Share This Article
1. En droit français, l’absence d’accès frauduleux aux systèmes exclut l’application de l’article 323-1 du Code pénal.
Néanmoins, l’entreprise déployant l’IA pourrait être poursuivie pour complicité de contenu illicite généré si elle n’a pas mis en place de garde-fous.
2. L’AI Act européen (Réglement UE 2024/2869) s’applique principalement aux systèmes considérés comme « à haut risque », laissant les agents IA d’entreprise classiques moins encadrés quant aux obligations de supervision. 3. Le RGPD offre un recours indirect. L’absence de mécanismes de sécurité sémantiques constitue une faute au titre de l’obligation de sécurité des traitements, si des données personnelles sont exposées lors d’un acte malveillant (ex: phishing).
4. Le principal champ de bataille reste la responsabilité civile.
L’absence de « guardrails » sémantiques sera qualifiée de faute caractérisée (Art. 1240 CC), engageant la responsabilité de l’entreprise pour les dommages subis par les victimes (préjudices financiers, atteinte à la réputation).
La responsabilité du fait des choses (Art. 1242 CC) reste théorique, l’IA étant majoritairement vue comme immatérielle, tandis que le régime du produit défectueux dépendra de la classification de l’IA selon l’AI Act.
5. Pour atténuer ce risque, des recommandations opérationnelles urgentes sont formulées :
– la mise en place de pare-feux sémantiques (Lakera Guard, etc.),
– l’implémentation systématique du « Human-in-the-Loop » sur les tâches critiques,
– la conservation de logs complets,
– la nomination d’un responsable conformité IA, et
– la réalisation d’audits de « Red Teaming » sémantique.
6. Ainsi, la responsabilité des entreprises ne résidera pas dans le fait d’avoir été victime, mais dans l’absence de diligence raisonnable.
Les tribunaux appliqueront le droit commun de la responsabilité.
Déployer une IA sans boucles de contrôle est désormais une faute juridique caractérisée, et la conformité aux futures exigences de l’AI Act servira de preuve de diligence.
