Une politique relative à l'IA : utile ou inutile?

Le champ d’application du Règlement européen est très large. Aux termes de l’AI Act, un système d’intelligence artificielle se définit comme : « un système automatisé conçu pour fonctionner à différents niveaux d’autonomie, qui peut faire preuve d’une capacité d’adaptation après son déploiement et qui, pour des objectifs explicites ou implicites, déduit, à partir des données d’entrée qu’il reçoit, la manière de générer des résultats tels que des prédictions, du contenu, des recommandations ou des décisions qui peuvent influencer les environnements physiques ou virtuels ».

Autrement dit, il s’agit de programmes informatiques capables d’analyser des données, d’identifier des schémas et de produire de manière autonome des décisions/recommandations se répercutant sur le monde réel ou numérique – parfois avec une capacité d’apprentissage permettant au système d’évoluer après son déploiement. Cette définition englobe tant les modèles d’IA “générale” (type ChatGPT et autres fondations models) que des outils plus spécifiques (du filtre anti-spam à l’algorithme de gestion RH).

Le Règlement IA prévoit quatre catégories de risques assorties de régimes juridiques distincts :

• Risque inacceptable: certains systèmes d’IA sont jugés contraires aux valeurs de l’UE et strictement interdits. Il s’agit par exemple des systèmes de notation sociale des individus, de techniques manipulant le comportement humain de manière nuisible (exploitation de vulnérabilités de personnes fragiles) ou de certains usages abusifs de la reconnaissance biométrique à distance. Aucun usage de tels systèmes n’est autorisé dans l’entreprise. Depuis le 2 février 2025, toute mise en service de ces IA prohibées est bannie dans l’UE. Les employeurs doivent s’abstenir d’y recourir et veiller à ce que leurs travailleurs n’utilisent pas non plus de tels outils au travail.

• Risque élevé: le cœur du dispositif concerne les systèmes d’IA susceptibles de poser des risques sérieux pour la santé, la sécurité ou les droits fondamentaux. Sont visés notamment les usages de l’IA dans le domaine de l’emploi et de la gestion du personnel (p. ex. logiciels de tri de CV, outils d’évaluation automatisée des performances), mais aussi ceux liés à l’éducation, à la justice, à la surveillance ou aux infrastructures critiques. Ces systèmes « à haut risque » pourront être utilisés sous réserve de respecter des obligations strictes :

• Le fournisseur/développeur du système devra procéder à une évaluation de conformité avant mise sur le marché, et garantir le respect d’exigences de sécurité, de transparence et de robustesse technique (jeu de données de haute qualité, documentation détaillée, suivi de performance, etc.).
• Le déployeur (utilisateur professionnel) du système – en ce compris l’employeur – devra mettre en place des mesures techniques et organisationnelles internes pour en assurer une utilisation conforme et sous surveillance humaine appropriée.
• Information préalable : les travailleurs concernés (et leurs représentants) devront être informés en amont de la mise en service d’un système d’IA à haut risque les concernant (par ex., instauration d’un outil d’IA pour évaluer le personnel).

Ce régime des IA à haut risque deviendra pleinement applicable à partir du 2 août 2026, une période transitoire de deux ans ayant été prévue pour laisser aux acteurs le temps de se conformer. Des obligations préparatoires s’échelonneront dès 2025, et les manquements seront lourdement sanctionnés : les amendes prévues peuvent atteindre 7 % du chiffre d’affaires mondial de l’entreprise fautive (ou 35 millions d’euros) dans les cas les plus graves (usage d’IA prohibée, violation des obligations essentielles).

• Risque limité: cette catégorie concerne des systèmes d’IA qui ne sont ni interdits ni à haut risque, mais méritent certaines garanties de transparence. Par exemple, un chatbot utilisé en support client doit signaler clairement à l’utilisateur qu’il s’agit d’une IA (et non d’un humain), afin que celui-ci puisse prendre une décision éclairée ou demander l’assistance d’un employé.

De même, les contenus générés par IA (textes, images…) dans un contexte informatif doivent être signalés comme tels. Pour l’employeur, l’utilisation de ces IA à risque limité impose donc surtout une information des utilisateurs et la possibilité d’opter pour une interaction humaine si souhaité. Ces obligations pèseront sur l’entreprise à compter du 2 août 2026 également (elles rejoignent en partie les principes de transparence déjà prévus par le RGPD).

• Risque minimal ou nul: ce sont toutes les applications d’IA considérées comme inoffensives pour les droits et la sécurité. Elles ne font l’objet d’aucune obligation spécifique dans le cadre du Règlement IA. La grande majorité des systèmes d’IA actuellement utilisés entre dans cette catégorie, par exemple les filtres anti-spam ou les algorithmes de recommandation de musique/films.

Bien entendu, ils restent soumis aux autres législations générales (p. ex. respect de la vie privée, non-discrimination) mais le Règlement IA n’y ajoute pas de contrainte particulière.


3. Recommandation : Mettre en place une IA Policy dans l’entreprise

En tant qu’employeur, vous avez tout intérêt, et serez à terme obligés de structurer en interne l’usage de l’IA. La formalisation d’une politique IA permet de traduire concrètement les exigences légales au niveau de votre organisation, tout en fixant des lignes directrices claires à vos collaborateurs. La mise en place d’une IA Policy vise précisément à sécuriser et optimiser l’utilisation de l’IA par vos équipes, dans le respect du cadre juridique.

Concrètement, cette politique interne permet de :

• Définir les catégories de systèmes d’IA autorisés dans l’entreprise, en fonction de leur niveau de risque. Par exemple, elle pourra proscrire explicitement toute utilisation d’IA interdite et encadrer strictement les projets d’IA à haut risque (sous réserve d’accord préalable de la direction).
• Mettre en place une procédure d’autorisation préalable pour tout déploiement d’un système d’IA à risque limité ou élevé, de sorte que la direction ou un comité ad hoc ou un référent dans l’entreprise puisse évaluer la conformité du projet, ses finalités et les mesures de contrôle prévues avant sa mise en œuvre. Cela garantit un contrôle effectif des usages de l’IA au sein de l’entreprise.
• Clarifier les responsabilités de chacun (employeur, utilisateurs internes, prestataires) dans l’utilisation des outils d’IA, afin d’assurer le respect des normes (qui fait l’évaluation de risque ? qui supervise le fonctionnement de l’IA ? qui intervient en cas de dysfonctionnement ? etc.). Ce volet contribue à renforcer la sécurité juridique de l’employeur et permet de sanctionner les travailleurs qui ne respecteraient pas la politique de l’entreprise.
• Organiser la formation et la sensibilisation du personnel (obligation de littératie de l’employeur). Il est essentiel que vos travailleurs comprennent les risques et limites des systèmes d’IA mis à leur disposition (biais possibles, marge d’erreur, etc.) et sachent interagir avec ces outils de manière sûre et conforme. Une IA Policy efficace prévoira des sessions de formation, des guides internes ou un accompagnement spécifique pour les utilisateurs.

Grâce à ces dispositions, votre entreprise pourra tirer parti de l’IA en toute confiance, tout en prévenant activement les dérives identifiées par le législateur européen.