L’AI Act, ou RIA, Règlement sur l’Intelligence Artificielle, est un règlement européen visant à donner un cadre réglementaire et juridique commun pour les produits, services et procédés intégrant des systèmes d’IA au sein de l’Union Européenne. Il a été adopté en 2024, et rentre en application progressivement.
Cet article se concentre sur l’AI Act, et ne reprend pas les obligations de conformité à des réglementations existantes, telles que le RGPD ou la directive NIS, avec lesquelles les entreprises sont déjà familiarisées. L’objectif est ici d’apporter un éclairage sur une question clé :
Quelles obligations découlent de l’AI Act pour les entreprises qui mettent à disposition des ChatBot et outils d’IA génératives auprès de leurs salariés ?
On constate en effet une adoption croissante de ces technologies dans les entreprises, qui permettent à leurs collaborateurs d’utiliser des IA génératives comme assistants dans leurs tâches quotidiennes (rédaction, analyse de données, support, etc.), ou qui développent ou intègrent des chatbots pour l’assistance RH ou le support IT.
Face à ces usages, les entreprises doivent s’assurer que ces outils respectent les exigences légales, et notamment les nouvelles obligations apportées par l’AI Act en matière de transparence, de contrôle humain.
Cet article vise donc à fournir des clés de compréhension aux responsables IT, aux directions métiers et aux équipes de conformité.
Pour démarrer, il y a 2 notions fondamentales à comprendre pour permettre à chaque organisation de se positionner sur ses obligations et sa conformité à l’AI Act.
- Le niveau de risques du système d’IA
- Le rôle de l’organisation
Identifier le Niveau de Risque
L’AI Act classifie les systèmes d’IA selon 4 niveaux de risques, pour lesquels des exemples concrets sont donnés. Pour chacun de ces niveaux de risques, les obligations des organisations sont précisées. Cela est résumé dans le tableau ci-dessous :
D’après les exemples fournis, un outil d’IA générative destiné aux salariés d’une entreprise relève donc généralement des systèmes d’IA à "risque limité". Dans l’analyse développée dans cet article, nous faisons l’hypothèse que le système n’est pas utilisé dans des domaines critiques comme le recrutement ou l’évaluation des performances, où il pourrait être considéré comme "à risque élevé". (Bien entendu, c’est aussi un cas d’usage pertinent pour de nombreuses entreprises, qui mériterait un article dédié 😉 ).
Déterminer le rôle de l’organisation
L’organisation doit pouvoir comprendre son positionnement dans la chaine de valeur d’un système d’IA, afin d’en déduire ses obligations.
Les types d’acteurs, décrits dans l’Article 3 de l’AI Act, sont résumés ci-dessous.
| Rôle | Description |
| Fournisseur | L'organisation développe ou fait développer un système d'IA ou un modèle d'IA à usage général et le met sur le marché ou met le système d'IA en service sous son propre nom ou sa propre marque, que ce soit à titre onéreux ou gratuit. |
| Déployeur | L'organisation utilise un système d'IA dans le cadre d'une activité à caractère professionnel (activité non personnelle) |
| Représentant autorisé | L'organisation est établie dans l'UE et a reçu et accepté un mandat écrit d'un fournisseur de système d'IA ou de modèle d'IA à usage général pour, respectivement, exécuter et mener à bien en son nom les obligations et les procédures établies par le présent règlement |
| Importateur | L'organisation établies dans l'Union qui met sur le marché un système d'IA portant le nom ou la marque d'une personne physique ou morale établies dans un pays tiers |
| Distributeur | L'organisation n'est ni fournisseur, ni importateur, mais met un système d'IA à disposition sur le marché de l'UE |
Dans le cas d’usage que nous explorons ici, nous pouvons distinguer 2 cas :
- L’organisation met à disposition de ses salariés un outil d’IA générative développé en interne. Dans ce cas elle se positionne en tant que Fournisseur du système d’IA.
- Dans le 2ème cas, l’organisation propose à ses salariés d’utiliser un système d’IA disponible sur le marché, tel que ChatGPT, Copilot ou encore Le Chat. L’organisation est alors considérée comme Déployeur du système d’IA.
Définir les obligations de transparence
Maintenant que nous avons déterminé le niveau de risques, et le rôle de l’organisation dans ce cas d’usage, nous pouvons en déduire les obligations imposées par l’AI Act, décrites dans l’Article 50, et synthétisées dans le tableau ci-dessous :
| Obligations pour les fournisseurs et déployeurs de systèmes d'IA à risques limités |
| Fournisseur | - Les personnes physiques concernées doivent être informées qu'elles interagissent avec un système d'IA
- les sorties d'un système d'IA doivent être marquées dans un format lisible par machine et identifiables comme ayant été générées ou manipulées par une IA
- Les fournisseurs doivent veiller à ce que leurs solutions techniques soient aussi efficaces, interopérables, solides et fiables que la technologie le permet
|
| Déployeur | - Pour les SIA de reconnaissance des émotions ou qui comportent un système de catégorisation biométrique : les déployeurs doivent informer les personnes qui y sont exposées
- Création de deepfake: le déployeur doit indiquer que ce contenu a été généré ou manipulé par une IA
- Génération de texte publiés dans le but d'informer sur des questions d'intérêt public : les déployeurs indiquent que le texte a été généré ou manipulé par une IA sauf si le contenu généré par l'IA a fait l'objet d'un processus d'examen humaine ou de contrôle éditorial ou lorsqu'une personne physique ou morale assume la responsabilité éditoriale de la publication du contenu
|
| Obligations communes | Les informations qui doivent être indiquées doivent l'être de manière claire et reconnaissable au plus tard au moment de la première interaction ou de la première exposition |
| Bonnes pratiques communes | Des codes de bonnes pratiques relatifs à la détection et à l'étiquetage des contenus générés ou manipulés par une IA pourront être adoptés |
Pour résumer, la notion de transparence doit s’appliquer lors de l’utilisation de l’IA par une personne physique (dès la première utilisation), et également dans le contenu généré.
Par exemple, si une entreprise met en place un chatbot RH capable de répondre aux questions des salariés sur les congés, la paie et le droit du travail : elle doit informer l’utilisateur qu’il s’adresse à une IA, et non à un humain.
Ou encore, si une entreprise de conseil juridique publie une synthèse réglementaire générée par IA, elle doit indiquer clairement que le texte a été généré par IA, ou bien mettre en place des contrôles humains sur le texte généré, et en assumer la responsabilité éditoriale.
Formalisation des usages de l’IA
Par ailleurs, l’Article 4 et l’Article 5 de l’AI Act sont entrés en vigueur le 2 février 2025.
- Article 4 : Les entreprises doivent formaliser leurs usages de l’IA
- Article 5 : Interdiction des systèmes d’IA "à risque inacceptable"
L’Article 4 s’applique au cas d’usage traité dans notre réflexion :
"Les fournisseurs et les déployeurs de systèmes d'IA prennent des mesures pour assurer, dans la mesure du possible, un niveau suffisant de connaissances en matière d'IA à leur personnel et aux autres personnes chargées du fonctionnement et de l'utilisation des systèmes d'IA en leur nom, en tenant compte de leurs connaissances techniques, de leur expérience, de leur éducation et de leur formation, du contexte dans lequel les systèmes d'IA doivent être utilisés et des personnes ou groupes de personnes sur lesquels les systèmes d'IA doivent être utilisés."
En plus des obligations de transparence décrites précédemment, une entreprise utilisatrice d’un système d’IA doit donc également formaliser ses usages de l’IA.
L’AI Act laisse la main aux entreprises pour formaliser leur usage de l’IA en interne. On peut imaginer que cela prenne la forme de sensibilisations, de formations, d’une charte d’utilisation de l’IA, de documentations internes et de recommandations.
Conclusion
Une entreprise qui utilise un système d’IA générative, qu’il soit issu du marché ou développé en interne, doit se concentrer sur 2 axes principaux afin de garantir sa conformité à l’AI Act :
- Transparence : informer clairement les utilisateurs sur le fonctionnement de l’IA et les destinataires sur la nature des contenus générés.
- Sensibilisation et formation : accompagner les collaborateurs dans l’usage responsable de ces outils.
Si l’entreprise développe son propre système d’IA, elle doit également s’assurer de l’efficacité, de la fiabilité et de l’interopérabilité de son système.
Bien entendu, ces exigences s’ajoutent à celles déjà applicables en matière de protection des données. L’AI Act ne remplace pas le RGPD mais vient le compléter. Alors que le RGPD régit le traitement des données personnelles, en imposant des principes de licéité, de minimisation des données, de respect des droits des personnes, de sécurité, l’AI Act s’applique à l’ensemble des systèmes d’IA, qu’ils traitent ou non des données personnelles.
Ainsi, une entreprise qui utilise un ChatBot ou un outil d’IA générative doit non seulement s’assurer de sa conformité au RGPD lorsqu’il traite des données personnelles, mais aussi répondre aux nouvelles exigences de l’AI Act, présentées dans cet article.
Sources
EU Artifical Intelligence Act – résumé de haut niveau Résumé de haut niveau de la loi sur l'intelligence artificielle de l'UEEU Artifical Intelligence Act – Article 3 - DéfinitionsArticle 3 : Définitions - Loi européenne sur l'intelligence artificielleEU Artifical Intelligence Act – Article 4 – Maitrise de l’IAArticle 4 : Littératie en IA | Loi de l’UE sur l’intelligence artificielleEU Artifical Intelligence Act – Article 50 – Obligations de transparenceArticle 50 : Obligations de transparence pour les fournisseurs et les déployeurs de certains systèmes d'intelligence artificielle | Loi européenne sur l'intelligence artificielleCIGREF – guide de mise en œuvre de l’IA ActGuide de mise en œuvre de l’AI Act : Cartographie des obligations applicables aux organisations - Cigref
Retour aux articles