Catégorie :
IA - 08/25
Temps de lecture
8 min

AI Act : maîtriser les risques et transformer la pratique du droit

L’AI Act impose de nouvelles règles aux professionnels du droit : conformité, gouvernance des IA, gestion du shadow IA. Adoptez les bons réflexes et protégez vos clients.

Sommaire

Me contacter :
Prendre rendez-vous
This is some text inside of a div block.

Introduction : Contexte et problématique juridique

L’adoption du Règlement européen sur l’intelligence artificielle (AI Act, Règl. UE 2024/1689 du 13 juin 2024) marque une étape d'importance dans la construction d’un cadre juridique contraignant pour l’intelligence artificielle au sein de l’Union européenne.

Ce texte, premier du genre à l’échelle mondiale, vise à encadrer le développement, la commercialisation et l’utilisation des systèmes d’intelligence artificielle, tout en garantissant un haut niveau de protection des droits fondamentaux, de la démocratie, de l’État de droit et de l’environnement.

L’AI Act s’adresse à une multitude d’acteurs, dont les professionnels du droit, en imposant de nouvelles obligations de conformité, de contrôle et de formation. La compréhension des étapes d’adoption, de son champ d’application et des exigences spécifiques pour les professions juridiques s’avère donc essentielle pour anticiper les enjeux pratiques de cette nouvelle réglementation :
"Premier texte au monde créant un cadre contraignant pour l’IA, le règlement sur l’intelligence artificielle (AI Act) a été adopté le 13 juin 2024 [...] qui concernent tous ceux qui développent, fournissent, ou utilisent des systèmes d’IA."
"Le 21 avril 2021, la Commission européenne a dévoilé une proposition de règlement sur l'intelligence artificielle (Artificial Intelligence Act ou AIA) [...] afin d'établir un cadre pour l'excellence et la confiance dans l'IA."

La date d’entrée en vigueur du règlement européen sur l’intelligence artificielle (AI Act) est le 2 août 2025.

"L’AI Act a été publié au Journal officiel de l’Union européenne le 12 juillet 2024. Il est entré en vigueur le 2 août et son application est échelonnée de la manière suivante : à compter du 2 février 2025 : interdiction des IA à risque inacceptable (voir n o 10) ; à compter du 2 août 2025 : entrée en vigueur des règles applicables aux modèles d’IA à usage général et nomination des autorités compétentes (voir n o 18 et 22) ; à compter du 2 août 2026 : application de toutes les dispositions et mise en place d’au moins un bac à sable réglementaire par les Etats membres de l’UE (voir n o 23) ; à compter du 2 août 2027 : entrée en vigueur des règles applicables aux IA à haut risque de l’annexe I (voir n o 11)." (Bulletin rapide de droit des affaires BRDA 18/24,)

1. Situation et fondements du texte

L’AI Act répond à la nécessité de réguler une technologie en évolution rapide, porteuse de promesses majeures mais également de risques physiques, psychologiques, sociétaux et économiques. Le texte s’inscrit dans un mouvement global d’encadrement de l’IA, au croisement de la politique numérique de l’Union et des préoccupations liées à la protection des droits fondamentaux :
"Il s’agit du premier texte au monde mettant en place un cadre réglementaire pour l’intelligence artificielle [...] qui promet de nombreux avantages mais comporte également des risques pour les personnes, de nature physique, psychologique, sociétale ou économique (considérants 3 et 4)."

Les objectifs affichés sont les suivants :

  • Promouvoir une IA fiable et centrée sur l’humain,
  • Assurer la protection élevée de la santé, de la sécurité, des droits fondamentaux,
  • Préserver la démocratie, l’État de droit et l’environnement,
  • Garantir la libre circulation des systèmes d’IA et la compétitivité européenne :
    "Ses objectifs sont notamment les suivants (art. 1) : améliorer le fonctionnement du marché intérieur en promouvant le développement de l’intelligence artificielle fiable et centrée sur l’humain, tout en assurant un niveau élevé de protection de la santé, de la sécurité, des droits fondamentaux, de la démocratie, de l’état de droit et de l’environnement contre les effets délétères des systèmes d’intelligence artificielle (SIA)."

2. Les points d’étape du processus législatif

Le parcours législatif du texte a été jalonné de consultations, d’amendements et de négociations entre institutions européennes :

  • 21 avril 2021 : Publication de la proposition de règlement par la Commission européenne,
  • 25 novembre 2022 : Orientation générale adoptée par le Conseil de l’Union européenne,
  • 14 juin 2023 : Adoption d’un texte amendé en session plénière du Parlement européen,
  • 9 décembre 2023 : Accord provisoire en trilogue entre le Conseil et le Parlement,
  • 26 janvier 2024 : Adoption à l’unanimité du texte final par les 27 États membres,
  • 13 juin 2024 : Adoption officielle du règlement (UE) 2024/1689,
  • 12 juillet 2024 : Publication au Journal officiel de l’Union européenne :
    "Le 21 avril 2021, la Commission européenne a dévoilé une proposition de règlement sur l'intelligence artificielle (Artificial Intelligence Act ou AIA) [...] C'est dans ce contexte qu'après trois jours d'âpres négociations, le Conseil et le Parlement sont parvenus à un accord provisoire, le 9 décembre 2023. Le texte qui en résulte a été adopté à l'unanimité le 26 janvier 2024 par les 27 États membres de l'Union." (2)
    "Le règlement européen sur l’intelligence artificielle (« RIA » [...] a été adopté le 13 juin 2024. [...] L’AI Act a été publié au Journal officiel de l’Union européenne le 12 juillet 2024."

3. Les professionnels concernés par l’AI Act

Le champ d’application du texte est large et s’attache à la notion d’« usage » ou de « déploiement » professionnel de l’IA. Sont concernés :

  • Les fournisseurs et développeurs de systèmes d’IA,
  • Les utilisateurs professionnels, y compris les cabinets d’avocats et professionnels du droit intégrant l’IA dans leurs activités,
  • Les importateurs, distributeurs et mandataires de systèmes d’IA,
  • Les personnes affectées par des systèmes d’IA dans l’Union européenne :
    "le règlement pour l'intelligence artificielle a vocation à s'appliquer : aux fournisseurs plaçant ou mettant en service un SIA ou plaçant un modèle d'IA à usage général dans l'Union, que ces fournisseurs soient établis ou non dans l'Union ; aux « déployeurs » de SIA situés dans l'Union ; il s'agit de toute personne (physique ou morale, de droit privé ou de droit public) qui utilise un SIA sous sa propre autorité et à des fins professionnelles (AIA art. 3, § 4) ; aux fournisseurs ou déployeurs situés hors de l'Union lorsque les résultats générés par le système sont utilisés dans l'Union ; aux importateurs et distributeurs de SIA ; aux fabricants de produits mettant sur le marché ou mettant en service un SIA associé à leurs produits sous leur nom ou marque ; aux mandataires des fournisseurs de SIA établis hors de l'Union ; aux personnes affectées par un SIA et qui sont situées dans l'Union." (3)
    "L’AI Act s’adresse en premier lieu aux fournisseurs et développeurs d’IA, [...] Il concerne également les utilisateurs des IA pour lesquels il crée des obligations dès lors qu’ils utilisent l’IA à titre professionnel."

Pour les professions du droit, cela signifie que toute utilisation d’outils d’IA pour la gestion, la rédaction, la recherche juridique, la relation client ou la compliance, entre dans le champ du règlement.

4. Exigences spécifiques pour les professionnels du droit

a) Conformité et responsabilité

Les avocats, juristes d’entreprise et autres professionnels du droit doivent s’assurer :

  • Que les outils d’IA employés sont conformes aux exigences du règlement, notamment en cas d’usage d’IA à haut risque (ex : outils de sélection automatisée de candidats, de rédaction de contrats, de due diligence, etc.),
  • Que la formation des collaborateurs utilisant ces systèmes est assurée et documentée,
  • De la mise en place de procédures de gestion des risques, de gouvernance de l’IA et de traçabilité des décisions prises assistées par IA :
    "Quant aux déployeurs de SIA à haut risque, ils doivent principalement : suivre la notice d'utilisation accompagnant les SIA, confier le contrôle humain à des personnes correctement formées ; s'ils exercent un contrôle sur les données d'entrée, veiller à ce que ces données soient pertinentes, surveiller le fonctionnement du SIA, assurer la tenue des journaux générés automatiquement, en suspendre l'exécution et informer le fournisseur ou le distributeur et les autorités de surveillance du marché concernées (AIA art. 26)."

b) Protection des données et secret professionnel

L’AI Act ne déroge pas aux obligations du RGPD et de la loi Informatique et Libertés. L’utilisation d’IA par les professions du droit suppose donc :

  • La garantie du respect du secret professionnel et de la confidentialité,
  • La maîtrise du traitement des données personnelles via les systèmes d’IA, y compris lors de l’externalisation ou de l’utilisation de solutions cloud :
    "L’AI Act dispose spécifiquement qu’il n’a pas d’incidence sur l’application des textes européens sur la protection des données personnelles que sont les règlements UE 2016/679 du 27 avril 2016 (règlement RGPD) et UE 2018/1725 du 23 octobre 2018 [...] L’AI Act autorise cependant le traitement de données personnelles particulières au sens de l’article 9 du RGPD [...] lorsque cela est strictement nécessaire pour la détection et la correction de biais en matière d’IA à haut risque (art. 10, 5). Six conditions devront être remplies pour assurer la licéité d’un tel traitement ; elles reprennent les exigences posées par le RGPD : de manière schématique, le traitement doit être strictement nécessaire, limité et entrer dans le registre des traitements."
    "L’article 2.3 du RIN [...] impose à l’avocat de faire respecter le secret par les membres du personnel de son cabinet et par toute personne qui coopère avec lui dans son activité professionnelle. Il répond des violations du secret qui seraient ainsi commises. Il appartient aussi à l’avocat de s’assurer auprès de tous les prestataires auxquels il s’adresse dans le cadre de l’exercice de sa mission que ceux-ci ne sont pas dans une situation de conflit d’intérêts à l’égard du ou des client(s) pouvant être concernés par l’intervention du prestataire. Si le prestataire n’est pas lui-même soumis à un secret professionnel strict, l’avocat veillera à lui faire signer un engagement de confidentialité."

c) Obligations spécifiques en cas d’externalisation

L’externalisation des services informatiques ou de l’IA suppose l’adoption de mesures contractuelles renforcées, la vérification de la conformité des sous-traitants et la prévention des conflits d’intérêts :
"Sur le plan de son informatique et de la sécurisation de ses données, les risques encourus par le cabinet d’avocats seront essentiellement liés à l’externalisation de prestations pouvant porter sur des données confidentielles et couvertes par le secret professionnel [...] Sauf disposition contractuelle particulière, l’avocat est tenu à l’égard de son client à raison de la faute des prestataires auxquels il a recours."

5. Enjeux en matière de formation des collaborateurs

L’AI Act exige une montée en compétence généralisée des équipes sur les enjeux de l’IA et sur la conformité réglementaire :

  • Formation des collaborateurs à la compréhension du fonctionnement des outils d’IA,
  • Sensibilisation à la prévention des biais et des risques de discrimination algorithmique,
  • Maîtrise des procédures de contrôle, de traçabilité et de documentation des opérations impliquant l’IA,
  • Adoption de guides internes et de « bonnes pratiques » pour la gestion des risques et la prévention des atteintes à la déontologie :
    "Quant aux déployeurs de SIA à haut risque, ils doivent principalement : suivre la notice d'utilisation accompagnant les SIA, confier le contrôle humain à des personnes correctement formées [...]"
    "Les professionnels de l'ingénierie informatique ne sont pas sensibilisés à la lutte contre les discriminations et aux risques résultant de l'utilisation des algorithmes. [...]"

6. Exemples concrets d’application et d’impact pour les professions du droit

a) Utilisation d’un outil de sélection automatisée de CV

Un cabinet d’avocats recourt à un système d’IA pour présélectionner les candidats à l’embauche. Ce système doit être qualifié d’IA à haut risque, imposant :

  • La documentation précise des critères de sélection,
  • La vérification de la non-discrimination des algorithmes,
  • La formation du personnel RH à la détection et à la correction des biais,
  • L’information des candidats sur l’utilisation de l’IA dans le processus de recrutement :
    "Le risque réside dans la reproduction de biais discriminatoires présents dans le code informatique ou disséminés dans la masse de données exploitées. [...] Un biais analogue peut tout à fait intervenir dans les processus de recrutement lorsqu'un algorithme pondère les candidatures selon les établissements de formation intégrés par les candidats." (6)

b) Analyse automatisée de contrats et gestion documentaire

L’utilisation d’outils d’IA pour l’analyse de contrats implique de s’assurer que :

  • Le système ne traite pas de manière illicite des données personnelles sensibles,
  • Les données confidentielles sont protégées conformément au secret professionnel,
  • Les collaborateurs sont formés à l’usage sécurisé de ces outils,
  • Des audits réguliers sont menés pour vérifier la conformité :
    "L’AI Act dispose spécifiquement qu’il n’a pas d’incidence sur l’application des textes européens sur la protection des données personnelles [...] L’AI Act autorise cependant le traitement de données personnelles particulières au sens de l’article 9 du RGPD [...] à corriger des biais en matière d’IA à haut risque"
    "L’article 2.3 du RIN [...] impose à l’avocat de faire respecter le secret par les membres du personnel de son cabinet et par toute personne qui coopère avec lui dans son activité professionnelle. Il répond des violations du secret qui seraient ainsi commises."

c) Externalisation de la gestion informatique ou de l’IA

En externalisant son système de gestion documentaire à un prestataire exploitant des outils d’IA, le cabinet doit :

  • S’assurer contractuellement de la conformité du sous-traitant à l’AI Act et au RGPD,
  • Exiger la signature d’engagements de confidentialité,
  • Veiller à l’absence de conflits d’intérêts,
  • Informer le client en cas de risque de divulgation :
    "Sauf disposition contractuelle particulière, l’avocat est tenu à l’égard de son client à raison de la faute des prestataires auxquels il a recours." (5)

7. Compatibilité des IA des GAFAM avec l’AI Act

La question de la compatibilité des IA développées par les GAFAM (Google, Apple, Facebook-Meta, Amazon, Microsoft) avec l’AI Act est complexe et dépend de plusieurs critères précis d’évaluation prévus par le règlement européen.

(PS: la réponse est dans la question).

Principes généraux

Le règlement AI Act s’applique à tous les fournisseurs de systèmes d’intelligence artificielle qui mettent leurs produits ou services à disposition sur le marché de l’Union européenne, qu’ils soient établis dans l’UE ou non. Ainsi, les GAFAM sont directement concernés dès lors que leurs IA sont accessibles, utilisées ou déployées dans l’UE :
"le règlement pour l'intelligence artificielle a vocation à s'appliquer : aux fournisseurs plaçant ou mettant en service un SIA ou plaçant un modèle d'IA à usage général dans l'Union, que ces fournisseurs soient établis ou non dans l'Union [...] aux fournisseurs ou déployeurs situés hors de l'Union lorsque les résultats générés par le système sont utilisés dans l'Union" (3)

Conditions de compatibilité

Pour qu’une IA soit compatible avec l’AI Act, le fournisseur doit notamment :

  • Classer son IA selon la typologie du règlement (risque inacceptable, haut risque, usage général, etc.),
  • Respecter des obligations de transparence, d’évaluation et de gestion des risques,
  • Fournir une documentation technique et des instructions d’utilisation,
  • Mettre en place des dispositifs de contrôle humain et de surveillance,
  • Assurer la conformité en matière de protection des données :
    "Les fournisseurs de SIA à haut risque doivent : établir et tenir à jour la documentation technique, effectuer une évaluation de la conformité, mettre en œuvre un système de gestion des risques, assurer la surveillance post-commercialisation, signaler tout incident grave... Les fournisseurs de modèles d’IA à usage général doivent respecter des obligations de transparence." (1, 2)

Points de vigilance concernant les GAFAM

  • Transparence : Les GAFAM devront fournir une documentation claire sur le fonctionnement de leurs modèles, ce qui peut s’avérer difficile pour des IA de type « boîte noire » ou des modèles d’IA générative.
  • Gouvernance des données : Le respect du RGPD et l’absence de biais discriminatoires dans les données d’entraînement sont des points de contrôle majeurs.
  • Implémentation des mesures de sécurité et de contrôle humain : Les systèmes déployés dans des contextes à haut risque doivent prévoir des procédures de supervision humaine et de gestion des incidents.
  • Externalisation et sous-traitance : Si une IA des GAFAM est intégrée via un sous-traitant, l’entité utilisatrice devra aussi vérifier la conformité du prestataire aux exigences de l’AI Act.

Exemples concrets

  • Un moteur de recherche utilisant de l’IA générative (ex : Google Gemini, Microsoft Copilot) devra prouver qu’il respecte toutes les obligations de transparence, de gestion des risques et d’absence de biais, sous peine de sanctions.
  • Un service cloud d’IA à usage général fourni par Amazon ou Microsoft Azure, utilisé pour du traitement juridique, devra garantir aux utilisateurs européens le respect de la documentation, la traçabilité et la protection des données personnelles.

Conclusion sur la compatibilité

En résumé : Les IA des GAFAM sont potentiellement compatibles avec l’AI Act à condition que leurs fournisseurs démontrent concrètement la conformité à chaque exigence du règlement pour le marché européen. Un simple affichage de conformité ne suffit pas : une évaluation spécifique, la documentation, des audits réguliers et la possibilité de contrôle par les autorités européennes sont nécessaires. Les professionnels du droit utilisant ces IA devront s’assurer de leur conformité effective, notamment en exigeant des garanties contractuelles et des preuves documentées de mise en conformité.

8. Shadow IA : définition, conséquences et pédagogie pour la prévention

Qu’est-ce que le shadow IA ?

Le « shadow IA » désigne l’utilisation, par des collaborateurs ou équipes, de solutions d’intelligence artificielle (IA) sans validation, ni contrôle, ni même parfois connaissance de la part de la direction générale, du service informatique ou des responsables conformité. Cela inclut :

  • le recours à des outils d’IA gratuits ou commerciaux (chatbots, générateurs de texte, assistants de recherche, outils d’analyse, etc.) en dehors des procédures officielles,
  • l’utilisation d’IA via des comptes personnels, ou sur des plateformes cloud non approuvées,
  • l’intégration d’IA dans des processus métiers sans analyse d’impact préalable ni documentation.

Ce phénomène, analogue au « shadow IT », est accentué par la facilité d’accès aux IA grand public.

Conséquences du shadow IA

1. Risques juridiques et de conformité

  • Non-respect du RGPD et de l’AI Act : traitement de données personnelles sans information ni consentement, absence de documentation et traçabilité, non-respect des obligations de sécurité et d’explicabilité ;
  • Violation du secret professionnel et de la confidentialité : transmission de données sensibles à des IA non maîtrisées ;
  • Manque de documentation : impossibilité de prouver la conformité ou de répondre à un audit ou à une injonction d’autorité ;
  • Difficulté de gestion des risques : absence de contrôle sur les biais, l’impact éthique ou les potentielles discriminations générées par l’IA.

2. Risques opérationnels et réputationnels

  • Fuite d’informations stratégiques ou confidentielles,
  • Perte de contrôle sur la qualité et la fiabilité des résultats produits,
  • Atteinte à l’image de marque en cas de problème révélé publiquement.

3. Risques techniques

  • Multiplication de failles de sécurité dues à l’utilisation d’outils non validés,
  • Absence de support ou de maintenance.

Quelle pédagogie mettre en œuvre pour l’éviter ?

1. Sensibilisation de tous les collaborateurs (et des patrons...)

  • Informer sur les risques : expliquer les enjeux juridiques, éthiques et techniques de l’utilisation non contrôlée des IA.
  • Rappeler les obligations réglementaires : RGPD, AI Act, secret professionnel, politiques internes.

2. Formation pratique

  • Former sur les bonnes pratiques : comment identifier une IA conforme, quels outils sont validés, comment signaler un nouveau besoin, comment procéder à une analyse d’impact.
  • Exemples de cas concrets : montrer en quoi le shadow IA peut conduire à des sanctions ou des incidents (fuite de dossiers clients, génération de contrats biaisés…).

3. Gouvernance et procédures internes

  • Mettre en place une politique d’usage de l’IA : référencer les outils autorisés, instaurer des procédures de demande de validation, déployer un registre des IA utilisées.
  • Encourager la remontée d’initiatives : permettre aux équipes de suggérer l’intégration de nouveaux outils dans une démarche contrôlée.
  • Désigner un référent IA ou conformité : interlocuteur dédié pour accompagner et répondre aux besoins métiers.

4. Communication positive et transparente

  • Valoriser l’innovation maîtrisée : montrer que l’organisation n’est pas hostile à l’IA, mais promeut une adoption responsable, sécurisée et conforme.
  • Expliquer les bénéfices du respect des règles : sécurité, fiabilité, conformité, meilleure valorisation des données et des compétences internes.

Remarque réglementaire :

L’AI Act impose aux structures, notamment dans les professions du droit, la mise en place de procédures de contrôle, de documentation, de formation et d’audit sur les outils d’IA utilisés :
"Quant aux déployeurs de SIA à haut risque, ils doivent principalement : suivre la notice d'utilisation accompagnant les SIA, confier le contrôle humain à des personnes correctement formées ; s'ils exercent un contrôle sur les données d'entrée, veiller à ce que ces données soient pertinentes, surveiller le fonctionnement du SIA, assurer la tenue des journaux générés automatiquement, en suspendre l'exécution et informer le fournisseur ou le distributeur et les autorités de surveillance du marché concernées".

Ne pas maîtriser le shadow IA expose donc à des risques juridiques, opérationnels et réputationnels majeurs.

Conclusion – Application au cas des professionnels du droit

L’AI Act inaugure une ère de responsabilité accrue pour les professionnels du droit face à l’usage croissant de l’intelligence artificielle dans la pratique juridique. L’obligation de conformité s’étend bien au-delà de la simple utilisation technique des outils d’IA : elle implique la refonte des processus internes, la vigilance accrue sur les risques de discrimination et d’atteinte à la confidentialité, un effort de formation systématique des collaborateurs et la mise en place de procédures robustes de contrôle et de documentation.

Les cabinets doivent auditer leurs pratiques, revoir leurs contrats d’externalisation, garantir la protection de leurs clients et anticiper dès aujourd’hui la montée en puissance des exigences réglementaires qui seront pleinement applicables à compter d’août 2026 et, pour certaines, dès février/août 2025.

L’anticipation et la formation constituent désormais la clef d’une conformité durable et d’une gestion maîtrisée des risques liés à l’intelligence artificielle.

Guillaume Fricker | Avocat
Prendre rendez-vous

AUTRES Posts

tous les Posts
Open Data des décisions de justice : Enjeux, défis et limites de la transparence en France
Numérique - 08/25

Open Data des décisions de justice : Enjeux, défis et limites de la transparence en France

Temps de lecture :
12 min
L'essentiel de l'actu de juillet 2025 - le récap'
Récap' actualités du mois écoulé

L'essentiel de l'actu de juillet 2025 - le récap'

Temps de lecture :
A vous de voir.

NEWSLETTER *

Nos actus &
biens immobiliers -

Merci ! Pour discuter de votre projet, vous pouvez prendre rendez-vous ici !
Oops! Something went wrong while submitting the form.
Button Text