Intelligence artificielle : Définition juridique et Applications

Publié le par Aurore Bonavia Mis à jour le

L'intelligence artificielle (IA) désigne, au sens de l'article 3 paragraphe 1 du Règlement (UE) 2024/1689 (AI Act), un système basé sur une machine conçu pour fonctionner avec différents niveaux d'autonomie, qui peut faire preuve de capacités d'adaptation après son déploiement et qui, pour des objectifs explicites ou implicites, déduit, à partir des données qu'il reçoit, comment générer des résultats tels que des prévisions, du contenu, des recommandations ou des décisions pouvant influencer des environnements physiques ou virtuels.

L'intelligence artificielle (IA) désigne, au sens de l'article 3 paragraphe 1 du Règlement (UE) 2024/1689 (AI Act), un système basé sur une machine conçu pour fonctionner avec différents niveaux d'autonomie, qui peut faire preuve de capacités d'adaptation après son déploiement et qui, pour des objectifs explicites ou implicites, déduit, à partir des données qu'il reçoit, comment générer des résultats tels que des prévisions, du contenu, des recommandations ou des décisions pouvant influencer des environnements physiques ou virtuels.

L'enjeu pratique de la régulation de l'IA est devenu central avec l'adoption de l'AI Act publié au Journal officiel de l'Union européenne le 12 juillet 2024 et entrant en application progressive entre février 2025 et août 2027. Ce règlement, premier cadre juridique global au monde sur l'IA, structure une approche par les risques articulée autour de quatre catégories : risques inacceptables (interdits), risques élevés (encadrés strictement), risques limités (transparence) et risques minimaux (libre).

L'articulation entre l'AI Act et le RGPD constitue l'un des défis majeurs des prochaines années. Les deux règlements partagent des préoccupations communes (protection des droits fondamentaux, transparence, gouvernance) mais s'appliquent à des objets distincts (systèmes d'IA pour l'AI Act, traitements de données pour le RGPD). Leur application combinée impose une analyse intégrée pour les acteurs déployant des systèmes d'IA traitant des données personnelles.

Vous souhaitez sécuriser le déploiement d'un système d'IA ? Le Cabinet Aurore Bonavia accompagne les organisations dans la mise en conformité avec l'AI Act et le RGPD. → Voir l'accompagnement en droit du numérique

L'approche par les risques de l'AI Act

L'AI Act structure une approche par les risques articulée autour de quatre catégories de systèmes d'IA :

  • les systèmes d'IA à risque inacceptable sont interdits par l'article 5 du règlement ; cette catégorie inclut notamment les systèmes de notation sociale par les autorités publiques, les systèmes manipulant le comportement des personnes vulnérables, les systèmes de reconnaissance biométrique en temps réel dans les espaces publics (sauf exceptions limitatives), les systèmes inférant les émotions dans les contextes professionnels et éducatifs ;
  • les systèmes d'IA à haut risque énumérés à l'annexe III du règlement font l'objet d'obligations renforcées ; ils couvrent les systèmes utilisés dans des domaines sensibles : recrutement, accès aux services essentiels, application de la loi, gestion des migrations, administration de la justice, processus démocratiques ;
  • les systèmes d'IA à risque limité font l'objet d'obligations de transparence (article 50) ; les utilisateurs doivent être informés qu'ils interagissent avec un système d'IA (chatbots), que le contenu produit a été généré par l'IA (deepfakes, contenus synthétiques) ;
  • les systèmes d'IA à risque minimal ne sont pas spécifiquement encadrés par l'AI Act et restent soumis aux règles générales applicables (RGPD, droit des contrats, droit de la responsabilité).

Cette graduation permet de proportionner les exigences réglementaires au niveau de risque effectif, en évitant une régulation excessive des systèmes anodins tout en encadrant strictement les usages les plus sensibles.

Les obligations des systèmes à haut risque

Les systèmes d'IA à haut risque sont soumis à un dispositif réglementaire complet articulé autour des chapitres III et IX du règlement :

  • la mise en place d'un système de gestion des risques documenté tout au long du cycle de vie du système (article 9) ;
  • la gouvernance des données d'entraînement, de validation et de test, garantissant leur pertinence, leur représentativité et l'absence de biais (article 10) ;
  • la documentation technique détaillée du système, accessible aux autorités de contrôle (article 11 et annexe IV) ;
  • la conservation des journaux automatiquement générés par le système pour permettre la traçabilité ex post (article 12) ;
  • la transparence vis-à-vis des utilisateurs sur les capacités, les limites et le fonctionnement du système (article 13) ;
  • la supervision humaine garantissant qu'un opérateur humain peut intervenir, prendre le contrôle ou interrompre le système (article 14) ;
  • la précision, la robustesse et la cybersécurité du système, à un niveau approprié au regard de sa finalité (article 15) ;
  • l'évaluation de conformité préalable à la mise sur le marché, qui peut prendre la forme d'un autocontrôle ou d'une certification par un organisme notifié selon les cas (chapitre III section 4) ;
  • l'enregistrement dans la base de données européenne des systèmes d'IA à haut risque (article 71).

Pour les fournisseurs établis hors UE, la désignation d'un représentant dans l'Union est obligatoire (article 22). Les déployeurs (utilisateurs professionnels) ont également des obligations propres, notamment la mise en place d'une supervision humaine effective et la réalisation d'analyses d'impact sur les droits fondamentaux dans certains secteurs sensibles (services publics, ressources humaines).

Les modèles d'IA à usage général

Les chapitre V de l'AI Act introduit un régime spécifique pour les modèles d'IA à usage général (GPAI - General Purpose AI), qui couvre les modèles fondamentaux (foundation models) capables d'effectuer un large éventail de tâches distinctes et susceptibles d'être intégrés dans une diversité de systèmes en aval. Ce régime cible en particulier les grands modèles de langage (LLM) tels que GPT-4, Claude, Gemini, Mistral et leurs successeurs.

Les fournisseurs de modèles GPAI sont soumis à plusieurs obligations transversales :

  • la documentation technique détaillée du modèle accessible aux fournisseurs en aval (article 53) ;
  • la publication d'un résumé des données d'entraînement, particulièrement pour les contenus protégés par le droit d'auteur ;
  • la conformité au droit d'auteur, incluant le respect des opt-out exprimés par les ayants droit au titre de la directive 2019/790 sur le droit d'auteur dans le marché unique numérique (article 53 paragraphe 1 c).

Pour les modèles GPAI à risque systémique (modèles présentant des capacités à fort impact, déterminés par seuil de calcul ou décision de la Commission), des obligations renforcées s'imposent : évaluation des risques systémiques, mesures d'atténuation, signalement des incidents graves, cybersécurité renforcée (articles 55 et 56).

L'articulation avec le RGPD

L'application combinée de l'AI Act et du RGPD impose une analyse intégrée pour tout système d'IA traitant des données personnelles. Plusieurs points d'articulation structurent la pratique :

  • le respect du RGPD constitue un préalable à toute application de l'AI Act ; le considérant 9 du règlement précise que l'AI Act ne déroge pas au RGPD et n'affecte pas son application ;
  • les bases légales RGPD doivent être identifiées pour chaque traitement de données personnelles, indépendamment de la qualification du système au regard de l'AI Act ;
  • l'article 22 du RGPD sur les décisions automatisées s'applique aux décisions produites par un système d'IA, avec ses exigences de transparence, d'intervention humaine et de contestation ;
  • les analyses d'impact RGPD (AIPD) et AI Act peuvent être unifiées dans un document intégré, sous réserve de couvrir l'ensemble des exigences cumulées ;
  • la doctrine CNIL sur l'IA, formalisée notamment par les recommandations de 2024, complète et précise les exigences combinées RGPD et AI Act.

La CNIL a publié plusieurs recommandations sectorielles depuis 2023 sur l'utilisation des systèmes d'IA dans des domaines spécifiques (recrutement, support client, marketing, recherche médicale). Ces recommandations constituent une source doctrinale majeure pour la pratique française, en complément des lignes directrices européennes de l'EDPB et du futur Bureau européen de l'IA.

Spécificité juridique sur la propriété intellectuelle des contenus générés par IA

L'application des règles de propriété intellectuelle aux contenus générés par les systèmes d'IA générative pose plusieurs questions juridiques majeures :

  • la qualification d'œuvre de l'esprit au sens du droit d'auteur français (article L112-1 du CPI) suppose une empreinte de la personnalité de l'auteur, qui ne peut être attribuée à une machine ; les contenus purement générés par IA sans intervention humaine substantielle ne sont en principe pas protégeables par le droit d'auteur ;
  • l'exploitation des données d'entraînement soulève des questions de respect du droit d'auteur ; la directive 2019/790 sur le droit d'auteur dans le marché unique numérique organise une exception de fouille de textes et de données (data mining) qui peut justifier l'usage de contenus protégés pour l'entraînement, sous réserve du respect des opt-out exprimés par les ayants droit ;
  • les actions en contrefaçon intentées par des ayants droit (auteurs, éditeurs, illustrateurs, photographes) contre les fournisseurs de modèles d'IA générative se multiplient depuis 2023 (notamment les actions Getty Images c/ Stability AI, et les actions du New York Times c/ OpenAI) ;
  • les contributions humaines aux contenus générés par IA (rédaction du prompt, sélection, édition, finalisation) peuvent fonder une protection partielle, sous réserve du caractère original de la contribution.

Le Bureau européen de l'IA (AI Office) institué par l'AI Act sera chargé de coordonner l'application du règlement et de produire des guidances spécifiques sur ces questions. La pratique française s'oriente vers une reconnaissance restrictive de la protection au droit d'auteur des contenus IA, conforme à la conception personnaliste du droit français.

Le cabinet Aurore Bonavia se charge de vos enjeux en matière d'intelligence artificielle

  • la qualification juridique de vos systèmes d'IA au regard de l'AI Act (risque inacceptable, élevé, limité, minimal) ;
  • la mise en conformité avec les obligations applicables aux systèmes à haut risque ;
  • la rédaction des documentations techniques et des analyses d'impact intégrant RGPD et AI Act ;
  • la gouvernance des données d'entraînement et le respect des exigences de qualité et de représentativité ;
  • la mise en place des dispositifs de supervision humaine et de transparence vis-à-vis des utilisateurs ;
  • la rédaction des contrats avec les fournisseurs et déployeurs de systèmes d'IA ;
  • l'analyse des questions de propriété intellectuelle relatives aux contenus générés par IA ;
  • la défense face aux actions en contrefaçon et aux contrôles des autorités compétentes ;
  • la formation des équipes juridiques, techniques et opérationnelles aux exigences de l'AI Act.

En savoir plus sur l'accompagnement du cabinet : avocat en intelligence artificielle.

Sources : Règlement (UE) 2024/1689 (AI Act), Règlement (UE) 2016/679 (RGPD), directive (UE) 2019/790 sur le droit d'auteur dans le marché unique numérique, Code de la propriété intellectuelle (art. L112-1, L112-2), recommandations CNIL 2024 sur l'intelligence artificielle, EDPB Lignes directrices sur l'IA et la protection des données. Fiche mise à jour le 3 mai 2026.

Obtenez des réponses
et des conseils

Prendre RDV - 30 min / 125€HT

À lire également

Courrier Picrights : 4 étapes pour NE PAS PAYER

Copyright trolling : Comment contester un courrier PicRights ?

Le monde numérique moderne a ouvert de nouvelles voies pour la création, le partage et […]
Intervention d’un spécialiste pour un audit RGPD en entreprise.

Tarif audit rgpd - Quel coût pour la conformité de ma société ?

Découvrez tous les éléments et tarifs inclus dans un audit RGPD afin de mettre votre société en conformité. On vous explique tout !

Quelle est la durée des droits de propriété intellectuelle ?

La durée des droits de la propriété intellectuelle varie en fonction de la nature du bien immatériel qu’elle protège.