
23
01 2025
Comment encadrer juridiquement l’usage de l’IA au sein des entreprises ?
Depuis le 6 décembre 2024, les utilisateurs de X (anciennement « Twitter ») peuvent accéder, gratuitement, à la version 2.0 de l’IA développée sur l’initiative d’Elon Musk, prénommée Grok. Une application dédiée uniquement aux possesseurs d’IPhone a été mise en ligne le 13 janvier 2025.
Ayant pour vocation affichée de concurrencer Chat GPT, le modèle proposé par Elon Musk permet, entre autres, de générer des images de façon extrêmement réalistes, notamment des personnalités publiques.
En effet, contrairement à ses concurrents directs qui ont interdit la représentation de personnalité publique, Grok en prend le total contre-pied en permettant la représentation de personnalités publiques, dans n’importe quel contexte… Un tête-à-tête amoureux entre Jean-Luc Mélenchon et Jordan Bardella, un match de foot entre Marine Le Pen et Emmanuel Macron ou encore Louis de Funès qui rencontre Cyril Hanouna, autant de représentations fascinantes et inquiétantes de réalisme qui peuvent conduire à la prolifération des Fake News ou des DeepFakes.
Elon Musk, partisan d’une liberté d’expression absolue et inconditionnelle, est largement soutenu dans ses projets par Donald Trump, élu à la présidentielle américaine le 5 novembre 2024. Ce dernier souhaite contribuer pleinement à une forme de dérégulation de l’IA, afin de favoriser notamment les innovations technologiques de la Silicon Valley.
Cette volonté de dérégulation apparait être en totale opposition avec les lignes conductrices de l’Union Européenne, qui, quant à elle, prône une utilisation de l’intelligence artificielle transparente, éthique et responsable.
L’UE a en effet fait le choix de la régulation avec l’adoption du Règlement (UE) 2024/1689 du 13 juin 2024 (RIA), entrée en vigueur le 1er aout 2024 et prévoyant une entrée en application échelonnée prévue entre février 2025 et août 2027.
Un guide de bonnes pratiques pour l’intelligence artificielle est également en cours d’élaboration par la Commission européenne et devrait être publié courant 2025.
Autant de nouvelles règles européennes qui vont conduire les chefs d’entreprises à intégrer rapidement ces mesures au sein de leurs entreprises. Toutes sont concernées, tant les entreprises du numérique que celles des secteurs plus traditionnels.
En effet, cet essor technologique a transformé en profondeur les pratiques et méthodes de travail, notamment par les capacités d’automatisation qu’il offre, soulevant ainsi des enjeux majeurs d’ordre légal et éthique.
Il est ainsi devenu impératif pour toute entreprise d’anticiper les risques juridiques liées à l’utilisation de l’IA et d’encadrer son usage, afin que l’IA fasse l’objet d’une utilisation responsable et respectueuse des règles applicables.
I. La nécessaire analyse des risques préalable au déploiement de l’IA en entreprise
A) L’analyse des contraintes liées au secteurs d’activité
Avant d’envisager le déploiement de l’IA, il est impératif que l’entreprise analyse les contraintes et les risques liés à l’utilisation de l’IA.
En premier lieu, il est essentiel de déterminer si l’entreprise opère dans un secteur sensible ou stratégique. Par exemple, les sociétés opérant dans les secteurs de la santé, de la défense, des transports ou encore des services financiers sont soumises à des réglementations spécifiques et à des obligations accrues, rendant le déploiement de technologies d’IA particulièrement délicat. Dans ces secteurs, le risque d’impact négatif sur la sécurité, la confidentialité des données ou encore les droits fondamentaux est significatif.
Par ailleurs, diverses contraintes peuvent s’opposer au déploiement de l’IA.
D’un point de vue interne, des limites techniques (infrastructures inadaptée), humaines (manque de compétences) ou organisationnelles (résistance au changement) doivent être identifiées et anticipées. D’un point de vue externe, les règlementations sectorielles ou les exigences des clients peuvent également imposer des restrictions ou des obligations spécifiques.
Cette analyse des risques doit dont être menée par les organes de direction de l’entreprise, afin d’évaluer les conséquences potentielles d’un déploiement de l’IA.
B) La question spécifique de la protection des données confidentielles et stratégiques de l’entreprise
Dans une entreprise, certaines informations peuvent présenter un caractère stratégique et confidentiel.
Certaines d’entre elles peuvent même relever du secret des affaires, protégé notamment par l’article L.151-1 du Code de commerce. Leur divulgation pourrait nuire gravement à l’entreprise, notamment quant à sa position stratégique ou à sa capacité concurrentielle. Cette divulgation est susceptible de constituer un comportement déloyal ou contraire aux usages en matière commerciale.
La notion de secret des affaires concerne toute information dès lors qu’elle répond aux trois critères cumulatifs suivants :
- Elle n’est pas, en elle-même ou dans la configuration et l’assemblage exacts de ses éléments, généralement connue ou aisément accessible pour les personnes familières de ce type d’informations en raison de leur secteur d’activité ;
- Elle revêt une valeur commerciale, effective ou potentielle, du fait de son caractère secret ;
- Elle fait l’objet de la part de son détenteur légitime de mesures de protection raisonnables, compte tenu des circonstances, pour en conserver le caractère secret.
L’entreprise doit ainsi redoubler de vigilance lorsqu’elle communique de telles informations, y compris à ses salariés. Ces derniers doivent s’abstenir de divulguer ce type d’information, notamment en les intégrant dans un outil d’IA.
Lorsqu’au terme du bilan bénéfices/risques l’entreprise a choisi de déployer l’IA au sein de sa structure, elle se doit ensuite d’en encadrer précisément l’usage.
II. Les règles à suivre en cas de déploiement d’outils d’intelligence artificielle en entreprise
A) Définir les IA autorisées
Interdire complètement l’usage de l’IA à ses salariés peut sembler être une mesure de prudence, mais cette approche risque en réalité de nuire à l’entreprise. Comme on le sait, l’IA générative permet d’accélérer la réalisation de tâches répétitives et peu complexe comme la génération de code informatique par exemple.
Ainsi, interdire au salarié d’utiliser cette technologie peut l’empêcher de gagner en productivité. En automatisant des taches simples, le salarié peut se concentrer davantage à la réalisation de tâches à forte valeur « humaine » ajoutée.
De surcroit, une interdiction totale favorisera les utilisateurs à utiliser l’IA de façon dissimulée, rendant l’entreprise vulnérable aux fuites de données, en ce compris les données personnelles ainsi que les données confidentielles.
Il parait ainsi opportun pour le chef d’entreprise de définir la liste des intelligences artificielles autorisées (ou prohibées) dans le cadre des fonctions du salarié. Le chef d’entreprise peut d’ailleurs mettre à disposition de ses utilisateurs une IA sous une licence professionnelle, lui permettant de contrôler plus facilement son usage et d’éviter que les salariés n’utilisent leurs propres comptes personnels pour exécuter leurs missions.
De plus, le RIA a interdit le recours à certains modèles d’IA jugés inacceptables car présentant des risques pour la sécurité des personnes et les droits et libertés fondamentales. Il s’agit notamment des systèmes d’IA qui permettent la manipulation des comportements humains, la prédiction d’infractions pénales, l’exploitation de vulnérabilités liées au handicap ou à l’âge de l’individu, la reconnaissance faciale biométrique à distance dans des espaces publics ou encore la notation des individus/comportement.
L’utilisation de ces modèles doit donc être expressément prohibé par l’employeur, sous peine d’exposer l’entreprise à des amendes administratives pouvant aller jusqu’à 35 000 000 d’euros ou jusqu’à 7 % de son chiffre d’affaires annuel mondial total.
B) Assurer la transparence du contenu
Il est primordial que les salariés et l’ensemble des utilisateurs fassent preuve de transparence quant à l’utilisation de l’IA.
Concernant les fournisseurs d’IA, le RIA leur impose de veiller à ce que les sorties des systèmes d’IA soient marquées dans un « format lisible par machine et identifiables comme ayant été générées ou manipulées par une IA ». Cette obligation impose donc au fournisseur de prévoir des moyens techniques, telles que les filigranes, les identifications de métadonnées ou encore les méthodes cryptographiques pour que l’utilisateur final puisse reconnaitre que le contenu a été généré par une IA.
Concernant les entreprises qui utilisent l’IA et souhaitent exploiter les contenus générés à des fins commerciales ou non, le RIA ne prévoit pas d’obligation formelle et générale d’apposer une mention « généré par IA » sur leurs contenus.
Toutefois, il faut garder à l’esprit que l’Union Européenne et notamment la France a toujours milité pour une utilisation transparente de l’IA. Il n’est ainsi pas impossible de voir apparaitre de nouvelles lois obligeant l’entreprise à identifier les images générées par l’IA publiées sur les réseaux sociaux, comme en témoigne une proposition de loi à ce sujet en date 3 décembre 2024.
De même, l’IA pouvant être utilisée pour générer de images ou vidéos pour la publicité de produits vendus par l’entreprise, il faut toutefois veiller à ce que la publicité présentée aux consommateurs ne soit pas fausse ou trompeuse quant à ses caractéristiques, pratiques qui est prohibée par le Code de la consommation.
Il apparait ainsi pertinent d’apposer la mention « contenu généré par IA » lorsque l’entreprise souhaite exploiter les contenus générés à des fins commerciales. Pour pouvoir apposer ces mentions, il est important que les salariés documentent leur utilisation de l’IA et tiennent informer leurs collègues et leurs supérieurs hiérarchiques lorsque l’IA est intervenue de façon substantielle dans le travail du salarié.
C) Respecter les droits de propriété intellectuelle des tiers
L’intégration et l’utilisation de l’intelligence artificielle dans les processus de création soulèvent des interrogations concernant le respect des droits de propriété intellectuelle des tiers. Ces droits confèrent à leur propriétaire un droit exclusif d’utilisation, de reproduction ou encore d’exploitation. Tout usage par un tiers d’une œuvre protégée par un droit de propriété intellectuelle est constitutif d’un acte de contrefaçon.
Ces questions peuvent être analysées sous deux angles : les données d’entrée et les données de sortie.
Les données d’entrée, c’est-à-dire les données insérées dans l’IA pour entraîner les modèles ou générer des résultats, doivent être soigneusement sélectionnées conformément aux droits des auteurs et des ayants-droits. Une utilisation d’une œuvre protégée sans autorisation expose potentiellement l’entreprise à des risques significatifs en matière de contrefaçon.
Les données de sortie, quant à elles, soulèvent des enjeux tout aussi importants. Le contenu généré par l’IA peut dans certains cas, reproduire ou s’inspirer fortement de données protégées utilisées lors de l’entrainement de l’algorithme.
Cette problématique fait l’objet de nombreuses actions en justice intentées par des artistes ou leurs ayants droits à l’encontre des éditeurs d’IA, accusés de ne pas respecter leurs droits de propriété intellectuelle et donc de contrefaçon.
L’utilisateur pourrait donc se voir lui aussi poursuivi pour réutilisation de contenus enfreignant les droits de propriété de tiers.
De facto, il est essentiel pour l’entreprise de mettre en place des mécanismes de contrôle, tant pour la sélection des données d’entrées que pour l’utilisation des contenus générés par l’IA.
D) Prôner une utilisation responsable et éthique
Les modèles d’intelligence artificielle, notamment générative, sont basées sur des algorithmes complexes, entraînés par une multitude de sources et de données d’origines bien souvent méconnues. C’est pourquoi ces modèles sont régulièrement sujets aux erreurs et aux biais.
Ces modèles ne doivent donc pas être utilisés de manière systématique ou pour un ensemble de tâches qui serait initialement confié à la réflexion individuelle et non-automatisée d’un ou plusieurs utilisateurs. Des résultats faussés par l’IA sur certaines tâches à forte valeur « humaine » ajoutée pourrait ainsi nuire à l’entreprise.
Il est donc important que les salariés fassent un usage éthique des outils technologiques mis à leur disposition, en évitant tout comportant trompeur, frauduleux, haineux, discriminatoires ou diffamants tel que l’utilisation d’IA pour manipuler des informations ou des comportements, inciter à la haine ou violer les droits des tiers.
****************
Il apparait donc nécessaire pour l’entreprise d’appréhender l’IA avec prudence, en adoptant des règles claires et si possibles contraignantes pour l’ensemble des utilisateurs de ces outils. L’adoption d’une charte d’utilisation de l’IA rédigée sur-mesure apparait être la solution la plus efficace car elle intégrera toutes les spécificités et contraintes liées à l’entreprise.
Pour être pleinement opérationnelle, une telle charte doit également prévoir les sanctions applicables en cas de non-respect des obligations qu’elle édite, assurant ainsi une utilisation responsable des outils.
Enfin, cette charte permettra de sécuriser juridiquement l’activité de l’entreprise, tout en renforçant la confiance de ses clients, partenaires et collaborateurs.
AVOCONSEIL, dotée d’un département droit du numérique, est en capacité de proposer aux entreprises différents outils pour appréhender et réglementer l’IA ; à ce titre, les juristes du département droit du numérique se tiennent à votre disposition pour la rédaction d’une charte personnalisée aux besoins de votre entreprise.
Sources :
- https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32024R1689
- https://www.assemblee-nationale.fr/dyn/17/textes/l17b0675_proposition-loi