17/04/26

Intelligence artificielle (IA) – Check-lists à l’intention de votre entreprise

Intelligence artificielle (IA) – Check-lists à l'intention de votre entreprise

Trois étapes concrètes pour mettre votre entreprise en règle à l'égard de vos clients et fournisseurs

L'AI Act européen (Règlement (UE) 2024/1689) est entré en vigueur le 1er août 2024 et sera applicable par étapes. La majeure partie des dispositions seront entièrement contraignantes à partir du 2 août 2026.

Plusieurs obligations importantes trouvent aujourd'hui déjà à s'appliquer, telles que l'obligation de maîtrise de l'IA et l'interdiction des systèmes d'IA présentant un risque élevé inacceptable. Il est donc grand temps de passer à l'action.

Vous trouverez ci-dessous trois étapes pratiques que toute entreprise peut mettre en œuvre dès aujourd'hui.

Étape 1 – Dressez un état des lieux de votre environnement IA

La première étape consiste à dresser un inventaire de tous les systèmes d'IA qu'utilise et/ou développe votre entreprise. L'AI Act donne une définition assez large de la notion de « système d'IA » qu'il définit comme tout système automatisé qui, pour des objectifs explicites ou implicites, déduit, à partir des entrées qu'il reçoit, la manière de générer des sorties telles que des prédictions, des recommandations, des décisions ou du contenu.

Songez notamment aux:

  • outils d'IA générative (ChatGPT, Copilot, Gemini, etc.) permettant de générer du texte, des codes ou des images;
  • systèmes automatisés d'aide à la décision (par exemple pour l'évaluation de la solvabilité, la sélection du personnel ou la fixation des prix);
  • outils d'analyse prédictive et de planification;
  • chatbots et assistants virtuels pour le contact avec la clientèle;
  • logiciels de vision par ordinateur ou de reconnaissance d'images;
  • fonctionnalités d'IA intégrées dans des progiciels ERP, RH ou CRM.

Le résultat de cet exercice sera ensuite de préférence consigné dans un registre central, qui sera mis à jour périodiquement. Ce registre servira de base aux étapes suivantes.

Étape 2 – Déterminez votre rôle et la catégorie de risque

Les obligations prévues par l'AI Act sont étroitement liées (i) au rôle que joue votre entreprise et (ii) à la catégorie de risque du système d'IA.

Le registre central interne (voir étape 1), permet de déterminer, pour chaque système d'IA, quel est le rôle de votre entreprise ainsi que la catégorie de risque dont relève le système.

⮕ Votre rôle:

  • Fournisseur (provider): vous développez ou faites développer un système d'IA et le mettez sur le marché;
  • Déployeur (deployer): vous utilisez un système d'IA d'un tiers à des fins professionnelles propres.
  • Importateur / distributeur: vous mettez à disposition ou sur le marché un système d'IA provenant de l'extérieur de l'UE.

⮕ Catégorie de risque:

  • Systèmes d'IA interdits: les systèmes d'IA utilisés à des fins de manipulation cognitive du comportement, de notation sociale, le moissonnage non ciblé d'images faciales provenant de l'internet pour la constitution de bases de données de reconnaissance faciale, le profilage individuel visant à prédire des comportements délictueux, la reconnaissance des émotions sur le lieu de travail et dans les établissements scolaires, la catégorisation biométrique ou – sauf dans des cas exceptionnels – l'identification biométrique à distance en temps réel dans les espaces publics à des fins de maintien de l'ordre.
  • IA à haut risque: les systèmes d'IA utilisés notamment pour la gestion des infrastructures critiques, les évaluations dans l'enseignement, la gestion du personnel (recrutement, évaluation et licenciement), l'accès aux services et prestations essentiels et leur utilisation (par exemple, soins de santé, solvabilité), etc.
  • IA à risque limité: les systèmes d'IA destinés à interagir avec des personnes et/ou à créer eux-mêmes du contenu tels que des textes et des images (par exemple, les chatbots, les assistants IA).
  • IA à risque faible: les systèmes d'IA qui ont peu ou pas d'influence sur les personnes, comme les filtres antispam et les traducteurs automatiques.

La plupart des entreprises utilisent l'IA uniquement pour des tâches quotidiennes (traitement de texte, gestion des plannings, service clients, etc.) et seront considérées comme des déployeurs de systèmes d'IA à risque faible ou limité. Dans ce cas, vous pouvez utiliser notre check-list à l'étape 3.

Si, toutefois, votre entreprise est fournisseur ou déployeur de systèmes d'IA à haut risque, nous vous encourageons à nous contacter afin d'obtenir des conseils individualisés.

Étape 3 – Check-list destinée aux utilisateurs de systèmes AI présentant un risque faible à limité (clients et fournisseurs)

⮕ Obligations et recommandations à l'égard des clients et fournisseurs

En tant que déployeur de systèmes d'IA présentant un risque faible ou limité, vos obligations sont restreintes, mais n'en sont pas moins importantes. Afin de vous conformer à la l'AI Act (et au RGPD), nous vous recommandons de prendre au minimum les dispositions suivantes à l'égard de vos clients et fournisseurs:

☐ Informez vos clients et fournisseurs de manière transparente lorsqu'ils interagissent avec un système d'IA (par exemple, un chatbot ou un outil de devis automatisé) et lorsqu'ils sont exposés à du contenu généré par l'IA (par exemple, avec des filigranes). Cette mesure deviendra bientôt obligatoire en vertu de l'article 50 de l'AI Act.

☐ Mettez à jour vos conditions générales et votre déclaration en matière de protection de la vie privée afin d'y inclure l'utilisation de systèmes d'IA et le traitement des données à caractère personnel via ces systèmes. Vous pourrez ainsi limiter votre responsabilité potentielle tout en continuant de vous conformer aux obligations d'information déjà en vigueur en vertu du RGPD.

☐ Veillez à ce que les décisions ayant un impact significatif sur les clients et les fournisseurs (par exemple, la sélection des commandes, les tarifs personnalisés) ne soient pas prises de manière entièrement automatisée sans contrôle humain, et communiquez cette politique.

Cette mesure est obligatoire à l'égard des personnes physiques en vertu des articles 13, §2 et 22 du RGPD. La prise de décision entièrement automatisée ayant des conséquences juridiques pour les personnes physiques est uniquement autorisée lorsqu'elle est nécessaire à la conclusion ou à l'exécution d'un contrat, lorsque la personne concernée y a expressément consenti ou lorsqu'il s'agit d'une disposition prévue par la loi.

S'il n'y a pas de restriction légale pour les personnes morales, il est toutefois recommandé de maintenir une intervention humaine afin de limiter le risque d'erreurs.

☐ Désignez éventuellement un interlocuteur interne pour les questions ou les réclamations concernant l'utilisation de l'IA au sein de votre organisation. Si cette mesure n'est pas obligatoire, elle peut toutefois se révéler utile si votre entreprise utilise largement des systèmes d'IA. Il pourrait par exemple s'agir du DPD (s'il y en a un) et/ou d'un membre de votre service informatique.

Tout non-respect des obligations imposées par le RGPD et l'AI Act peut entraîner des sanctions. Les sanctions possibles peuvent prendre la forme d'avertissements, de mesures correctives et, le cas échéant, d'amendes administratives. Dans les cas graves, les amendes maximales pour les obligations décrites ci-dessus peuvent aller jusqu'à 20 000 000 EUR ou 4 % du chiffre d'affaires annuel mondial total si ce montant est plus élevé.

Bien qu'une sanction doive être efficace et dissuasive, elle doit bien sûr également être proportionnée à l'infraction. Vous ne vous exposez donc pas immédiatement aux amendes maximales. Les autorités de protection des données en Europe ont toutefois déjà prouvé qu'elles n'hésitaient pas à sévir. Il y a de fortes chances que les autorités chargées de l'IA mènent elles aussi une politique de fermeté lorsqu'elles seront devenues opérationnelles.

⮕ Éléments à prendre en compte lors des négociations contractuelles avec les fournisseurs de systèmes d'IA

Plus le système d'IA est présent dans le fonctionnement de votre entreprise, plus il est important que vous conserviez le contrôle et la maîtrise du système d'IA, de ses données d'entrée et de ses résultats. Il est par conséquent vivement recommandé de vérifier les points suivants dans les conditions d'utilisation des fournisseurs de systèmes d'IA présentant un risque faible ou limité:

☐ Que fait le fournisseur de vos données (par exemple, confidentialité, utilisation pour l'entraînement du système)? ☐ Qui est propriétaire des résultats générés (propriété intellectuelle)? ☐ Dans quels cas pouvez-vous engager la responsabilité du fournisseur lorsque survient un problème lors de l'utilisation du système? ☐ Comment sont traitées les données à caractère personnel utilisées par le système (par exemple, les données des travailleurs et des clients)?

Des accords clairs sont essentiels à ce sujet. Essayez de renégocier les clauses défavorables. En cas d'échec, posez-vous la question de savoir si le système d'IA peut être utilisé en toute sécurité, tout en respectant suffisamment vos données et vos droits de propriété intellectuelle.

Vous pouvez également prendre différentes mesures au sein de votre organisation interne et à l'égard de votre personnel. Davantage d'informations à ce sujet dans notre prochain bulletin d'information.

Schoups
La transmission des usufruits et les clauses relatives à l'usufruit dans les donations
La transmission des usufruits et les clauses relatives à l'usufruit dans les donations
Les infractions d'urbanisme: identifiez les manquements les plus fréquents et adoptez les meilleures stratégies de régularisation
Les infractions d'urbanisme: identifiez les manquements les plus fréquents et adoptez les meilleures stratégies de régularisation
Les conflits d'intérêts entre les administrateurs d'une SRL
Les conflits d'intérêts entre les administrateurs d'une SRL
dotted_texture