Guides & Ressources pratiques
Modèle convocation entretien préalable licenciement : délais, mentions et erreurs à éviter
AI et intelligence artificielle : définition, cadre juridique et enjeux pour la DSI
Points clés de l'article
- L'IA Act définit juridiquement un système d'AI comme tout système fondé sur une machine, conçu pour fonctionner avec des niveaux d'autonomie variables et générant des résultats tels que des prédictions, recommandations ou décisions.
- La réglementation européenne classe les systèmes d'intelligence artificielle en 4 niveaux de risque (inacceptable, haut, limité, minimal), chacun assorti d'obligations distinctes.
- Les systèmes d'AI classés à haut risque imposent des obligations documentaires, techniques et de gouvernance précises, dont le non-respect expose l'entreprise à des amendes pouvant atteindre 35 millions d'euros ou 7 % du chiffre d'affaires mondial.
- La DSI doit articuler conformité IA Act, RGPD et droit de la propriété intellectuelle dans chaque projet d'AI, sous peine de blocages opérationnels et de sanctions cumulatives.
- Une gouvernance algorithmique structurée — registre des systèmes, analyse d'impact, audit des biais, clauses contractuelles adaptées — constitue le socle de conformité attendu.
Besoin d'un juriste freelance ou d'un avocat ?
Accédez en -24h à un avocat d'affaires sélectionné parmi les meilleurs, à des honoraires maîtrisés.
✓ 250+ spécialistes✓ 500+ clients satisfaits✓ -30 à -50% moins cher qu'un cabinet
Sommaire
AI / intelligence artificielle : définition juridique selon l'IA Act
Distinction entre AI, machine learning et automatisation
Cadre réglementaire européen : IA Act, RGPD, propriété intellectuelle
Classification des systèmes d'AI par niveau de risque
Obligations spécifiques pour les AI à haut risque
Responsabilité algorithmique et gouvernance des données
Sanctions encourues en cas de non-conformité
Bonnes pratiques juridiques pour la DSI
AI / intelligence artificielle : définition juridique selon l'IA Act
Le règlement européen sur l'intelligence artificielle (règlement UE 2024/1689), dit IA Act, est entré en vigueur le 1er août 2024. Il pose pour la première fois une définition juridique harmonisée du système d'AI à l'échelle de l'Union européenne. Selon l'article 3, un système d'intelligence artificielle désigne « un système fondé sur une machine, conçu pour fonctionner avec des niveaux d'autonomie variables et qui peut faire preuve d'adaptabilité après déploiement, et qui, pour des objectifs explicites ou implicites, déduit, à partir des entrées qu'il reçoit, la manière de générer des résultats tels que des prédictions, du contenu, des recommandations ou des décisions ».
Cette définition est volontairement large. Elle englobe aussi bien les modèles de langage (large language models) que les systèmes de scoring, les outils de reconnaissance d'image ou les moteurs de recommandation. Pour la DSI, cette amplitude signifie qu'un nombre élevé d'outils déjà déployés en entreprise — parfois considérés comme de simples logiciels — peuvent entrer dans le périmètre réglementaire de l'IA Act.
Le texte distingue par ailleurs deux rôles : le fournisseur (provider), qui développe ou met sur le marché un système d'AI, et le déployeur (deployer), qui utilise ce système sous sa propre autorité. Une entreprise française qui intègre un outil d'AI d'un éditeur tiers est juridiquement un déployeur, et porte à ce titre des obligations propres.
Distinction entre AI, machine learning et automatisation
La confusion entre AI, machine learning et automatisation classique génère des erreurs de qualification juridique. Or, la qualification détermine le régime applicable.
| Concept | Définition opérationnelle | Exemple concret | Régime IA Act |
|---|---|---|---|
| Automatisation classique | Exécution de règles prédéfinies, sans capacité d'adaptation | Script RPA de saisie comptable | Hors périmètre |
| Machine learning | Sous-ensemble de l'AI : le système apprend à partir de données et améliore ses performances sans reprogrammation explicite | Modèle de détection de fraude bancaire | Dans le périmètre |
| AI générative | Système capable de produire du contenu nouveau (texte, image, code) à partir de modèles entraînés | ChatGPT, Midjourney, Copilot | Dans le périmètre, obligations spécifiques pour les modèles à usage général |
Un outil de business intelligence qui applique des filtres statiques sur une base de données n'est pas un système d'AI au sens du règlement. En revanche, dès qu'un algorithme adapte ses résultats en fonction de données d'entraînement, il entre dans le champ de l'IA Act. La DSI doit donc cartographier ses outils selon cette grille avant tout projet de mise en conformité.
Cadre réglementaire européen : IA Act, RGPD, propriété intellectuelle
Le cadre juridique applicable à l'intelligence artificielle en Europe repose sur 3 piliers qui se superposent.
L'IA Act constitue le socle réglementaire spécifique. Il s'applique de manière échelonnée : les interdictions relatives aux systèmes à risque inacceptable sont effectives depuis le 2 février 2025, les obligations relatives aux modèles d'AI à usage général s'appliqueront à partir du 2 août 2025, et les règles relatives aux systèmes à haut risque entreront en vigueur le 2 août 2026.
Le RGPD (règlement UE 2016/679) s'applique dès qu'un système d'AI traite des données personnelles. L'article 22 encadre les décisions individuelles automatisées : toute personne a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques ou significatifs. Pour la DSI, cela implique de prévoir un mécanisme d'intervention humaine dans tout processus décisionnel automatisé touchant des salariés, clients ou candidats.
Le droit de la propriété intellectuelle soulève des questions non encore tranchées en droit français. La titularité des contenus générés par une AI reste incertaine. Le Conseil d'État, dans son étude annuelle de 2022 consacrée à l'intelligence artificielle, a recommandé de clarifier le statut juridique des créations algorithmiques. En attendant, les contrats avec les fournisseurs d'AI doivent prévoir explicitement la répartition des droits sur les outputs.
Articuler IA Act, RGPD et propriété intellectuelle dans chaque projet d'AI suppose un cadrage juridique précis dès la phase de conception.
Consultez un avocat spécialisé en intelligence artificielle
Classification des systèmes d'AI par niveau de risque
L'IA Act organise les systèmes d'AI en 4 catégories de risque. Cette classification détermine directement les obligations applicables.
| Niveau de risque | Description | Exemples | Régime |
|---|---|---|---|
| Inacceptable | Systèmes interdits car contraires aux droits fondamentaux | Notation sociale généralisée, manipulation subliminale, reconnaissance faciale en temps réel dans l'espace public (sauf exceptions) | Interdiction totale |
| Haut | Systèmes utilisés dans des domaines sensibles listés à l'annexe III | Recrutement automatisé, scoring crédit, dispositifs médicaux, infrastructure critique | Obligations renforcées |
| Limité | Systèmes interagissant avec des personnes | Chatbots, deepfakes, systèmes de génération de contenu | Obligations de transparence |
| Minimal | Tous les autres systèmes | Filtres anti-spam, jeux vidéo, optimisation logistique | Pas d'obligation spécifique |
Pour la DSI, l'enjeu consiste à qualifier chaque système d'AI déployé ou en cours de déploiement selon cette grille. Un outil de tri automatique de CV, par exemple, relève du haut risque. Un chatbot de support client relève du risque limité, avec une obligation de signaler à l'utilisateur qu'il interagit avec une AI.
Obligations spécifiques pour les AI à haut risque
Les systèmes d'intelligence artificielle classés à haut risque concentrent l'essentiel des exigences réglementaires. L'IA Act impose aux fournisseurs et aux déployeurs un ensemble d'obligations cumulatives.
Pour le fournisseur : mise en place d'un système de gestion des risques (article 9), gouvernance des données d'entraînement (article 10), documentation technique détaillée (article 11), enregistrement automatique des événements (logs) pendant toute la durée de vie du système (article 12), transparence vis-à-vis du déployeur (article 13), contrôle humain effectif (article 14), et marquage CE avant mise sur le marché.
Pour le déployeur (c'est-à-dire l'entreprise utilisatrice) : utilisation conforme aux instructions du fournisseur, surveillance du fonctionnement du système, conservation des logs générés pendant au moins 6 mois, réalisation d'une analyse d'impact sur les droits fondamentaux lorsque le système est utilisé par un organisme de droit public ou un opérateur de service essentiel, et information des personnes concernées.
La DSI porte directement la responsabilité opérationnelle de ces obligations côté déployeur. Cela suppose de négocier des clauses contractuelles précises avec les fournisseurs d'AI : accès à la documentation technique, transmission des logs, garantie de conformité au règlement, et mécanisme de notification en cas de dysfonctionnement.
Structurer les contrats fournisseurs d'AI pour couvrir les obligations de déployeur est un prérequis de conformité.
Faites-vous accompagner par un avocat en intelligence artificielle
Responsabilité algorithmique et gouvernance des données
La responsabilité algorithmique désigne l'obligation pour une organisation de rendre compte des décisions prises ou influencées par un système d'AI. Ce concept, encore émergent en droit français, se structure autour de 3 axes.
La traçabilité : chaque décision algorithmique doit pouvoir être reconstituée. L'IA Act impose la conservation des logs ; le RGPD impose de pouvoir expliquer la logique du traitement à la personne concernée (articles 13, 14 et 15). La DSI doit s'assurer que les systèmes déployés permettent techniquement cette traçabilité.
L'auditabilité des biais : un système d'AI entraîné sur des données historiques peut reproduire ou amplifier des discriminations. La CNIL a publié en avril 2024 ses premières recommandations sur l'application du RGPD aux systèmes d'AI, insistant sur la nécessité de tester les biais avant et après déploiement. En matière de recrutement, le Défenseur des droits a alerté dès 2020 sur les risques de discrimination algorithmique.
La gouvernance des données : la qualité, la licéité et la représentativité des données d'entraînement conditionnent la conformité du système. L'article 10 de l'IA Act impose des critères précis de gouvernance des jeux de données pour les systèmes à haut risque : pertinence, représentativité, absence d'erreurs, complétude.
Sanctions encourues en cas de non-conformité
L'IA Act prévoit un régime de sanctions graduées, aligné sur le modèle du RGPD mais avec des plafonds supérieurs.
| Type d'infraction | Amende maximale |
|---|---|
| Utilisation d'un système d'AI interdit (risque inacceptable) | 35 millions € ou 7 % du CA mondial annuel |
| Non-respect des obligations pour les systèmes à haut risque | 15 millions € ou 3 % du CA mondial annuel |
| Fourniture d'informations inexactes aux autorités | 7,5 millions € ou 1 % du CA mondial annuel |
Ces sanctions s'ajoutent à celles du RGPD (jusqu'à 20 millions d'euros ou 4 % du CA mondial) en cas de manquement cumulé. En France, la CNIL a été désignée comme autorité compétente pour le contrôle des systèmes d'AI traitant des données personnelles. Le règlement prévoit également la désignation d'une autorité nationale de surveillance du marché, dont les contours sont en cours de définition.
Au-delà des amendes, le non-respect de l'IA Act peut entraîner le retrait du système du marché européen ou l'interdiction de son utilisation, ce qui représente un risque opérationnel direct pour la DSI.
Anticiper les sanctions suppose de cartographier les systèmes d'AI déployés et d'évaluer leur niveau de risque dès maintenant.
Évaluez votre exposition avec un avocat spécialisé en intelligence artificielle
Bonnes pratiques juridiques pour la DSI
La mise en conformité des systèmes d'AI ne relève pas d'un projet ponctuel. Elle s'intègre dans une gouvernance continue. Voici les actions structurantes à engager.
1. Cartographier les systèmes d'AI existants. Recenser tous les outils utilisant des algorithmes adaptatifs, y compris ceux intégrés dans des solutions SaaS tierces. Qualifier chacun selon la classification par risque de l'IA Act.
2. Constituer un registre des systèmes d'AI. L'IA Act impose l'enregistrement des systèmes à haut risque dans une base de données européenne (article 71). En interne, un registre centralisé permet de piloter la conformité.
3. Réaliser des analyses d'impact. Pour les systèmes à haut risque traitant des données personnelles, l'analyse d'impact relative à la protection des données (AIPD, article 35 du RGPD) est obligatoire. L'IA Act ajoute une analyse d'impact sur les droits fondamentaux pour certains déployeurs.
4. Auditer les contrats fournisseurs. Vérifier que les contrats prévoient : l'accès à la documentation technique, la conformité au règlement, la répartition des responsabilités, les clauses de propriété intellectuelle sur les outputs, et les conditions de transfert de données hors UE.
5. Former les équipes. L'article 4 de l'IA Act impose une obligation de « maîtrise de l'AI » (AI literacy) pour tout le personnel impliqué dans le déploiement ou l'utilisation de systèmes d'AI. La DSI est en première ligne pour organiser cette montée en compétences.
6. Mettre en place un comité de gouvernance AI. Associant DSI, direction juridique, DPO et métiers, ce comité valide les déploiements, surveille les incidents et pilote les audits de conformité.
FAQ
Quels systèmes d'AI sont concernés par l'IA Act dans une entreprise ?
Tout système fondé sur une machine qui génère des prédictions, recommandations, décisions ou contenus avec un degré d'autonomie variable entre dans le périmètre. Cela inclut les outils de machine learning, les chatbots, les systèmes de scoring et les modèles génératifs, y compris lorsqu'ils sont intégrés dans des solutions SaaS tierces.
La DSI est-elle juridiquement responsable des systèmes d'AI déployés ?
En tant que déployeur au sens de l'IA Act, l'entreprise porte des obligations spécifiques : surveillance du système, conservation des logs, information des personnes concernées. La DSI, en charge opérationnelle de ces systèmes, est directement impliquée dans l'exécution de ces obligations.
Quelle est la différence entre les sanctions de l'IA Act et celles du RGPD ?
Les deux régimes de sanctions sont cumulatifs. L'IA Act prévoit des amendes allant jusqu'à 35 millions d'euros ou 7 % du CA mondial pour les infractions les plus graves. Le RGPD plafonne à 20 millions d'euros ou 4 % du CA mondial. Une même utilisation d'AI peut enfreindre les deux textes simultanément.
Quand les obligations de l'IA Act entrent-elles en vigueur ?
L'entrée en vigueur est échelonnée. Les interdictions des systèmes à risque inacceptable s'appliquent depuis le 2 février 2025. Les obligations relatives aux modèles d'AI à usage général s'appliqueront à partir du 2 août 2025. Les règles relatives aux systèmes à haut risque entreront en vigueur le 2 août 2026.
Faut-il réaliser une analyse d'impact pour chaque système d'AI ?
L'analyse d'impact relative à la protection des données (AIPD) est obligatoire dès qu'un système d'AI traite des données personnelles avec un risque élevé pour les droits des personnes. L'IA Act ajoute une analyse d'impact sur les droits fondamentaux pour les déployeurs publics ou les opérateurs de services essentiels utilisant des systèmes à haut risque.
Pour aller plus loin
Entrée en vigueur du règlement européen sur l'IA : questions-réponses - CNIL
Loi sur l'IA de l'UE : première réglementation de l'intelligence artificielle - Parlement européen
AI Act : le règlement européen sur l'intelligence artificielle - Vie-publique.fr
SWIM LEGAL est une alternative au cabinet d’avocats traditionnel pour les besoins juridiques des entreprises. Incubé par le Barreau de Paris, SWIM a reçu le Prix de l’Innovation pour sa solution permettant à toute entreprise, quelle que soit sa taille ou sa localisation, d’accéder rapidement via la plateforme à des avocats d’affaires expérimentés. Les entreprises peuvent déposer leur besoin — qu’il s’agisse d’un dossier, d’une consultation ou d’un renfort temporaire — de manière confidentielle et recevoir des propositions d’avocats pour répondre rapidement à leur demande.
