organisations, mais de favoriser le développement d’une intelligence artificielle fiable, transparente et respectueuse des droits fondamentaux. Les contrôles et les sanctions constituent avant tout des instruments destinés à assurer l’effectivité du règlement et à instaurer un climat de confiance.

Une logique comparable à celle du RGPD

L’AI Act s’inscrit dans une approche désormais bien connue du droit européen du numérique. Comme le RGPD, il repose sur trois piliers :

  • la responsabilisation des acteurs ;
  • la démonstration de la conformité ;
  • le contrôle par des autorités compétentes.

Les organisations ne doivent pas seulement respecter le règlement. Elles doivent également être en mesure de démontrer qu’elles le respectent. Cette logique est souvent désignée par le principe d’accountability, ou responsabilité démontrable.

Qui contrôlera l’application de l’AI Act ?

L’AI Act prévoit un système de gouvernance associant plusieurs niveaux d’intervention. Chaque État membre devra désigner une ou plusieurs autorités compétentes chargées :

  • de contrôler l’application du règlement ;
  • de traiter certaines réclamations ;
  • de surveiller le marché ;
  • de prendre, le cas échéant, des mesures correctrices.

À l’échelle de l’Union européenne, un dispositif de coordination permettra d’assurer une application harmonisée du règlement. Cette organisation reflète la volonté d’éviter des interprétations divergentes entre les États membres.

Les pouvoirs des autorités compétentes

Les autorités chargées du contrôle disposeront de différents moyens d’action. Elles pourront notamment :

  • demander des informations ;
  • exiger la communication de documents ;
  • vérifier la conformité d’un système d’intelligence artificielle ;
  • réaliser des investigations ;
  • demander la mise en conformité d’un système ;
  • ordonner certaines mesures correctrices.

L’objectif est d’identifier les risques avant qu’ils ne produisent des conséquences importantes. Le contrôle participe ainsi à une logique de prévention autant que de répression.

Les sanctions administratives

L’AI Act prévoit des sanctions administratives pouvant atteindre des montants particulièrement élevés. Le montant applicable dépend notamment :

  • de la nature du manquement ;
  • de sa gravité ;
  • de son caractère intentionnel ou non ;
  • des mesures prises pour corriger la situation ;
  • du niveau de coopération de l’organisation.

À l’instar du RGPD, les plafonds prévus sont élevés afin de garantir un effet réellement dissuasif, notamment pour les acteurs économiques de grande taille. Dans la pratique, les autorités tiendront compte des circonstances propres à chaque dossier.

Toutes les irrégularités ne conduisent pas à une sanction

Il est important de rappeler que l’AI Act ne prévoit pas une sanction automatique à chaque manquement. Comme dans d’autres domaines du droit de la conformité, plusieurs réponses sont possibles. Selon les situations, l’autorité compétente pourra notamment :

  • demander des explications ;
  • adresser des recommandations ;
  • exiger une mise en conformité ;
  • imposer certaines mesures correctrices ;
  • prononcer une sanction administrative lorsque les circonstances le justifient.

L’objectif demeure la réduction des risques et la protection des personnes.

Le risque réputationnel

Les conséquences d’un manquement dépassent largement la seule sanction financière. Une organisation qui déploie une intelligence artificielle de manière irresponsable peut subir :

  • une perte de confiance de ses clients ;
  • une dégradation de son image ;
  • des difficultés avec ses partenaires ;
  • une couverture médiatique défavorable ;
  • une remise en cause de certains projets.

Dans un environnement où la confiance constitue un avantage concurrentiel, le risque réputationnel est souvent plus important que le risque financier.

Les conséquences contractuelles

Les exigences relatives à l’intelligence artificielle se retrouvent progressivement dans les relations contractuelles. Les donneurs d’ordre demandent de plus en plus à leurs prestataires de démontrer :

  • leur conformité réglementaire ;
  • leur gouvernance de l’IA ;
  • leurs mesures de cybersécurité ;
  • leurs garanties relatives à la protection des données.

Une organisation incapable d’apporter ces garanties peut rencontrer des difficultés :

  • pour accéder à certains marchés ;
  • pour répondre à des appels d’offres ;
  • pour conclure des partenariats ;
  • pour conserver certains clients.

La conformité devient progressivement un critère de compétitivité.

Le risque contentieux

Le non-respect des règles applicables à l’intelligence artificielle peut également conduire à des contentieux. Selon les circonstances, une organisation peut être confrontée :

  • à une action en responsabilité civile ;
  • à un litige contractuel ;
  • à une contestation fondée sur une discrimination ;
  • à une réclamation en matière de protection des données ;
  • à un recours devant les juridictions administratives.

L’AI Act ne crée donc pas seulement des obligations nouvelles. Il s’inscrit dans un environnement juridique déjà particulièrement dense.

Pourquoi documenter la conformité ?

Face à un contrôle ou à un contentieux, une organisation devra démontrer qu’elle a agi avec diligence. Cette démonstration repose sur plusieurs éléments. Par exemple :

  • une cartographie des usages ;
  • une évaluation des risques ;
  • une politique interne ;
  • des actions de formation ;
  • des audits ;
  • une documentation des décisions.

Ces documents permettent de montrer que l’organisation a adopté une démarche structurée. Ils constituent souvent le meilleur moyen de limiter les risques juridiques.

Une approche fondée sur l’amélioration continue

La conformité à l’AI Act ne doit pas être envisagée comme une opération ponctuelle. Les technologies évoluent. Les usages se développent. Les réglementations se complètent. Les organisations doivent donc inscrire leur démarche dans une logique d’amélioration continue. Cette approche suppose notamment :

  • une veille réglementaire ;
  • des audits réguliers ;
  • une actualisation des politiques internes ;
  • une formation continue des collaborateurs ;
  • une réévaluation périodique des risques.

La conformité devient un processus permanent.

De la conformité à la confiance

L’AI Act ne poursuit pas uniquement un objectif juridique. Il cherche également à instaurer un climat de confiance. Une organisation capable de démontrer qu’elle maîtrise les risques liés à l’intelligence artificielle bénéficie généralement :

  • d’une meilleure crédibilité ;
  • d’une plus grande confiance de ses clients ;
  • de relations renforcées avec ses partenaires ;
  • d’une meilleure acceptabilité de ses projets.

La conformité devient ainsi un facteur de création de valeur.

L’émergence d’une gouvernance européenne des technologies

L’AI Act ne constitue pas un texte isolé. Il s’inscrit dans un ensemble plus vaste comprenant notamment :

  • le RGPD ;
  • le Data Act ;
  • le Data Governance Act ;
  • la directive NIS2 ;
  • le règlement DORA ;
  • le Digital Services Act ;
  • le Digital Markets Act.

Pris ensemble, ces textes traduisent une évolution profonde du droit européen. L’Union européenne ne régule plus seulement les données ou les plateformes. Elle construit progressivement un cadre global de gouvernance des technologies numériques, fondé sur la maîtrise des risques, la transparence, la sécurité et la responsabilité. Cette évolution participe à l’affirmation du droit du numérique comme une branche du droit de plus en plus autonome, structurée autour d’un objectif commun : garantir une innovation responsable au service des personnes.

Qui contrôlera l’application de l’AI Act en France?

Les autorités compétentes en France : une répartition selon les domaines de compétence

Contrairement au RGPD, dont le contrôle relève principalement d’une autorité unique, l’application de l’AI Act repose sur une logique plus décentralisée. Le règlement européen prévoit que chaque État membre désigne une ou plusieurs autorités compétentes en fonction de leur expertise sectorielle. La France a ainsi choisi de s’appuyer sur les autorités administratives déjà investies de missions de régulation dans différents domaines du numérique. Cette organisation permet de mobiliser des compétences techniques, juridiques et sectorielles adaptées aux différents usages de l’intelligence artificielle. Selon les secteurs concernés, plusieurs autorités pourront donc intervenir.

La CNIL : l’autorité de référence pour les données personnelles et les droits fondamentaux

La Commission nationale de l’informatique et des libertés (CNIL) occupe une place centrale. Son intervention ne découle pas uniquement du RGPD. L’intelligence artificielle traite très souvent des données personnelles. La CNIL est donc appelée à contrôler notamment :

  • les traitements de données personnelles réalisés par des systèmes d’IA ;
  • le respect des principes du RGPD ;
  • les analyses d’impact relatives aux traitements les plus sensibles ;
  • les droits des personnes concernées ;
  • les mesures de transparence ;
  • les questions relatives aux décisions automatisées.

La CNIL joue également un rôle important d’accompagnement des organisations à travers ses recommandations, guides pratiques et travaux de doctrine. Pour de nombreuses entreprises, elle demeurera l’interlocuteur principal en matière d’intelligence artificielle.

L’Autorité de régulation de la communication audiovisuelle et numérique (Arcom)

Lorsque l’intelligence artificielle est utilisée dans les secteurs des médias, des plateformes numériques ou des contenus audiovisuels, l’Arcom peut être amenée à intervenir dans son champ de compétences. Son action concerne notamment :

  • la diffusion de contenus numériques ;
  • certaines obligations applicables aux plateformes ;
  • les enjeux liés à la désinformation ;
  • la protection du public ;
  • les contenus générés artificiellement lorsqu’ils relèvent de son domaine de compétence.

L’essor des contenus synthétiques (« deepfakes ») renforce progressivement l’importance de cette autorité.

L’Autorité de la concurrence

L’intelligence artificielle soulève également des questions économiques. L’Autorité de la concurrence peut intervenir lorsque l’utilisation de l’IA est susceptible de :

  • fausser la concurrence ;
  • favoriser des pratiques anticoncurrentielles ;
  • créer des situations d’abus de position dominante ;
  • limiter l’accès au marché de certains acteurs.

Les grands modèles d’intelligence artificielle et les infrastructures de calcul font aujourd’hui l’objet d’une attention particulière au regard du droit de la concurrence.

L’ANSSI : la cybersécurité des systèmes d’intelligence artificielle

L’Agence nationale de la sécurité des systèmes d’information (ANSSI) n’est pas une autorité de contrôle de l’AI Act au sens strict. Elle joue néanmoins un rôle essentiel en matière de cybersécurité. Ses missions concernent notamment :

  • la sécurisation des systèmes d’information ;
  • la gestion des incidents de cybersécurité ;
  • la protection des opérateurs d’importance vitale ;
  • l’accompagnement des organisations dans la mise en œuvre de mesures de sécurité.

Pour les systèmes d’intelligence artificielle utilisés dans des secteurs sensibles, les exigences de cybersécurité de l’AI Act rejoignent largement les recommandations de l’ANSSI.

Les autorités sectorielles

Dans certains domaines réglementés, d’autres autorités conservent leurs compétences propres. Par exemple : Dans le secteur financier Les établissements financiers demeurent soumis au contrôle de :

  • l’Autorité de contrôle prudentiel et de résolution (ACPR) ;
  • l’Autorité des marchés financiers (AMF), lorsque l’intelligence artificielle est utilisée dans leurs activités.

Dans le domaine de la santé Les dispositifs médicaux intégrant de l’intelligence artificielle peuvent relever notamment :

  • de l’Agence nationale de sécurité du médicament et des produits de santé (ANSM) ;
  • des autorités compétentes en matière de dispositifs médicaux.

Dans le secteur des transports Les autorités spécialisées continuent d’assurer le contrôle des exigences applicables aux systèmes de transport intégrant des fonctions d’intelligence artificielle.

Une coordination nationale

Le Gouvernement français a annoncé la mise en place d’une organisation coordonnée afin d’assurer l’application cohérente de l’AI Act. Cette coordination associe les principales autorités administratives concernées afin :

  • d’éviter les doublons ;
  • d’assurer une interprétation homogène du règlement ;
  • de partager les expertises techniques ;
  • de faciliter l’accompagnement des organisations.

L’objectif est d’offrir une régulation cohérente malgré la diversité des secteurs concernés.

Une gouvernance qui reflète la diversité des risques

Cette répartition des compétences traduit la philosophie même de l’AI Act. L’intelligence artificielle n’est pas un secteur économique autonome. Elle irrigue désormais tous les domaines de la société. Les risques qu’elle soulève sont multiples :

  • protection des données personnelles ;
  • cybersécurité ;
  • concurrence ;
  • santé ;
  • finance ;
  • consommation ;
  • droits fondamentaux.

Il est donc logique que plusieurs autorités exercent leurs compétences respectives sur les différents aspects d’un même système d’intelligence artificielle. Une organisation pourra ainsi être amenée à dialoguer avec plusieurs autorités selon la nature de ses activités.

Encadré pratique — Qui est votre interlocuteur ?

Domaine concernéAutorité principalement compétente Données personnellesCNIL CybersécuritéANSSI Médias, plateformes, contenus Arcom audiovisuels Concurrence économiqueAutorité de la concurrence Banque et assuranceACPR Marchés financiersAMF Dispositifs médicauxANSM Produits industriels et surveillance du Autorités de surveillance du marché compétentes selon le marchésecteur

À retenir

L’AI Act prévoit des mécanismes de contrôle et des sanctions destinés à garantir le respect de ses dispositions. Pour les organisations, le principal enjeu ne réside cependant pas dans la perspective d’une sanction financière, mais dans leur capacité à démontrer une gouvernance responsable de l’intelligence artificielle. Une documentation rigoureuse, une évaluation régulière des risques, une formation continue des collaborateurs et une politique de conformité dynamique constituent les meilleurs moyens de prévenir les difficultés et de renforcer la confiance des parties prenantes. En définitive, la conformité à l’AI Act ne représente pas une contrainte administrative supplémentaire. Elle constitue une opportunité de moderniser la gouvernance de l’organisation et de l’inscrire durablement dans une démarche de responsabilité numérique. Chapitre suivant : Construire une stratégie de responsabilité numérique : intégrer ➡ durablement l’intelligence artificielle dans la gouvernance de l’organisation.

PARTIE IV — Responsabilités et perspectives Chapitre 18 — Anticiper les évolutions :

pourquoi la gouvernance de l’intelligence artificielle ne s’arrête pas à l’AI Act

L’AI Act constitue une étape majeure dans la construction du droit européen de l’intelligence artificielle. Pour la première fois, un texte horizontal encadre les systèmes d’IA selon leur niveau de risque et impose des obligations à l’ensemble des acteurs de la chaîne de valeur. Pour autant, il serait erroné de considérer ce règlement comme un cadre définitif. L’intelligence artificielle évolue à un rythme exceptionnel. Les modèles deviennent plus performants, les usages se diversifient, les interactions avec les autres technologies se multiplient et les attentes de la société se transforment. Le droit devra donc continuer à évoluer. Les organisations qui limiteraient leur démarche à une simple mise en conformité ponctuelle risqueraient rapidement d’être dépassées. L’enjeu est désormais de développer une capacité permanente d’adaptation.

Le droit de l’intelligence artificielle est en construction

Contrairement à des matières juridiques plus anciennes, le droit de l’intelligence artificielle demeure en pleine évolution. L’AI Act constitue une première pierre. Son application sera progressivement précisée :

  • par les lignes directrices de la Commission européenne ;
  • par les recommandations du Bureau européen de l’IA ;
  • par les autorités nationales compétentes ;
  • par la jurisprudence des juridictions nationales et européennes ;
  • par les normes techniques élaborées au niveau européen.

Comme ce fut le cas pour le RGPD, la compréhension pratique du règlement s’enrichira progressivement au fil des décisions et des retours d’expérience. Les organisations devront donc assurer une veille régulière.

Une réglementation européenne de plus en plus cohérente

L’intelligence artificielle n’est pas régie par un texte isolé. Elle s’inscrit désormais dans un ensemble cohérent de réglementations européennes. Parmi les principaux textes figurent notamment :

  • le RGPD, qui protège les données personnelles ;
  • le Data Governance Act, qui favorise le partage des données ;
  • le Data Act, qui encadre l’accès et l’utilisation des données ;
  • la directive NIS2, qui renforce la cybersécurité des organisations essentielles et importantes ;
  • le règlement DORA, applicable au secteur financier ;
  • le Digital Services Act (DSA), qui encadre les plateformes numériques ;
  • le Digital Markets Act (DMA), qui régule les grandes plateformes ;
  • le Cyber Resilience Act, qui renforce la sécurité des produits numériques.

Pris ensemble, ces textes dessinent progressivement une véritable architecture européenne de gouvernance du numérique.

L’essor des normes techniques

Le droit ne repose plus uniquement sur les textes législatifs. Les normes techniques prennent une importance croissante. Elles permettront notamment de préciser :

  • les méthodes d’évaluation des risques ;
  • les exigences de documentation ;
  • les critères de qualité des données ;
  • les modalités de supervision humaine ;
  • les exigences de cybersécurité ;
  • les procédures d’évaluation de conformité.

Ces normes faciliteront la mise en œuvre opérationnelle de l’AI Act. Pour les organisations, elles constitueront des références essentielles.

Une jurisprudence appelée à se développer

Les premières décisions des juridictions européennes et nationales joueront un rôle déterminant. Elles permettront notamment de répondre à des questions telles que :

  • qu’est-ce qu’une supervision humaine effective ?
  • comment apprécier la transparence d’un système ?
  • dans quelles conditions une organisation peut-elle engager sa responsabilité ?
  • comment évaluer un biais algorithmique ?
  • quelles preuves seront exigées en cas de contentieux ?

Cette jurisprudence contribuera progressivement à sécuriser les pratiques.

L’intelligence artificielle générative : un domaine en évolution permanente

Les modèles génératifs connaissent une évolution particulièrement rapide. Chaque nouvelle génération améliore :

  • les capacités de raisonnement ;
  • la qualité rédactionnelle ;
  • la production d’images ;
  • la génération de code ;
  • les capacités multimodales.

Ces évolutions soulèvent continuellement de nouvelles questions juridiques. Par exemple :

  • comment garantir la fiabilité des contenus produits ?
  • comment protéger les œuvres utilisées pour l’entraînement ?
  • comment identifier les contenus synthétiques ?
  • comment préserver la confiance dans l’information ?

Le droit devra accompagner ces évolutions sans freiner l’innovation.

La montée en puissance de l’éthique de l’intelligence artificielle

Toutes les questions ne trouvent pas nécessairement une réponse dans les textes juridiques. Les organisations sont de plus en plus conduites à s’interroger sur les dimensions éthiques de leurs projets. Par exemple :

  • un usage est-il acceptable même lorsqu’il est légal ?
  • une décision automatisée respecte-t-elle les valeurs de l’organisation ?
  • les utilisateurs comprennent-ils réellement le fonctionnement du système ?
  • les bénéfices attendus justifient-ils les risques identifiés ?

L’éthique ne remplace pas le droit. Elle le complète en apportant une réflexion sur les choix de gouvernance.

Une gouvernance adaptable

Face à ces évolutions, les organisations ont intérêt à construire une gouvernance souple. Une gouvernance efficace ne repose pas sur des procédures figées. Elle doit pouvoir évoluer avec :

  • les technologies ;
  • les usages ;
  • les réglementations ;
  • les attentes des parties prenantes.

Cette capacité d’adaptation constitue aujourd’hui un facteur majeur de résilience.

Développer une veille stratégique

La veille ne concerne plus uniquement les juristes. Elle doit associer :

  • la direction générale ;
  • les responsables métiers ;
  • les juristes ;
  • les équipes conformité ;
  • la cybersécurité ;
  • les responsables innovation.

Cette veille peut porter notamment sur :

  • les nouvelles réglementations ;
  • les recommandations des autorités ;
  • les décisions de justice ;
  • les nouveaux outils d’intelligence artificielle ;
  • les incidents majeurs observés dans d’autres organisations.

Une veille organisée permet d’anticiper plutôt que de subir.

L’intelligence artificielle comme avantage concurrentiel

Les organisations qui développent une gouvernance mature de l’intelligence artificielle bénéficient souvent de plusieurs avantages. Elles inspirent davantage confiance. Elles réduisent leurs risques. Elles sécurisent leurs investissements. Elles facilitent leurs relations avec leurs partenaires. Elles répondent plus facilement aux exigences des appels d’offres. La conformité devient ainsi un levier de performance durable.

La responsabilité numérique : une nouvelle vision de la gouvernance

Au-delà de l’AI Act, une évolution plus profonde se dessine. Les organisations ne sont plus seulement évaluées sur leurs performances économiques. Elles sont également attendues sur leur capacité à maîtriser les impacts des technologies qu’elles utilisent. Cette responsabilité concerne :

  • les données ;
  • l’intelligence artificielle ;
  • la cybersécurité ;
  • les plateformes numériques ;
  • les systèmes algorithmiques ;
  • les infrastructures numériques.

Ces domaines, longtemps abordés séparément, convergent progressivement vers une approche commune. Cette approche peut être désignée sous le terme de responsabilité numérique. La responsabilité numérique ne constitue pas une réglementation supplémentaire. Elle représente une manière d’organiser la gouvernance des technologies autour de quelques principes directeurs :

  • anticiper les risques ;
  • protéger les personnes ;
  • garantir la transparence ;
  • assurer la sécurité ;
  • documenter les décisions ;
  • maintenir une supervision humaine ;
  • inscrire l’innovation dans une démarche durable.

Cette vision dépasse largement la seule conformité réglementaire. Elle devient progressivement un facteur de confiance, de compétitivité et de pérennité.

Vers une nouvelle culture juridique

L’intelligence artificielle transforme profondément le rôle des juristes. Leur mission ne consiste plus uniquement à interpréter les textes. Ils participent désormais :

  • à la conception des projets ;
  • à l’évaluation des risques ;
  • à la gouvernance des technologies ;
  • à la définition des politiques internes ;
  • au dialogue entre les équipes techniques et les directions opérationnelles.

Le droit devient un outil d’accompagnement de l’innovation. Cette évolution marque l’émergence d’une nouvelle culture juridique, fondée sur l’anticipation, la transversalité et la responsabilité.

Conclusion générale

L’intelligence artificielle constitue l’une des transformations majeures du XXIᵉ siècle. Comme toute innovation de rupture, elle ouvre des perspectives considérables tout en soulevant des défis inédits. L’AI Act apporte un premier cadre juridique destiné à accompagner cette évolution. Mais le véritable enjeu dépasse la conformité. Les organisations les plus résilientes seront celles qui intégreront durablement la gouvernance de l’intelligence artificielle dans leur stratégie. Elles ne considéreront pas le droit comme une contrainte. Elles en feront un levier de confiance, d’innovation et de performance. Au cœur de cette transformation se trouve une conviction simple : l’innovation technologique n’est durable que lorsqu’elle est accompagnée d’une gouvernance responsable. C’est précisément cette ambition que porte la notion de responsabilité numérique. Elle offre aux organisations un cadre de référence pour concilier innovation, conformité, protection des droits fondamentaux et création de valeur. Dans les années à venir, cette responsabilité numérique ne constituera plus seulement une bonne pratique. Elle deviendra un élément essentiel de la gouvernance des organisations et l’un des marqueurs de leur crédibilité dans un environnement numérique en constante évolution.

À retenir

L’AI Act marque le début d’une nouvelle étape de la régulation des technologies numériques, et non son aboutissement. Les organisations doivent adopter une démarche évolutive, fondée sur la veille, l’amélioration continue et la gouvernance des risques. Plus largement, l’intelligence artificielle invite à repenser la manière dont les technologies sont conçues, déployées et pilotées. Cette évolution conduit à l’émergence d’une véritable culture de la responsabilité numérique, appelée à devenir un pilier de la gouvernance des organisations au cours des prochaines années.

Échangeons sur vos enjeux

Ce guide présente le cadre général. Chaque situation appelle une analyse adaptée : le cabinet vous accompagne dans vos projets comme dans vos contentieux.