Quelles obligations s'imposent à une entreprise qui déploie un système d'IA à haut risque ?
Réponse courte
L'entreprise qui déploie un système d'IA à haut risque est soumise à des obligations strictes en tant que déployeur au sens de l'AI Act. Elle doit utiliser le système conformément aux instructions du fournisseur, assurer une supervision humaine par des personnes compétentes, vérifier la pertinence des données d'entrée, conserver les logs pendant au moins 6 mois et signaler tout dysfonctionnement au fournisseur et à l'autorité compétente.
L'employeur doit aussi informer la délégation du personnel (article L.261-1) lorsque le système traite des données personnelles, et réaliser une AIPD (article 35 RGPD). L'article L.251-1 impose une vigilance sur l'absence de discrimination dans les résultats. Le non-respect expose à des sanctions AI Act pouvant atteindre 15 millions d'euros ou 3 % du chiffre d'affaires mondial.
Définition
Le déployeur au sens de l'AI Act est toute personne physique ou morale qui utilise un système d'IA sous sa propre autorité dans un cadre professionnel. À la différence du fournisseur qui développe le système, le déployeur est responsable de son utilisation conforme et de la protection des droits des personnes affectées par les résultats du système.
Les obligations du déployeur sont conçues pour garantir que l'utilisation effective du système reste conforme à sa conception et ne porte pas atteinte aux droits fondamentaux. Le déployeur ne peut pas se décharger de sa responsabilité sur le fournisseur : il doit activement superviser, contrôler et documenter l'utilisation du système.
Conditions d’exercice
Les obligations du déployeur couvrent l'ensemble du cycle d'utilisation du système.
| Obligation | Détail |
|---|---|
| Utilisation conforme | Respecter strictement les instructions d'utilisation fournies par le développeur |
| Supervision humaine | Désigner des personnes compétentes, formées et habilitées à intervenir |
| Pertinence des données | Vérifier que les données d'entrée sont pertinentes au regard de la finalité |
| Conservation des logs | Conserver les journaux d'événements générés automatiquement pendant au moins 6 mois |
| Signalement | Informer le fournisseur et l'autorité compétente de tout risque ou dysfonctionnement |
| Information des personnes | Informer les personnes concernées de l'utilisation d'un système d'IA à haut risque |
| AIPD | Réaliser une analyse d'impact sur la protection des données (RGPD Art. 35) |
| Consultation délégation | Informer préalablement la délégation du personnel (Art. L.261-1) |
Modalités pratiques
La mise en conformité du déployeur suit un processus structuré avant, pendant et après le déploiement.
| Phase | Actions |
|---|---|
| Avant le déploiement | Obtenir la documentation technique du fournisseur ; réaliser l'AIPD ; informer la délégation du personnel ; former les superviseurs |
| Au déploiement | Vérifier la configuration conforme aux instructions ; tester le système sur des données représentatives ; mettre en place les procédures de supervision |
| En fonctionnement | Superviser les résultats ; conserver les logs ; signaler les incidents ; auditer périodiquement les performances et les biais |
| En cas d'incident | Suspendre le système si nécessaire ; signaler au fournisseur et à l'autorité ; documenter l'incident et les mesures correctives |
Pratiques et recommandations
Formaliser les procédures de supervision humaine dans un document interne précisant les rôles, les responsabilités, les seuils d'alerte et les modalités d'intervention.
Former les superviseurs désignés aux spécificités du système et à la détection des résultats anormaux ou discriminatoires, avec des sessions de mise à jour régulières.
Archiver les logs et la documentation de manière sécurisée et accessible, en anticipant les demandes de contrôle par la CNPD ou l'autorité nationale AI Act.
Contractualiser avec le fournisseur un niveau de service incluant la maintenance, les mises à jour de conformité, la transmission des incidents et le support technique en cas de dysfonctionnement.
Cadre juridique
| Référence | Objet |
|---|---|
| AI Act - Article 26 | Obligations du déployeur de systèmes d'IA à haut risque |
| AI Act - Article 27 | Analyse d'impact sur les droits fondamentaux pour les déployeurs |
| AI Act - Article 99 | Sanctions : jusqu'à 15 M EUR ou 3 % du CA mondial |
| RGPD - Article 35 | AIPD obligatoire pour les traitements à risque élevé |
| Art. L.261-1 | Information préalable de la délégation du personnel |
| Art. L.251-1 | Non-discrimination dans les résultats du système |
Note
Le déployeur ne peut pas se retrancher derrière la conformité du fournisseur : il porte une responsabilité propre sur l'utilisation effective du système. Les obligations AI Act, RGPD et Code du travail sont cumulatives et doivent être satisfaites simultanément.