À mesure que l’IA continue d’évoluer et s’intègre dans la plupart de nos outils de travail quotidiens, elle apporte à la fois des bénéfices et des défis. La responsabilité liée à l’IA (AI accountability) en fait partie : ce concept soulève une question fondamentale : à qui revient la responsabilité des résultats produits par les technologies d’IA, qu’ils soient positifs ou négatifs ?
Les attentes envers les juristes et les Directeurs Juridiques sont élevées. Ils doivent démontrer leur maîtrise de l’IA et assumer leur rôle de gardiens du risque organisationnel. Ce rôle est partagé avec d’autres fonctions, notamment la DSI.
Les tribunaux tracent désormais une ligne précise : si le système définit les paramètres par défaut et que les humains se contentent d’en valider les résultats, la supervision devient procédurale et non substantielle. Par conséquent, cela ne constitue pas un bouclier suffisant. Avec l’AI Act dans l’Union européenne et la multiplication des réglementations qui reflètent cette évolution, le Directeur Juridique doit se préparer à travailler avec l’IA. Voici ce qu’il doit savoir.
Qu’est-ce que la responsabilité liée à l’IA ?
La responsabilité liée à l’IA est le principe selon lequel ce sont les humains, et non les machines, qui assument la responsabilité juridique et opérationnelle des résultats produits par l’IA. Autrement dit, les principales questions auxquelles des réponses claires et disponibles sont attendues sont les suivantes :
- Qui a approuvé le système ?
- Quelles données a-t-il traitées ?
- Quels préjudices pourrait-il causer ?
- Comment est-il surveillé ?
- Qui en assure la surveillance ?
- Qui répond en cas de défaillance ?
Le terme a émergé dans le débat public au début des années 2020, à mesure que l’IA étendait son empreinte dans tous les secteurs. Contrairement à la transparence, qui consiste à révéler le fonctionnement de l’IA, ou à l’éthique, qui définit ce qui doit être fait, la responsabilité liée à l’IA garantit qu’un humain peut être tenu de rendre des comptes en cas de problème. Par ailleurs, c’est le mécanisme de contrôle qui transforme la gouvernance de l’IA d’une politique en pratique.
La réalité réglementaire : la responsabilité liée à l’IA est désormais obligatoire
Le cadre réglementaire autour des technologies alimentées par l’IA évolue rapidement. De plus, dans la plupart des régions du monde, de nouvelles règles ou recommandations sont adoptées :
- L’Union européenne a établi l’AI Act, premier cadre réglementaire complet en matière d’IA, dont l’application est effective depuis 2024.
- Aux États-Unis, l’American Bar Association et le NIST publient régulièrement des bonnes pratiques et des recommandations sur la gestion de l’IA.
- Par ailleurs, en 2024 aux États-Unis, 131 États américains ont adopté des lois sur l’IA, soit plus du double de l’année précédente.
Dans l’ensemble, les tribunaux sont prêts à engager la responsabilité des déployeurs, c’est-à-dire ceux qui utilisent la technologie d’IA, et pas seulement des fournisseurs. En cas de problème, la responsabilité incombe aux humains qui ont approuvé, déployé ou utilisé le système. Par conséquent, cela inclut le Directeur Juridique au sein de l’organisation.
Voici l’insight clé : selon les résultats d’AuditBoard & Panterra Research, 44 % des professionnels de la GRC (Governance, Risk, Compliance) citent le flou autour de la responsabilité liée à l’IA comme premier obstacle à une gouvernance efficace. C’est un défi que de nombreux juristes sont susceptibles de rencontrer. Or, le problème ne réside pas uniquement dans les outils eux-mêmes : il tient à la propriété de cette responsabilité. Lorsque celle-ci est mal définie, la gouvernance de l’IA devient une simple case à cocher plutôt qu’un avantage opérationnel. En revanche, lorsque la propriété est clairement établie, la responsabilité liée à l’IA devient le cadre qui permet aux directions juridiques de travailler plus efficacement avec l’IA. Ainsi, elle transforme une obligation réglementaire en capacité stratégique.
Tout déploiement d’IA doit pouvoir répondre aux cinq questions suivantes avant la mise en production, et non après.
Cinq questions pour guider la responsabilité liée à l’IA
Ces questions doivent toujours trouver une réponse dès lors qu’un système d’IA est déployé. Par conséquent, cela implique, bien entendu, que l’organisation (et pas seulement le Directeur Juridique) y ait réfléchi en amont. De plus, l’organisation doit assurer un suivi continu tout au long du cycle de vie de l’outil.
Qui a approuvé le système ?
Chaque système doit avoir un responsable nommé et une approbation documentée. Un inventaire IA constitue le prérequis indispensable : on ne peut pas gouverner ce qu’on ne peut pas voir. Ainsi, cet inventaire servira de registre de référence recensant l’ensemble des systèmes d’IA (outils et modèles) déployés dans l’entreprise, ainsi que leurs responsables respectifs.
Quelles données a-t-il traitées ?
La bonne pratique, et une exigence légale au titre de l’AI Act pour les systèmes à haut risque, est d’auditer les données d’entraînement pour détecter d’éventuels biais. D’ailleurs, pour les outils d’IA juridique entraînés sur des documents historiques, cela signifie auditer les biais juridictionnels, démographiques ou jurisprudentiels encodés. La gouvernance des données n’est pas une charge administrative supplémentaire : c’est le mécanisme de contrôle du risque d’entreprise.
Quels préjudices pourrait-il causer ?
En 2024, 233 incidents liés à l’IA ont été recensés, soit une hausse de 56 %. Plutôt que de se demander si un outil pourrait causer un préjudice, il faut partir du principe qu’il le peut. Ainsi, il faut procéder à des tests avant le déploiement. Il s’agit d’un engagement de surveillance continu, et non d’une revue ponctuelle.
Comment est-il surveillé ?
Qu’elle soit obligatoire ou non, la surveillance continue est une bonne pratique essentielle, car les systèmes dérivent dans le temps. En effet, la journalisation des événements et le suivi permanent permettent aux équipes de maintenir une documentation précise, susceptible de justifier et d’expliquer toute erreur.
Au titre de l’AI Act, la durée minimale de conservation des logs est de six mois. Enfin, pour les directions juridiques, les pistes d’audit conçues dans le respect du legal privilege sont essentielles.
Qui répond en cas de défaillance ?
La responsabilité ne peut pas être entièrement transférée au prestataire. Aux États-Unis, les tribunaux engagent la responsabilité des déployeurs indépendamment des clauses d’exonération des fournisseurs. En droit européen, l’AI Act établit des responsabilités claires : les fournisseurs supportent les obligations primaires. Par ailleurs, les déployeurs ont les obligations secondaires au titre de l’article 26. Les amendes peuvent atteindre 35 millions d’euros ou 7 % du chiffre d’affaires mondial.
Pour les directions juridiques, le paradoxe du legal privilege est réel : les obligations de journalisation peuvent transformer les pistes d’audit en éléments communicables, à moins que la gouvernance ne soit conçue avec des protections du secret professionnel dès le départ.
C’est également dans la gestion des défaillances que le Directeur Juridique doit prendre les devants. Si la gouvernance de l’IA est un effort collectif, le Directeur Juridique est personnellement attendu sur ce terrain.
Ce que la responsabilité liée à l’IA implique pour le Directeur Juridique
L’enquête 2026 de l’ACC (Association of Corporate Counsel) auprès des Chief Legal Officers révèle que 47 % des CLOs (Directeurs Juridiques) indiquent que leur PDG attend d’eux qu’ils développent des compétences en IA, première exigence citée. Désormais que la gouvernance de l’IA est une responsabilité de direction, le Directeur Juridique en est devenu l’ancrage.
La responsabilité liée à l’IA est le mécanisme qui attribuera des conséquences en cas d’échec. Pour y faire face, les organisations doivent construire des structures de gouvernance adaptées à ce principe, sans précédent établi à ce jour.
La bonne nouvelle : cela confirme une fois de plus que l’IA n’est pas là pour remplacer les humains. Elle renforce simplement une approche qui consolide le rôle, plus que jamais nécessaire, de l’humain dans la prise de décision et la responsabilité. Comme l’a déclaré Rupali Patel Shah, Head of Legal Solutions chez DiliTrust : « Cela semble évident, mais se perd constamment dans le bruit ambiant : l’IA ne peut pas être tenue responsable, ni légalement, ni éthiquement, ni opérationnellement. »
En définitive, l’IA ne prend pas de décisions seule : ce sont les humains qui le font. Le préjudice causé par un système d’IA est toujours imputable à un choix humain, à savoir : quelles données utiliser, quel cas d’usage autoriser, quelle supervision mettre en place. »
Les nouvelles responsabilités du Directeur Juridique incluent :
- Inventaire et classification des systèmes d’IA
- Cartographie de l’exposition réglementaire
- Évaluation des fournisseurs d’IA
- Supervision de la culture IA
- Conception d’une gouvernance respectueuse du legal privilege
Une responsabilité partagée, avec le Directeur Juridique en son cœur
La responsabilité liée à l’IA est partagée entre les conseils d’administration, la DSI, la conformité et les métiers. Toutefois, lorsque la gouvernance n’a pas encore été établie, c’est au Directeur Juridique d’en prendre l’initiative. En cas de problème, les régulateurs ne demanderont pas si vous avez anticipé la défaillance. En revanche, ils demanderont si vous avez documenté les décisions, maintenu des pistes d’audit et appliqué une supervision adéquate. La défendabilité repose sur le processus, non sur la prévision.
L’IA amplifie la fonction juridique ; elle ne la remplace pas. Ce qui définit la valeur du Directeur Juridique, c’est ce que l’IA ne peut pas reproduire : le discernement, le courage et des relations de confiance. 63 % des CLOs anticipent une stabilité des effectifs tout en recourant à l’IA pour gagner en efficacité : le travail ne disparaît pas, il évolue.
La responsabilité liée à l’IA n’est pas un fardeau. C’est une opportunité de définir comment le juridique prend les devants à une époque où la technologie évolue plus vite que la jurisprudence.
