Guide pratique IA — 2026 : anticiper les risques éthiques et juridiques

  • Ecrit le 12 juin 2026
  • ParFatima Ghilassene

Fournisseurs et déployeurs de solutions d’IA : ce guide vous propose un éclairage juridique et opérationnel structuré en douze parties, couvrant chaque étape du cycle de vie d’un système d’intelligence artificielle — de l’entraînement du modèle à la clause contractuelle de fin de contrat. Il intègre les dernières évolutions réglementaires de juin 2026.

Au sommaire : bases légales RGPD pour l’entraînement · qualité des données et biais · AIPD/DPIA · classification AI Act · articulation RGPD / AI Act · obligations du déployeur · transferts hors EEE · Shadow AI · propriété intellectuelle · encadrement contractuel · matrice RACI · FAQ.

I. Sécuriser l’entraînement des modèles : le défi des données massives

Le développement d’une IA performante repose sur la qualité et la quantité de ses données d’entraînement. Dès lors que ces données incluent des informations relatives à des personnes physiques identifiées ou identifiables, le RGPD s’applique de plein droit dès la phase de R&D, même avant toute commercialisation.

A. Choisir la bonne base légale (art. 6 RGPD)

En conformité avec la doctrine de la CNIL et les lignes directrices du CEPD, deux bases légales sont principalement envisagées pour la phase d’entraînement :

  • L’intérêt légitime (art. 6-1 f) : fréquemment invoqué pour la R&D. Il exige un test de mise en balance (LIA) démontrant que l’innovation ne porte pas une atteinte disproportionnée aux droits fondamentaux des personnes concernées.
  • Le consentement (art. 6-1 a) : indispensable lorsque les données sont collectées directement auprès des utilisateurs à des fins d’amélioration du modèle, ou lorsque le traitement porte sur des données sensibles au sens de l’article 9 du RGPD.

B. Appliquer une minimisation stricte des données (art. 5-1 c RGPD)

Le principe de minimisation impose de mettre en œuvre, avant la phase d’apprentissage, des techniques de pseudonymisation, de filtrage et d’anonymisation irréversible. Cette étape conditionne la licité de l’ensemble du traitement.

II. La qualité des données : le rempart contre les biais discriminatoires

Des données d’entraînement biaisées produisent des algorithmes discriminatoires, exposant leurs concepteurs à des sanctions RGPD et à une interdiction de mise sur le marché au titre de l’AI Act.

A. Le cadre légal de la qualité des données

  • Principe de loyauté (art. 5-1 a RGPD) : un algorithme qui discrimine de manière opaque ou reproduit des inégalités systémiques viole ce principe fondamental.
  • AI Act, articles 10 et 15 : pour les systèmes à Haut Risque, les datasets doivent être pertinents, représentatifs et exempts d’erreurs (dispositions pleinement applicables depuis août 2026).

B. La feuille de route pour auditer vos datasets

  • Auditer la représentativité statistique : équilibrer les classes par suréchantillonnage ou diversification des sources.
  • Traquer les variables proxies : supprimer une variable sensible ne suffit pas — l’IA peut la reconstruire via des critères corrélés (code postal, centres d’intérêt).
  • Exploiter la dérogation de l’AI Act (art. 10-5) : traitement ponctuel de données sensibles autorisé pour détecter et corriger les biais, sous réserve de mesures de sécurité renforcées.

III. L’Analyse d’Impact (AIPD) : l’outil maître de cartographie des risques

L’AIPD (ou DPIA) est obligatoire en vertu de l’article 35 du RGPD dès lors que le traitement présente un risque élevé (profilage à grande échelle, décision automatisée, surveillance systématique). L’obligation pèse sur le Responsable du Traitement — le déployeur — qui doit la co-réaliser avec le fournisseur.

IV. Déterminer sa classe de risque au titre de l’AI Act

L’AI Act classe les systèmes en quatre catégories (risque inacceptable, haut risque, risque limité, risque minimal). Fournisseur et déployeur doivent co-évaluer la classification de la solution et en tirer les obligations correspondantes.

V. Le choc des qualifications : RGPD vs AI Act

Le RGPD protège les données personnelles ; l’AI Act encadre le produit et son niveau de risque. Les rôles ne se recoupent pas automatiquement : un même acteur peut être responsable du traitement (RGPD) et déployeur (AI Act). Un contrat ne peut pas se contenter d’un DPA standard — il doit intégrer une dimension conformité AI Act spécifique pour chaque partie.

VI. Les obligations spécifiques du déployeur : surveillance et espace public

Le déployeur ne peut se décharger de sa responsabilité sur son fournisseur. En tant que responsable du traitement, il porte des devoirs stricts lors de la mise en production.

La gouvernance humaine (Human-in-the-loop)

En vertu de l’article 22 du RGPD, le déployeur doit garantir le droit des personnes à ne pas faire l’objet d’une décision exclusivement automatisée. Une supervision humaine effective doit être implémentée et documentée.

VII. Flux internationaux, cycle de vie et souveraineté des modèles

L’encadrement des transferts hors EEE (art. 44 à 49 RGPD)

Depuis l’arrêt Schrems II (CJUE, C-311/18), tout recours à des puissances de calcul étrangères impose une vigilance accrue. Les sous-traitants américains doivent être certifiés Data Privacy Framework (DPF) ; à défaut, des Clauses Contractuelles Types (SCC) assorties d’un Transfer Impact Assessment (TIA) sont obligatoires.

Souveraineté et cycle de vie

  • Risque Cloud Act : pour les secteurs sensibles (santé, banque, secteur public), privilégier les modèles open source hébergés sur des infrastructures SecNumCloud.
  • Purge post-entraînement (art. 5-1 e RGPD) : les données d’apprentissage doivent être purgées ou anonymisées une fois les poids du modèle fixés.
  • Machine Unlearning (art. 17 RGPD) : les architectures doivent permettre d’effacer l’influence d’une donnée spécifique sans détruire le modèle.

VIII. Transparence et gouvernance interne : lutter contre le Shadow AI

Le Shadow AI est le risque opérationnel numéro un pour les déployeurs : des collaborateurs utilisent des outils d’IA générative grand public pour y injecter des données clients ou des secrets d’affaires, en dehors de tout contrôle de la DSI et du DPO. Une politique interne d’usage de l’IA, une charte et des formations sont indispensables.

IX. Propriété intellectuelle et IA : entrée et sortie

Le droit d’auteur à l’entrée (données d’entraînement)

L’aspiration de contenus protégés est encadrée par l’exception TDM (Text and Data Mining) de la directive 2019/790. Si un ayant droit exerce son opt-out, le fournisseur doit retirer ces contenus de son dataset. L’AI Act impose la publication d’un résumé des contenus utilisés pour l’entraînement.

La titularité à la sortie (outputs générés)

En droit français, une création purement générée par une IA sans intervention humaine créative ne bénéficie pas de la protection du droit d’auteur. Les CGS du fournisseur doivent clarifier la répartition et la cession des droits sur les outputs générés.

X. L’encadrement contractuel : au-delà du DPA classique

Face aux spécificités des LLM et de l’IA prédictive, les clauses traditionnelles de l’article 28 du RGPD doivent être profondément refondues.

A. Le DPA « Spécial IA » — deux clauses critiques

  • Clause de non-réutilisation pour l’entraînement global : le DPA doit stipuler si le fournisseur peut utiliser les données métiers et les prompts pour réentraîner son modèle général.
  • Sort des données en fin de contrat : préciser le sort des modèles fine-tunés — qui conserve la propriété des poids mathématiques ajustés grâce aux données du client ?

B. Les clauses de responsabilité produit et AI Act

  • Garantie de conformité AI Act : certification que le système a fait l’objet d’une évaluation appropriée (marquage CE si haut risque).
  • Clause de déchéance (art. 25 AI Act) : toute modification substantielle de l’IA par le déployeur fait basculer la responsabilité sur ce dernier, qui devient le « nouveau fournisseur » du système.

XI. Matrice de gouvernance croisée (RACI de conformité)

La répartition opérationnelle des responsabilités entre fournisseur et déployeur couvre : base légale RGPD, AIPD, classification AI Act, documentation technique, supervision humaine, gestion des droits des personnes, audit et notification CNIL.

XII. Questions fréquentes (FAQ)

Mon entreprise utilise ChatGPT ou Copilot. Est-elle concernée par ces obligations ?

Oui. Dès lors que vos collaborateurs injectent des données personnelles de clients ou de salariés dans un outil IA grand public, votre entreprise est qualifiée de déployeur. Elle doit disposer d’un DPA avec l’éditeur, intégrer le traitement dans son registre et mettre en place une politique interne d’encadrement.

L’AIPD est-elle obligatoire pour tout projet IA ?

Non. L’AIPD est obligatoire lorsque le traitement présente un risque élevé : profilage à grande échelle, décisions automatisées produisant des effets juridiques, surveillance systématique. La CNIL publie une liste des traitements soumis à AIPD obligatoire (délib. n° 2018-326 du 11 octobre 2018).

Quand les obligations « haut risque » de l’AI Act s’appliquent-elles ?

Les dispositions applicables aux systèmes à haut risque (articles 8 à 15 du règlement) entrent pleinement en vigueur en août 2026. Les interdictions relatives aux pratiques inacceptables (art. 5) sont applicables depuis février 2025.

Notre fournisseur IA affirme que son système est conforme RGPD. Est-ce suffisant ?

Non. La conformité RGPD du fournisseur couvre ses propres traitements en tant que sous-traitant. Elle ne dispense pas le déployeur de ses propres obligations : AIPD, information des personnes, gestion des droits, supervision humaine. La conformité se co-gère, elle ne se délègue pas.

Que risque concrètement une entreprise qui ne respecte pas ces obligations ?

RGPD : jusqu’à 20 M€ ou 4 % du CA mondial. AI Act : jusqu’à 35 M€ ou 7 % du CA mondial pour les violations les plus graves (art. 99). S’y ajoutent les risques réputationnels, les actions en responsabilité civile, et pour les systèmes haut risque, l’interdiction de mise sur le marché.

Conclusion — La conformité comme levier de croissance

Anticiper les risques éthiques et juridiques liés à l’IA exige une vision systémique. L’AI Act responsabilise le fournisseur ; le RGPD maintient une exigence de vigilance sur le déployeur. La clé du succès réside dans la transparence contractuelle et technique : architectures documentées, droits clarifiés, responsabilités assumées dès la conception. Une démarche qui transforme la contrainte réglementaire en avantage concurrentiel.

Sources et références

  • Règlement (UE) 2016/679 du 27 avril 2016 (RGPD)
  • Règlement (UE) 2024/1689 du 13 juin 2024 (AI Act)
  • Directive (UE) 2019/790 du 17 avril 2019 (droit d’auteur)
  • CJUE, C-311/18, 16 juillet 2020 (Schrems II)
  • CNIL, décision Clearview AI, 17 octobre 2022
  • CNIL, délib. n° 2018-326 du 11 octobre 2018 (liste AIPD obligatoires)
  • CAA Marseille, 27 novembre 2020 (Lycées de la Région Sud)
  • CE, 30 janvier 2026, n° 506370 (Commune de Nice / CNIL)
  • CEPD, lignes directrices sur l’intérêt légitime (02/2019)

Ce guide est également disponible en format PDF pour impression et archivage.

Télécharger le guide en PDF
  • 13 juin 2026

Maître Fatima Ghilassene

Cet article a été rédigé par maître Fatima GHILASSENE, avocate au Barreau de Lille

Article précèdent

Cela pourrait vous intéresser :

  • All Post
  • Actualités
  • Ressources

À propos de nous

AVOCATE EN DROIT DU NUMÉRIQUE

Newsletter

Tenez-vous informés

Inscrivez-vous à notre newseletter

Vous êtes inscrits à notre Newsletter :) erreur

Articles populaires

  • All Post
  • Actualités
  • Ressources

Articles Similaires

  • All Post
  • Actualités
  • Ressources

Categories

Plan du site

Accueil

À Propos

Domaines d'interventions

Services

Contact

Informations

Politique de confidentialité

Mentions légales

Ressources

Actualités

Nos Horaires

  • Lundi au Vendredi de 09:00 à 19:00

Nous sommes à votre disposition pour toute demande d’information supplémentaire

Prendre Rendez-Vous

© 2024 FG Avocat – Tous droits réservés