ENJEUX JURIDIQUES DE L'IA ET ACCOMPAGNEMENT DES DIRIGEANTS
Les dirigeants dont les entreprises recourent à l’intelligence artificielle doivent désormais intégrer un corpus dense de normes européennes et françaises (AI Act, RGPD, loi Informatique et Libertés, recommandations CNIL), avec des obligations spécifiques selon les usages et le niveau de risque des systèmes déployés. Le cabinet Jacquet‑Duval Avocat accompagne les entreprises dans la maîtrise de ces enjeux, la mise en conformité de leurs projets d’IA et la structuration d’une gouvernance interne adaptée
CADRE JURIDIQUE DE L’INTELLIGENCE ARTIFICIELLE
Le règlement européen sur l’IA (AI Act)
Le Règlement (UE) 2024/1689 du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle (« AI Act ») constitue le premier texte horizontal encadrant l’IA au niveau de l’Union européenne. Il s’applique à l’ensemble des acteurs qui fournissent, distribuent ou déploient des systèmes ou modèles d’IA sur le marché de l’Union, y compris lorsqu’ils sont intégrés dans des produits ou services plus larges.
Le texte repose sur une approche fondée sur le risque, en distinguant notamment les systèmes à « risque inacceptable » (interdits), les systèmes à « haut risque » (soumis à des exigences renforcées) et d’autres systèmes soumis à des obligations de transparence ou de bonnes pratiques. Certains cas d’usage, tels que les systèmes utilisés pour l’emploi et la gestion de la main‑d’œuvre, l’éducation, le crédit, les dispositifs médicaux ou les infrastructures critiques, sont expressément qualifiés de « haut risque » via l’annexe III du règlement.
L’AI Act prévoit également un régime spécifique pour les « modèles d’IA à usage général » et les modèles génératifs, avec des exigences de transparence, de documentation technique, de gestion des risques et de respect du droit d’auteur. Les sanctions administratives peuvent atteindre des montants très significatifs, proportionnés au chiffre d’affaires mondial et à la gravité des manquements.
Données personnelles, RGPD et loi Informatique et Libertés
Dès lors qu’un système d’IA traite des données à caractère personnel, il est soumis au Règlement (UE) 2016/679 (RGPD) et à la loi n° 78‑17 du 6 janvier 1978 dite « Informatique et Libertés », dans sa version consolidée. La loi française précise que ses dispositions s’appliquent à tout traitement automatisé ou non de données à caractère personnel, selon les critères de territorialité et de responsabilité fixés par son article 3.
En matière de prise de décision automatisée et de profilage, l’article 22 du RGPD consacre le droit pour la personne concernée de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire. Dans ces hypothèses, le responsable de traitement doit garantir la présence de garde‑fous appropriés, dont au minimum l’intervention humaine, la possibilité pour la personne d’exprimer son point de vue et de contester la décision.
La loi Informatique et Libertés impose, en outre, une obligation de maîtrise et d’explicabilité des traitements algorithmiques, en particulier pour certaines décisions administratives individuelles, exigence qui irrigue désormais l’appréciation des systèmes d’IA privés lorsqu’ils produisent des effets sensibles pour les personnes (recrutement, scoring, accès à un service, etc.).
Rôles, autorités de contrôle et lignes directrices
L’AI Act distingue plusieurs catégories d’acteurs (fournisseur, importateur, distributeur, « déployeur » ou utilisateur professionnel), chacun étant soumis à des obligations spécifiques en matière de conformité, documentation, surveillance post‑commercialisation et gestion des incidents. Pour les systèmes d’IA à haut risque, les fournisseurs doivent notamment mettre en place un système de gestion des risques, assurer la qualité des données d’entraînement, de validation et de test, et constituer une documentation technique complète.
Les États membres doivent désigner des autorités compétentes pour surveiller le respect du règlement et instruire les incidents, en coordination avec les autorités européennes (Commission, « AI Office »). En France, la CNIL demeure l’autorité chef de file pour les traitements de données personnelles, tandis que d’autres autorités (DGCCRF, Arcom, autorités sectorielles) interviennent selon les secteurs et cas d’usage.
La CNIL a mis en place un plan d’action spécifique sur l’IA et publie progressivement des recommandations opérationnelles pour concilier innovation et protection des personnes (qualification des traitements, base légale, analyses d’impact, minimisation des données, sécurité, développement responsable des systèmes d’IA).
GOUVERNANCE, FORMATION ET MISE EN CONFORMITÉ
Obligations de formation liées à l’IA
L’article 4 de l’AI Act impose aux fournisseurs et déployeurs de systèmes d’IA de veiller à ce que leurs personnels disposent d’un niveau suffisant de connaissances en matière d’IA, adapté aux risques associés aux systèmes utilisés. Les entreprises qui déploient des systèmes d’IA doivent donc évaluer les besoins de formation, former les utilisateurs des systèmes à risque élevé sur leur fonctionnement et leurs limites, et documenter les actions de formation réalisées.
Cette exigence se combine avec l’obligation générale de sécurité pesant sur l’employeur en droit du travail, qui impose de prévenir les risques liés aux outils numériques et systèmes d’IA, notamment par des actions d’information et de formation appropriées, intégrées au document unique d’évaluation des risques professionnels (DUERP). L’absence de formation adaptée et traçable peut être analysée comme une défaillance dans la mise en œuvre des mesures techniques et organisationnelles attendues au titre de l’AI Act et du RGPD.
Prestations du cabinet en matière de formation et de gouvernance
Le cabinet Jacquet‑Duval Avocat conçoit et anime des programmes de formation « conformité IA » à destination des dirigeants, managers, équipes opérationnelles et services RH, en tenant compte des exigences combinées de l’AI Act, du RGPD, de la loi Informatique et Libertés et du droit du travail. Les formations sont construites sur mesure, en fonction des cas d’usage (RH, relation client, outils bureautiques augmentés, analyse de données, modèles génératifs internes), du niveau de risque des systèmes d’IA et des fonctions exercées par les participants.
Les interventions comprennent notamment :
– un audit préalable des usages d’IA (cartographie des outils, qualification des systèmes au regard de l’AI Act, identification des traitements de données personnelles) ;
– des modules de formation pour les dirigeants et managers (cadre juridique, responsabilités, gouvernance, sanctions, attentes des régulateurs) ;
– des modules opérationnels pour les utilisateurs et les équipes RH (biais, discrimination, erreurs, bonnes pratiques de vérification, remontée d’incidents) ;
– la mise en place d’un dispositif de traçabilité des formations (feuilles de présence, supports, attestations) permettant de démontrer la conformité en cas de contrôle ou de contentieux.
Le cabinet accompagne également la mise en place d’une gouvernance IA interne, via la création ou l’animation d’un comité IA (revue des projets, suivi des incidents, arbitrages éthiques) et l’actualisation régulière des politiques en fonction de l’évolution des textes et lignes directrices.
CHARTE IA D’ENTREPRISE ET RÈGLEMENT INTÉRIEUR
Charte IA : un outil de gouvernance interne
La mise en place d’une charte dédiée à l’usage de l’intelligence artificielle en entreprise est fortement recommandée pour responsabiliser les utilisateurs, encadrer les usages des outils d’IA (notamment génératifs) et limiter les risques de non‑conformité. Cette charte complète la charte informatique en précisant les règles d’utilisation des systèmes d’IA internes ou externes, les interdictions, les procédures de validation et les modalités d’un contrôle proportionné par l’employeur.
Une charte IA bien conçue encadre notamment :
– les finalités autorisées des outils d’IA (assistance à la rédaction, veille, support client, aide à la décision), en cohérence avec les bases légales RGPD et les analyses d’impact réalisées ;
– la gestion des données d’entrée pour éviter la divulgation d’informations couvertes par le secret des affaires, le secret professionnel ou la confidentialité contractuelle ;
– les règles de vérification humaine des résultats (supervision, validation, interdiction de décision entièrement automatisée dans certaines situations) et la traçabilité des décisions prises sur la base de recommandations générées par IA ;
– les principes de non‑discrimination, d’égalité de traitement et de transparence vis‑à‑vis des personnes concernées (collaborateurs, candidats, clients), en conformité avec le droit du travail et le RGPD.
Le cabinet Jacquet‑Duval Avocat assiste les entreprises dans la rédaction, la négociation et la mise à jour de ces chartes, en les articulant avec la charte informatique existante, les accords collectifs et la politique de conformité (données personnelles, éthique, anticorruption, etc.).
Intégration de l’IA dans le règlement intérieur
Lorsque les usages d’IA ont un impact sur l’organisation du travail, la discipline, la santé et la sécurité des salariés ou les modalités de contrôle de leur activité, ils relèvent du champ du règlement intérieur au sens du Code du travail. Il est alors pertinent d’intégrer dans le règlement intérieur, ou dans des notes de service s’y rattachant, des dispositions spécifiques aux usages d’outils numériques et d’IA, ainsi qu’aux contrôles associés, dans le respect des règles de consultation du CSE et de dépôt auprès de l’inspection du travail.
L’intégration de mentions relatives à l’IA dans le règlement intérieur permet de :
– encadrer les conditions d’utilisation des systèmes d’IA par les salariés (interdiction de certains usages personnels, restrictions sur des outils grand public, respect de la propriété intellectuelle et de la confidentialité) ;
– définir les modalités de contrôle de l’usage de ces outils (journalisation, audits, filtrage), dans le respect des principes de proportionnalité et de transparence rappelés par la CNIL ;
– rappeler les règles applicables en matière de sanctions disciplinaires en cas d’usage non conforme de l’IA (plagiat massif, diffusion de contenus illicites, mise en jeu de la responsabilité de l’entreprise).
Le cabinet accompagne les employeurs dans l’analyse des impacts de l’IA sur les relations de travail, la rédaction ou la mise à jour du règlement intérieur, la consultation des représentants du personnel et l’intégration des risques liés à l’IA dans le DUERP et la politique de prévention.
AUDIT ET CARTOGRAPHIE DES USAGES D’IA
Le cabinet Jacquet‑Duval Avocat réalise des audits et cartographies des usages d’IA au sein de l’entreprise, qu’il s’agisse de solutions internes ou d’outils SaaS externes (modèles génératifs, outils RH, CRM augmentés, assistants virtuels, solutions d’analyse de données). Cette cartographie permet de qualifier les systèmes au regard de l’AI Act (niveau de risque, acteurs concernés), d’identifier les traitements de données personnelles associés et de repérer les principaux risques (discrimination, sécurité, secret des affaires, conformité RGPD).
L’intervention comprend notamment :
– le recensement des outils d’IA utilisés par les différentes directions (RH, finance, marketing, DSI, métiers) et de leurs finalités ;
– la qualification des systèmes (haut risque, IA à usage général, outils d’aide à la décision) au regard du Règlement (UE) 2024/1689 ;
– l’identification des traitements de données personnelles et des besoins éventuels d’analyses d’impact (AIPD) au sens du RGPD ;
– la proposition d’une feuille de route de conformité priorisée en fonction des risques et des échéances réglementaires.
EXEMPLE D’USAGE – TRI DE CV ET PRÉSÉLECTION DE CANDIDATS
Une entreprise industrielle met en place un outil d’IA pour trier les CV et présélectionner des candidats. Ce cas d’usage relève des systèmes à haut risque dans le domaine de l’emploi et de la gestion de la main‑d’œuvre. Le cabinet qualifie le système au regard de l’AI Act et du RGPD, encadre contractuellement la relation avec l’éditeur (transparence sur les données d’entraînement, documentation des performances, allocation des responsabilités) et rédige les informations à fournir aux candidats, ainsi que les procédures de contrôle humain des décisions.
STRATÉGIE, FRANCE 2030 ET ACCOMPAGNEMENT DANS LA DURÉE
Les pouvoirs publics français ont inscrit l’intelligence artificielle au cœur de la stratégie « France 2030 », afin de soutenir l’innovation tout en garantissant le respect des droits fondamentaux et la sécurité des utilisateurs. La Direction générale des entreprises (DGE) et les autorités sectorielles accompagnent les entreprises dans l’adoption de technologies d’IA compétitives et responsables.entreprises+2
Le cabinet Jacquet‑Duval Avocat propose un accompagnement dans la durée pour structurer une gouvernance IA alignée avec cette stratégie et les exigences européennes, en lien avec la direction générale, la DSI, le DPO, la direction juridique et les représentants du personnel. Cet accompagnement inclut la mise à jour régulière des chartes, politiques et formations, l’assistance en cas de contrôle d’une autorité (CNIL, inspection du travail, autorités sectorielles) ou de contentieux, ainsi que le conseil dans les projets de déploiement de nouveaux outils d’IA (analyse contractuelle des fournisseurs, clauses de responsabilité, sécurité, données et propriété intellectuelle).deshoulieres-avocats+4
Si vous le souhaitez, je peux maintenant adapter ce contenu à une longueur plus courte (version « synthèse ») pour une page principale, avec un lien vers cette version détaillée.
CAS D’USAGE CONCRETS ET ACCOMPAGNEMENT
Ressources humaines
Outre les outils de tri de CV, de nombreuses directions RH utilisent des modèles génératifs pour rédiger des offres d’emploi, des trames de mails de recrutement ou des supports d’évaluation. Ces usages soulèvent des enjeux de discrimination indirecte, de confidentialité et de propriété intellectuelle, même lorsqu’ils ne sont pas qualifiés de haut risque.
Le cabinet :
– définit des règles d’usage interne (types de contenus pouvant être générés, obligation de relecture, interdiction de certaines demandes aux outils) ;
– intègre ces règles dans la charte IA et, le cas échéant, dans le règlement intérieur ;
– forme les équipes RH à l’identification des biais ou formulations discriminatoires et à la traçabilité des corrections humaines.
Relation client et marketing
Les chatbots et assistants virtuels basés sur l’IA, utilisés pour le service client ou le support après‑vente, traitent souvent des données personnelles et orientent des décisions importantes (conditions commerciales, priorisation des demandes, résolution de litiges). L’IA est également utilisée pour la segmentation de clientèle et la personnalisation de campagnes marketing.
Le cabinet :
– vérifie la conformité des parcours clients (information sur l’utilisation d’un chatbot, possibilité d’obtenir un interlocuteur humain, exercice des droits) ;
– sécurise contractuellement les relations avec les prestataires (sous‑traitance RGPD, sécurité, SLA, responsabilités) ;
– détermine la base légale des traitements de profilage et de recommandation, les modalités de consentement et les mesures de minimisation et de pseudonymisation des données.
Usages internes et analyse de données
Les suites collaboratives et outils bureautiques intègrent désormais des assistants d’IA pour rédiger des emails, produire des comptes rendus, synthétiser des documents ou générer des présentations. Des outils d’IA sont également déployés pour analyser des flux de données et détecter des anomalies, des risques de fraude ou des incidents de sécurité.
Le cabinet :
– aide à définir ce qui peut ou ne peut pas être soumis à ces outils (documents confidentiels, données sensibles, secrets d’affaires) ;
– intègre ces limites dans la charte IA, la charte informatique et, si nécessaire, dans le règlement intérieur ;
– qualifie juridiquement les dispositifs de détection de fraude au regard de l’AI Act et des législations sectorielles, définit les critères de déclenchement des investigations humaines et les procédures de contestation des décisions.