Créer une IA ne se résume pas à coder un algorithme. C’est aussi anticiper les règles qui protègent les données, les droits des personnes et la sécurité des systèmes. Voici une méthode simple pour éviter les pièges juridiques.
1. Concevoir dès le départ : RGPD et sécurité
Avant d’écrire la première ligne de code, cartographiez vos traitements : quelles données utilisez-vous, pour quelles finalités, qui y accède et combien de temps elles sont conservées ?
Le RGPD impose la protection des données dès la conception (article 25). Cela signifie : limiter les données au strict nécessaire, sécuriser les accès, pseudonymiser si possible et tenir des journaux pour tracer les opérations.
Si votre projet présente un risque élevé (profilage, données sensibles, grande échelle), réalisez une analyse d’impact (AIPD). Elle consiste à décrire le traitement, évaluer les risques et prévoir des mesures correctives. Si le risque reste important, la CNIL doit être consultée.
2. Classer votre IA et appliquer l’AI Act
Le Règlement européen sur l’IA (AI Act) classe les systèmes par niveau de risque.
- IA à haut risque : recrutement, santé, éducation… Vous devez prévoir un contrôle humain, une documentation technique complète, des tests de robustesse et un suivi après mise sur le marché.
- Modèles à usage général (GPAI) : vous devez publier un résumé des données d’entraînement, respecter le droit d’auteur et mettre en place une politique interne de conformité.
3. Gérer les données d’entraînement et le droit d’auteur
Avant d’utiliser des corpus, vérifiez leur licéité. La directive européenne 2019/790 autorise la fouille de textes et de données (TDM), mais les titulaires peuvent s’y opposer via un opt-out lisible par machine (robots.txt ou balises).
Pour un modèle à usage général, l’AI Act impose de publier un résumé des sources utilisées sans révéler vos secrets industriels.
4. Santé et secteurs sensibles : obligations renforcées
En santé, le Code de la santé publique (article L.4001-3) impose d’informer le patient lorsqu’un algorithme est utilisé. Les professionnels doivent pouvoir accéder aux données et comprendre le fonctionnement du système.
Dans le secteur public, la transparence et la non-discrimination sont des obligations légales. Prévoyez des audits réguliers et des voies de recours pour les décisions automatisées.
5. Responsabilité en cas de défaut : ce qu’il faut savoir
Une IA peut être considérée comme un produit au sens du Code civil (articles 1245 et suivants). Si elle n’offre pas la sécurité attendue, le producteur est responsable sans faute.
Le défaut s’apprécie selon la présentation, l’usage prévisible et le moment de la mise en circulation.
Une exonération existe : le risque de développement. Elle joue si, au moment de la mise sur le marché, l’état des connaissances mondiales ne permettait pas de détecter le défaut. Pour l’invoquer, il faut prouver une veille scientifique sérieuse.
6. Prévention au travail : intégrer l’IA dans vos risques
Le Code du travail (article L.4121-1) impose à l’employeur de prévenir les risques. L’IA peut générer du stress, des erreurs ou des biais. Intégrez ces risques dans votre document unique (DUERP) et formez vos équipes.
7. Plan d’action en 90 jours
- Semaines 1-2 : cartographie RGPD, mentions d’information, plan AIPD.
- Semaines 3-6 : filtrage des corpus (opt-out TDM), protocole anti-biais, contrôle humain.
- Semaines 7-10 : dossier technique, notices, clauses contractuelles.
- Semaines 11-13 : conformité AI Act, surveillance post-marché, procédure incidents.
8. Clauses contractuelles utiles
- Contrôle humain : « Le client conserve un contrôle humain effectif et suspend l’usage en cas de doute sur la sécurité. »
- Données d’entraînement : « Le fournisseur garantit la licéité des corpus et respecte les opt-out TDM. »
- Sécurité : « Le fournisseur fournit les mises à jour nécessaires et informe des vulnérabilités. »
9. Erreurs fréquentes à éviter
- Mentions RGPD noyées dans les CGU.
- Corpus collectés sans vérifier les opt-out.
- Absence de journaux techniques.
- Pas de contrôle humain sur les décisions sensibles.
- Notices insuffisantes.
10. Checklist pour prouver votre conformité
- Liste des datasets et licences.
- Journaux d’entraînement et d’inférence.
- Rapports de tests de robustesse et d’équité.
- Copies des mentions d’information.
- Politique de mises à jour et preuves de veille scientifique.
Sources publiques
- RGPD : Règlement (UE) 2016/679 (art. 25, 35) – Légifrance/EUR-Lex.
- AI Act : Règlement (UE) 2024/1689 (art. 53) – EUR-Lex.
- Directive TDM : Directive (UE) 2019/790 (art. 4) – EUR-Lex.
- Code civil : art. 1245 s., 1245‑10 – Légifrance.
- Code santé publique : art. L.4001‑3 – Légifrance.
- Code travail : art. L.4121‑1 – Légifrance.
- CJUE : C‑300/95, C‑285/08 – EUR-Lex..
FAQ
Une IA peut-elle être considérée comme un « produit » ?
Oui, selon le Code civil (art. 1245 s.).
Qu’est-ce qu’un « défaut » ?
Absence de sécurité légitime attendue (art. 1245‑3).
Qu’est-ce que le risque de développement ?
Exonération si le défaut était indécelable (art. 1245‑10).
Faut-il une AIPD pour mon IA ?
Oui, si risque élevé (RGPD art. 35).
Quelles mentions RGPD prévoir ?
Identité, finalités, base légale, droits, recours CNIL.
Puis-je utiliser des données personnelles pour l’entraînement ?
Oui, sous conditions RGPD.
Comment gérer les droits d’auteur ?
Respect opt-out TDM + résumé des corpus (AI Act art. 53).
Qu’est-ce qu’un opt-out TDM ?
Signal lisible par machine interdisant la fouille.
Dois-je publier la liste complète des sources ?
Non, seulement un résumé (AI Act art. 53).
Quels usages sont interdits par l’AI Act ?
Notation sociale, certaines biométries en temps réel.
Comment prévenir les biais ?
Datasets représentatifs, audits, contrôle humain.
Quelles obligations en santé ?
Informer le patient, explicabilité (CSP L.4001‑3).
Que risque-t-on sans mises à jour ?
Responsabilité pour produit défectueux.
Quels délais pour agir ?
3 ans (action), 10 ans (forclusion).
Comment intégrer l’IA dans la prévention au travail ?
Inclure dans le DUERP (C. trav. L.4121‑1).