Selon une étude McKinsey publiée en 2024, 65 % des organisations utilisent déjà l'IA générative au quotidien — pourtant, la majorité des dirigeants ignorent encore les obligations légales qui pèsent sur eux. Entré en vigueur le 1er août 2024, le Règlement européen 2024/1689, dit « AI Act », constitue le premier cadre juridique mondial encadrant l'intelligence artificielle. Bien qu'il prévoit une application progressive, certaines de ses dispositions sont déjà pleinement applicables en France. Que vous soyez dirigeant, directeur juridique ou responsable conformité, la régulation de l'IA générative en entreprise soulève des questions auxquelles vous ne pouvez plus vous soustraire. Cet article, conçu sous forme de FAQ, répond aux interrogations les plus fréquentes. CONNECT AVOCATS, cabinet d'avocats à Paris 9 intervenant dans le domaine du droit du numérique et du droit des affaires, accompagne au quotidien les entreprises confrontées à ces nouveaux enjeux réglementaires.
Ce qu'il faut retenir
La réponse est très probablement oui. L'AI Act introduit la notion de « déployeur », qui désigne toute organisation utilisant un système d'IA dans un cadre professionnel. Concrètement, si votre entreprise utilise ChatGPT pour rédiger des courriels, Microsoft Copilot pour synthétiser des réunions ou Mistral pour générer du contenu marketing, elle est un déployeur au sens du règlement — même s'il s'agit d'une PME de cinq salariés utilisant un outil gratuit.
Le texte a par ailleurs une portée extraterritoriale. Une organisation établie hors de l'Union européenne dont les résultats d'IA sont utilisés sur le territoire européen est également soumise à ces obligations. L'erreur la plus courante consiste à se considérer comme un « simple utilisateur » : cette qualification n'existe pas dans l'AI Act. Dès l'usage professionnel, des obligations légales précises s'imposent.
Un point méconnu, mais déterminant : un déployeur peut basculer dans la catégorie « fournisseur » — et donc supporter les obligations les plus lourdes de l'AI Act — dans quatre situations précises définies par le Considérant 78 du Règlement UE 2024/1689 : (1) s'il modifie substantiellement le système IA reçu, (2) s'il change l'usage prévu initial (par exemple, utiliser un chatbot commercial pour effectuer du scoring crédit), (3) s'il commercialise le système sous sa propre marque, (4) s'il intègre un système à risque limité dans un usage à haut risque. Cette requalification, particulièrement fréquente dans les secteurs juridique, médical et financier, emporte des obligations de documentation technique, d'évaluation de conformité tierce partie et de marquage CE que la majorité des entreprises ne sont pas préparées à assumer. C'est l'une des raisons pour lesquelles un accompagnement juridique en intelligence artificielle est aujourd'hui indispensable pour qualifier correctement sa position réglementaire.
Un risque aggravant mérite votre attention immédiate : le phénomène du Shadow AI. Selon une étude Salesforce de 2024, 68 % des salariés français utilisent des outils d'IA non déclarés à leur employeur. Un commercial qui colle sa base clients dans ChatGPT, un juriste qui soumet un projet de contrat à un chatbot public : autant de situations qui rendent toute conformité impossible sans gouvernance interne structurée. D'après le rapport IBM Cost of a Data Breach 2025, les entreprises présentant un niveau élevé de Shadow AI voient leurs coûts augmenter de 670 000 dollars supplémentaires par incident par rapport à celles qui le maîtrisent, pour un coût moyen atteignant 4,2 millions de dollars. Par ailleurs, 20 % des violations de données mondiales impliquent désormais des systèmes de Shadow AI. L'absence de gouvernance IA interne n'est donc pas seulement un risque réglementaire abstrait, mais un risque financier documenté.
Exemple concret : En avril 2023, des ingénieurs de Samsung Semiconductor ont utilisé ChatGPT pour déboguer du code et résumer des comptes rendus de réunions internes. Ce faisant, ils ont transmis à l'outil des portions de code source propriétaire et des données de production confidentielles. Les modèles IA dans leur version gratuite standard peuvent, selon les conditions d'utilisation, conserver et utiliser ces données pour entraîner leurs propres modèles. L'incident a contraint Samsung à interdire l'usage de tout outil d'IA générative en interne. Cet exemple illustre que le risque Shadow AI ne concerne pas uniquement les PME : il touche des entreprises de toute taille, dans tous les secteurs, et peut entraîner une fuite irréversible de propriété intellectuelle.
Le règlement repose sur une classification en quatre niveaux de risque. Au sommet, le risque inacceptable : certaines pratiques sont purement et simplement interdites depuis le 2 février 2025. Il s'agit notamment du scoring social à usage général, de l'identification biométrique à distance en temps réel dans l'espace public, ou encore de l'exploitation des vulnérabilités liées à l'âge ou au handicap.
Viennent ensuite les systèmes à haut risque, utilisés dans des domaines critiques, comme le recrutement, la santé, la finance ou la justice. Ceux-ci sont soumis à des obligations strictes : documentation technique complète, marquage CE, évaluation de conformité et supervision humaine permanente.
Les outils d'IA générative comme ChatGPT, Copilot ou Mistral relèvent en principe du risque limité en usage courant. L'obligation principale est la transparence : informer clairement l'utilisateur qu'il interagit avec une IA, conformément à l'Article 50. Enfin, le risque minimal (filtres anti-spam, jeux vidéo) n'entraîne aucune obligation spécifique.
Attention toutefois : si vous utilisez ces mêmes outils dans un contexte à haut risque — par exemple pour présélectionner des candidats en recrutement ou pour évaluer un dossier de crédit —, la responsabilité de conformité vous incombe en tant que déployeur, et non au fournisseur comme OpenAI ou Microsoft.
À noter : L'AI Act prévoit la mise en place de « bacs à sable réglementaires » (regulatory sandboxes) permettant aux entreprises, et notamment aux PME, de tester leurs innovations IA dans des conditions contrôlées sous supervision de l'autorité compétente. Le projet « Digital Omnibus » introduit en complément un bac à sable au niveau européen dédié aux modèles GPAI. Ce dispositif constitue une voie d'entrée pratique pour les entreprises souhaitant avancer sur la conformité sans risquer de sanction pendant la phase d'expérimentation.
Le calendrier d'application est progressif, mais plusieurs dates sont déjà passées ou imminentes. Depuis le 2 février 2025, les pratiques interdites sont en vigueur, de même que l'obligation de littératie IA prévue par l'Article 4, qui impose à tout déployeur de s'assurer que ses collaborateurs disposent d'un niveau suffisant de compétences pour utiliser l'IA de manière responsable. La Commission européenne a précisé, dans sa FAQ publiée en mai 2025, le contenu minimal attendu pour respecter cette obligation : comprendre ce qu'est une IA, ses capacités, ses limites et ses biais ; identifier le rôle de l'entreprise (déployeur ou fournisseur) ; repérer les risques propres aux outils utilisés (erreur, hallucination, biais, atteinte à la vie privée) ; et savoir utiliser l'IA de manière responsable, notamment ne jamais saisir de données sensibles dans un outil non autorisé. La Commission a expressément précisé que la simple communication d'une notice d'utilisation ne suffit pas : les formations doivent être interactives et adaptées au profil du collaborateur.
Le 2 août 2025 marque l'entrée en application des obligations relatives aux modèles d'IA à usage général (GPAI) : documentation technique, transparence et respect du droit d'auteur pour les fournisseurs. Le 2 août 2026 verra la pleine application de la majorité des obligations, notamment pour les systèmes à haut risque et les exigences de transparence de l'Article 50.
Un point de vigilance : la Commission européenne a présenté en novembre 2025 un projet dit « Digital Omnibus » proposant certains allègements et reports partiels, mais ce texte n'est pas encore définitivement adopté. Parmi les mesures concrètes envisagées figure le report de l'obligation de marquage technique des contenus générés par IA (Article 50§2) au 2 février 2027 au lieu du 2 août 2026, motivé par le fait que le Code de bonnes pratiques sur l'étiquetage des contenus IA n'est pas attendu avant mai ou juin 2026. Le Digital Omnibus propose également de transformer l'obligation contraignante de littératie IA (Article 4) en une simple incitation à la charge de la Commission et des États membres — ce qui allégerait significativement la responsabilité des employeurs. Ces deux mesures ne sont toutefois pas encore définitivement adoptées : les obligations fondamentales restent donc pleinement en vigueur à ce jour.
Conseil : Ne misez pas sur l'adoption du Digital Omnibus pour différer vos efforts de conformité. Les obligations de littératie IA et de transparence sont aujourd'hui pleinement applicables. En cas de contrôle, seules les exigences en vigueur à la date des faits seront prises en compte. Engager dès maintenant la formation de vos équipes et la documentation de vos usages IA vous place dans une posture de bonne foi qui peut moduler d'éventuelles sanctions.
L'AI Act ne remplace pas le RGPD. Les deux textes s'appliquent simultanément dans la quasi-totalité des usages professionnels. Concrètement, une IA générative peut produire des données fausses sur des personnes réelles — ce que l'on appelle une « hallucination » —, en violation directe de l'article 5 du RGPD qui impose l'exactitude des données. De même, l'article 22 du RGPD interdit, sauf exception, les décisions fondées exclusivement sur un traitement automatisé produisant des effets juridiques : un refus de crédit prononcé par une IA seule, sans intervention humaine, est illicite.
Le risque de transfert de données hors UE est particulièrement surveillé. Utiliser un outil IA hébergé aux États-Unis avec des données personnelles non anonymisées peut déclencher des sanctions de la CNIL, qui a prononcé 83 sanctions pour un montant cumulé de près de 487 millions d'euros en 2025. Les recommandations publiées par la CNIL le 22 juillet 2025 sont claires : réaliser une Analyse d'Impact relative à la Protection des Données (AIPD) avant tout déploiement, anonymiser les données avant de les soumettre à un outil externe, et vérifier l'hébergement du fournisseur.
En juin 2025, la CNIL, l'ANSSI, le PEReN et INRIA ont lancé conjointement le projet PANAME (Privacy AuditiNg of Ai ModEls), un outil d'audit permettant d'évaluer la résistance des modèles d'IA aux tentatives d'extraction de données personnelles mémorisées lors de l'entraînement. Des chercheurs ont en effet démontré qu'il est possible d'extraire des numéros de téléphone, adresses et extraits de correspondances d'un LLM comme ChatGPT. Ce projet constitue le signal que la CNIL dispose désormais d'outils techniques précis pour identifier et sanctionner les entreprises dont les pratiques IA exposent des données personnelles.
À noter : L'outil PANAME n'est pas qu'un projet de recherche : il préfigure les méthodes de contrôle que la CNIL appliquera lors de ses audits. Les entreprises qui utilisent des modèles d'IA traitant des données personnelles ont donc tout intérêt à vérifier, en amont, que leur fournisseur a mis en place des mécanismes de protection contre l'extraction de données mémorisées (techniques de differential privacy, filtres de sortie, etc.).
En droit français, une œuvre produite intégralement par une IA, sans intervention humaine créative, n'est pas protégée par le droit d'auteur (Article L.111-1 du Code de la propriété intellectuelle). Votre entreprise ne peut donc ni revendiquer la propriété d'un tel contenu, ni s'opposer à sa reproduction par des tiers.
Inversement, exploiter un contenu généré par IA qui reproduit des caractéristiques d'œuvres protégées vous expose à des poursuites pour contrefaçon, passible de trois ans d'emprisonnement et 300 000 euros d'amende. L'affaire SNE/SGDL/SNAC contre Meta, portée devant le Tribunal judiciaire de Paris en mars 2025, illustre ce risque : les organisations d'auteurs et d'éditeurs reprochent à Meta d'avoir utilisé 200 000 livres protégés pour entraîner ses modèles sans autorisation. Cette tendance se confirme à l'international : en février 2025, un tribunal fédéral américain a considéré, dans le cas particulier de l'affaire Thomson Reuters c. Ross Intelligence, que l'utilisation d'œuvres protégées à des fins d'entraînement d'un modèle IA ne relevait pas du « fair use ». Ces décisions signalent une convergence mondiale : les juridictions retiennent de plus en plus la responsabilité des acteurs exploitant des contenus protégés pour entraîner leurs IA, y compris en qualité de déployeur qui commercialise ou réutilise les outputs de ces modèles.
En droit français, la Directive européenne 2019/790, transposée par l'Ordonnance n° 2021-1518 du 24 novembre 2021 et codifiée à l'Article L.122-5-3 III du Code de la propriété intellectuelle, consacre le droit d'opposition des auteurs et des éditeurs au Text and Data Mining (TDM). Concrètement, toute personne titulaire de droits sur un corpus textuel ou documentaire peut expressément s'opposer à ce que ses œuvres soient utilisées pour entraîner un modèle d'IA. Les entreprises qui produisent du contenu (bases de données, publications, études, contrats types) disposent donc d'un levier juridique actif pour empêcher l'utilisation de leurs œuvres comme données d'entraînement, à condition d'exprimer cette opposition de manière lisible par machine.
Un autre danger, souvent sous-estimé, concerne le secret des affaires. Coller un document confidentiel — présentation stratégique, brevet en cours, données clients — dans un outil IA public peut constituer une divulgation illicite au sens de la loi du 30 juillet 2018. Par défaut, les contenus injectés dans les versions standard de ces outils peuvent être stockés et réutilisés pour l'entraînement des modèles. Une bonne pratique consiste à documenter systématiquement la part d'intervention humaine dans toute création assistée par IA, afin de sécuriser vos droits.
Exemple concret : Léonie Marchand, responsable éditoriale d'un éditeur juridique parisien, constate que des extraits de ses fiches pratiques payantes apparaissent dans les réponses d'un modèle d'IA générative. L'éditeur n'avait pas activé l'opposition au TDM de manière lisible par machine sur son site. Après avoir intégré les balises techniques appropriées (protocole robots.txt et métadonnées TDM) et documenté l'antériorité de ses contenus, l'éditeur dispose désormais d'un fondement juridique solide pour exiger le retrait de ces extraits et, le cas échéant, engager une action en contrefaçon. Ce cas de figure se multiplie dans les secteurs de l'édition, du conseil et de la formation professionnelle.
Le régime de sanctions est particulièrement dissuasif. Pour les pratiques interdites, les amendes peuvent atteindre 35 millions d'euros ou 7 % du chiffre d'affaires mondial, le montant le plus élevé étant retenu. Le non-respect des obligations pour les systèmes à haut risque est sanctionné jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires mondial. La fourniture d'informations trompeuses aux autorités expose à 7,5 millions d'euros ou 1,5 % du chiffre d'affaires mondial.
En France, la CNIL peut en outre prononcer des astreintes allant jusqu'à 100 000 euros par jour. Les PME bénéficient de plafonds proportionnés à leur taille, mais aucune exonération n'est prévue. Les démarches de conformité engagées de bonne foi permettent toutefois de moduler les sanctions prononcées. Un aspect souvent ignoré concerne la durée de conservation des obligations documentaires : la documentation technique relative aux systèmes à haut risque doit être conservée pendant dix ans après la mise sur le marché du dernier système concerné, ce délai recommençant à chaque mise à jour majeure pour les systèmes évolutifs de type SaaS ou API. De plus, un fournisseur de système à haut risque ne peut pas transférer sa responsabilité de conformité aux déployeurs ou aux utilisateurs finaux (Considérant 78 du Règlement AI Act). En cas de contrôle, l'absence de cette documentation constitue en elle-même un manquement sanctionnable.
Conseil : Ne sous-estimez pas la charge que représente la conservation documentaire sur dix ans, notamment pour les outils en mode SaaS dont les mises à jour sont fréquentes. Mettez en place dès maintenant un registre horodaté des versions successives de chaque système IA à haut risque utilisé dans votre organisation, accompagné de la documentation technique correspondante. Ce registre sera votre première ligne de défense en cas de contrôle.
Face à l'ampleur du cadre réglementaire, voici les mesures concrètes à mettre en œuvre sans attendre :
Le cumul de l'AI Act, du RGPD, du droit de la propriété intellectuelle et de la protection du secret des affaires crée un environnement juridique d'une complexité inédite. Chaque décision d'usage d'un outil d'IA générative engage potentiellement votre responsabilité sur plusieurs terrains simultanés.
CONNECT AVOCATS, cabinet compétent en droit du numérique, droit des affaires et droit commercial, accompagne les entreprises dans leur mise en conformité avec ces nouvelles exigences depuis son implantation à Paris 9. De l'audit de vos outils IA à la rédaction de chartes internes, en passant par la réalisation d'analyses d'impact et la gestion des risques de propriété intellectuelle, le cabinet intervient à la fois en conseil et en contentieux pour sécuriser durablement votre activité. Si vous souhaitez anticiper ces échéances et protéger votre entreprise, n'hésitez pas à solliciter un accompagnement personnalisé auprès de l'équipe de CONNECT AVOCATS.