L’entrée en vigueur du règlement européen sur l’intelligence artificielle (IA) se fera de manière graduelle. Le texte ne sera pleinement applicable qu’à partir du 2 août 2026. Julie Jacob et Anne-Marie Pecoraro, associées spécialisées en IP/IT respectivement chez Jacob Avocats et UGGC Avocats, analysent ce sujet épineux pour lequel les entreprises vont néanmoins devoir vite trouver la bonne forme d’encadrement.
Paris a accueilli les 10 et 11 février le Sommet pour l’action sur l’intelligence artificielle (IA), huit mois après la parution du règlement européen sur l’intelligence artificielle (RIA) ou « IA Act » au Journal officiel de l’Union européenne (JOUE) du 12 juillet 2024. L’événement avait clairement pour ambition de renforcer la confiance dans l’innovation technologique tout en respectant les droits fondamentaux. Mais pour les acteurs économiques, les problématiques posées par le RIA sont infinies, allant de la recomposition des procédés de production à l’anticipation de l’impact de cette révolution technologique sur la productivité des individus et des organisations les employant. « Les entreprises traversent une période d’adaptation complexe. Après les efforts considérables déployés pour se conformer au règlement général sur la protection des données (RGPD), l’arrivée de l’IA Act suscite de l’appréhension. Nombre d’entre elles estiment qu’elles viennent tout juste de stabiliser leurs processus de gouvernance des données personnelles et redoutent de devoir à nouveau réorganiser leurs pratiques », souligne Julie Jacob, associée en IP/IT au sein du cabinet Jacob Avocats.
Chartes, cartographies et clauses contractuelles
Pour sécuriser les processus, l’IA Act propose une identification de quatre niveaux de risques : inacceptable, élevé, faible ou minimal. Compte tenu de la complexité du règlement et de son application graduée, les entreprises doivent d’abord se familiariser avec le sujet. « Il faut commencer par cartographier les usages et adopter des chartes d’éthique IA. Ces dernières permettront notamment d’encadrer la confidentialité des données. Des discussions sont également à mener avec le comité social et économique sur l’emploi de l’IA dans les relations avec les salariés », indique Anne-Marie Pecoraro, associée spécialisée en IP/IT chez UGGC Avocats. « Aujourd’hui, ces chartes ne sont pas obligatoires, mais elles permettent de structurer une démarche proactive et de poser des bases solides pour répondre aux futures obligations réglementaires. Elles incluent ainsi souvent des engagements sur la transparence, la gestion des biais et la responsabilité dans l’utilisation des systèmes d’IA », précise Julie Jacob.
Une revue des contrats s’impose également, car des clauses devront sans doute être assez rapidement ajoutées pour donner des garanties, notamment en ce qui concerne les créations utilisant des outils à base d’IA générative (IA Gen). « Il faut pouvoir déterminer si ces dernières sont protégeables ou non. De même, une IA qui aurait fait une utilisation non légitime de données d’entraînement peut avoir enfreint des droits de propriété intellectuelle », met en garde Anne-Marie Pecoraro. Le secteur des logiciels utilisés par les créatifs en entreprise est concerné au premier chef. Adobe Firefly, solution d’IA Gen de l’éditeur du même nom est ainsi entraîné sur un jeu de data « rassemblant du contenu sous licence, notamment celui d’Adobe Stock », et sur des données « tombées dans le domaine public », affirme la société sur son site web. « La question centrale n’est pas d’interdire, mais d’être d’accord sur les règles du jeu. La transparence est essentielle pour éviter biais et hallucinations », résume Anne-Marie Pecoraro.
Systèmes d’IA et droits fondamentaux
La surveillance post-commercialisation est une obligation clé du RIA pour les systèmes à haut risque. « Le suivi des systèmes d’IA après leur mise sur le marché est un des défis pratiques pour les entreprises. Ces dernières se demandent si des indicateurs mesurables, comme le suivi des biais, des erreurs ou des incidents critiques, seront définis pour garantir une application homogène de cette obligation », pointe Julie Jacob. Sur son site institutionnel, la Commission nationale de l’informatique et des libertés (CNIL) promet néanmoins de « clarifier le cadre légal, de développer les capacités d’audit et de dialoguer avec l’écosystème ». Fiches pratiques, lignes directrices et outils devraient donc logiquement suivre. « Le règlement impose aux entreprises d’assurer la transparence de leurs systèmes d’IA, notamment en rendant leurs décisions explicables, explique Julie Jacob. Cependant, pour des technologies complexes comme le deep learning, cela peut sembler abstrait. La CNIL fournit déjà des conseils pratiques au sujet de l’IA, qui fait d’ailleurs partie de son programme 2025. Elle recommande notamment d’élaborer des analyses d’impact pour les traitements à risques, une durée limitée de conservation des données et une transparence accrue. »
