OPINION. « Règlement IA et devoir de vigilance : vers une nécessaire convergence », par Claire Li et Olivier Attias, avocate et associé au cabinet August Debouzy
Claire Li et Olivier Attias
Claire Li et Olivier Attias, avocate et associé au cabinet August Debouzy.
Un mois après le Sommet international sur l’IA qui s’est tenu à Paris, les avocats d’affaires Olivier Attias et Claire Li du cabinet August Debouzy décryptent l’impact pour les entreprises françaises du double impératif de mise en conformité engendré par le Règlement IA européen (adopté mi-2024) et le devoir de vigilance, qui trouve ses origines dans le droit français.
L'intelligence artificielle, désormais omniprésente, ouvre des perspectives considérables en matière d'innovation et de productivité. Pour encadrer son développement, l'Union Européenne a adopté le Règlement IA, un cadre normatif ambitieux visant à garantir la sécurité, la fiabilité et l'éthique des systèmes d'IA.
Parallèlement, le devoir de vigilance, initialement ancré dans le droit français et désormais étendu à l'échelle européenne, impose aux grandes entreprises une responsabilité accrue dans la prévention des atteintes aux droits humains, à l'environnement et à la santé et sécurité des travailleurs. Si ces deux cadres réglementaires poursuivent des objectifs convergents, ils présentent également des points de tension qui complexifient la mise en conformité des entreprises.
Une difficulté majeure réside dans la méthodologie d'évaluation des risques. Le Règlement IA catégorise les systèmes d'IA en fonction de leur niveau de risque, en imposant des exigences proportionnées à leur impact potentiel. Les systèmes classés comme "haut risque", notamment ceux impliqués dans des domaines critiques (santé, justice, recrutement, etc.), doivent respecter des obligations strictes en matière de transparence, de traçabilité et de robustesse. En revanche, le devoir de vigilance impose aux entreprises d'adopter une approche plus globale, couvrant l'ensemble de sa chaîne d'approvisionnement et visant à identifier et prévenir toute atteinte grave aux droits fondamentaux, environnement et santé-sécurité. Cette approche extensive englobe en partie l'analyse de risque qui doit être réalisée au titre du Règlement IA.
Une double exigence de conformité pour les entreprises
L'enjeu devient encore plus complexe lorsque l'IA est intégrée dans des décisions stratégiques d'entreprise. Une entité qui déploie l'IA pour améliorer son efficacité interne ou qui commercialise des solutions basées sur cette technologie doit répondre simultanément aux obligations issues de ces deux règlementations.
D'un côté, la conformité aux normes strictes du Règlement IA - notamment en matière de transparence et de sécurité - et de l'autre, la mise en œuvre d'un plan de vigilance qui doit appréhender les atteintes aux droits de l'homme, environnement et santé-sécurité. Cette double exigence pourrait non seulement alourdir la charge administrative des entreprises, mais surtout rendre plus difficile l'identification et la priorisation des risques, qu'ils soient d'ordre technologique, éthique ou environnemental.
Newsletter
La Tribune Dimanche
Chaque dimanche, l’essentiel de l’actualité économique, politique et sociétale.
Les entreprises gagneraient à mutualiser leurs outils et méthodologies afin de gagner une vision unifiée des risques.
Pour répondre à cette problématique, une approche intégrée s'impose. La notion de « vigilance intégrée » repose sur la convergence des dispositifs d'évaluation des risques que doivent mettre en œuvre les entreprises. Plutôt que d'opérer ces démarches en silos, les entreprises gagneraient à mutualiser leurs outils et méthodologies afin de gagner une vision unifiée des risques. Une telle harmonisation renforcerait la transparence et l'efficacité dans l'identification, la prévention et l'atténuation des impacts négatifs, tout en limitant les doublons et en améliorant l'adaptabilité aux évolutions réglementaires et technologiques.
L'adoption d'une vigilance intégrée implique également une refonte des modes de gouvernance. Dès la conception des systèmes d'IA, il devient essentiel d'associer des experts en conformité réglementaire, en éthique et en gestion des risques afin de garantir que chaque innovation respecte un cadre normatif cohérent et préventif.
Ainsi, face aux défis posés par l'articulation du Règlement IA et du devoir de vigilance, il apparaît nécessaire de privilégier une approche synergique. La vigilance intégrée constitue un levier stratégique pour les entreprises désireuses de concilier performance technologique et responsabilité sociétale. En promouvant une IA éthique et durable, elle s'inscrit pleinement dans les ambitions d'un cadre réglementaire européen en perpétuelle évolution.