Qui est responsable en cas de décision erronée prise par un système d'IA en entreprise ?

Réponse courte

La responsabilité en cas de décision automatisée erronée d'un système d'IA en entreprise incombe principalement à l'employeur en tant que déployeur. Le RGPD (article 82) prévoit la responsabilité du responsable de traitement pour tout dommage causé par un traitement non conforme. L'AI Act distingue les obligations du fournisseur (conformité technique) et du déployeur (utilisation conforme et supervision humaine).

L'employeur ne peut invoquer le caractère automatisé de la décision pour s'exonérer de sa responsabilité. La supervision humaine obligatoire implique que toute décision produite par l'IA doit être validée par un opérateur humain compétent. En cas de préjudice subi par un salarié ou un candidat, les recours s'exercent devant le tribunal du travail pour les litiges liés à la relation de travail.

Définition

La responsabilité liée à l'IA en entreprise désigne l'obligation de répondre des conséquences dommageables d'une décision prise ou recommandée par un système d'intelligence artificielle dans le cadre professionnel. Cette responsabilité se répartit entre plusieurs acteurs selon leur rôle dans la chaîne de valeur.

Le cadre juridique européen distingue le fournisseur (qui conçoit et développe le système), le déployeur (l'entreprise qui utilise le système) et l'opérateur humain (le salarié qui interagit avec le système). Chaque acteur assume des obligations spécifiques dont le non-respect engage sa responsabilité civile et, le cas échéant, pénale.

Questions fréquentes

Combien de temps faut-il conserver les logs d'un système d'IA en entreprise ?

L'AI Act impose une conservation des logs pendant 6 mois minimum pour les systèmes à haut risque. Cette conservation permet de documenter la supervision humaine et de justifier la diligence du déployeur en cas d'incident.

Devant quelle juridiction porter un litige lié à une décision IA en RH ?

Les litiges liés à la relation de travail relèvent du tribunal du travail luxembourgeois. Pour un défaut technique du système, l'employeur peut exercer un recours contractuel contre le fournisseur sur base civile.

Faut-il une assurance responsabilité civile spécifique pour l'IA ?

Il est recommandé de souscrire une assurance couvrant spécifiquement les risques liés à l'IA, en vérifiant que la police inclut les dommages directs et indirects résultant de décisions algorithmiques erronées et l'absence de supervision humaine effective.

L'employeur peut-il invoquer l'IA pour s'exonérer de sa responsabilité ?

Non. L'employeur reste responsable des décisions affectant la relation de travail, même lorsqu'elles sont assistées par l'IA. La supervision humaine est obligatoire et toute décision algorithmique doit être validée par un opérateur humain compétent.

Quelles sont les responsabilités du fournisseur d'un système d'IA ?

Selon l'article 25 de l'AI Act, le fournisseur répond de la conformité technique du système, de la documentation, du système de gestion des risques et de la correction des défauts. Sa responsabilité peut être engagée par l'employeur via un recours contractuel.

Qui est responsable d'une décision erronée prise par un système d'IA en entreprise ?

L'employeur, en tant que déployeur, assume la responsabilité principale. Le RGPD (article 82) le rend responsable des dommages causés par un traitement non conforme. L'AI Act distingue les obligations du fournisseur et du déployeur, mais l'automatisation n'exonère jamais l'employeur.

Conditions d’exercice

La répartition de la responsabilité repose sur les obligations respectives de chaque acteur de la chaîne de déploiement de l'IA.

Acteur	Responsabilité
Employeur (déployeur)	Responsabilité principale : utilisation conforme du système, supervision humaine effective, information des personnes concernées, signalement des incidents, conservation des logs pendant 6 mois minimum
Fournisseur	Responsabilité technique : conformité du système aux exigences de l'AI Act, documentation technique, système de gestion des risques, correction des défauts de conformité
Opérateur humain	Responsabilité de supervision : validation des recommandations algorithmiques, signalement des anomalies, respect des procédures internes d'utilisation
RGPD - Responsable de traitement	L'employeur est responsable de traitement au sens du RGPD et répond de tout dommage causé par un traitement non conforme (article 82)
Droit du travail	L'employeur assume la responsabilité des décisions affectant la relation de travail, même lorsqu'elles sont assistées par l'IA
Recours contractuel	L'employeur peut exercer un recours contre le fournisseur si le dommage résulte d'un défaut technique du système

Modalités pratiques

L'identification et la gestion de la responsabilité suivent un processus structuré impliquant plusieurs niveaux d'analyse.

Étape	Détail
Identification de la cause	Déterminer si l'erreur provient du système (biais, défaut technique), de l'utilisation (mauvaise configuration, absence de supervision) ou des données d'entrée
Analyse de la chaîne de responsabilité	Vérifier le respect des obligations respectives du fournisseur (conformité technique) et du déployeur (utilisation conforme)
Documentation de l'incident	Conserver les logs du système, les données d'entrée et de sortie, les actions de l'opérateur humain et le contexte décisionnel
Notification	Informer la CNPD en cas de violation de données (72 heures), signaler l'incident au fournisseur et, le cas échéant, à l'autorité de surveillance AI Act
Remédiation	Corriger immédiatement la décision erronée, indemniser la personne lésée, ajuster les paramètres du système et renforcer la supervision
Recours	Action contre le fournisseur sur base contractuelle si le défaut est technique ; action devant le tribunal du travail pour les litiges salariaux

Pratiques et recommandations

Définir contractuellement la répartition des responsabilités entre l'entreprise et le fournisseur d'IA, en précisant les obligations de chaque partie en matière de conformité, de maintenance et de correction des défauts.

Mettre en place un registre des incidents algorithmiques documentant chaque décision erronée, son origine, son impact et les mesures correctives prises, pour démontrer la diligence de l'employeur en cas de contentieux.

Former les opérateurs humains à détecter les recommandations algorithmiques aberrantes et à exercer un contrôle critique sur les résultats produits par le système, en établissant des procédures claires de signalement et d'escalade.

Souscrire une assurance responsabilité civile couvrant spécifiquement les risques liés à l'utilisation de l'IA, en vérifiant que la police couvre les dommages directs et indirects résultant de décisions algorithmiques erronées.

Cadre juridique

Référence	Objet
RGPD - Article 82	Droit à réparation en cas de dommage causé par un traitement non conforme
RGPD - Article 22	Interdiction des décisions exclusivement automatisées produisant des effets juridiques
AI Act - Article 25	Obligations et responsabilités des fournisseurs de systèmes d'IA à haut risque
AI Act - Article 26	Obligations et responsabilités des déployeurs de systèmes d'IA
Directive (UE) 2024/2853	Directive sur la responsabilité du fait des produits défectueux (incluant les systèmes d'IA)
Art. L.251-1	Interdiction de la discrimination dans les relations de travail
Art. L.124-10	Motif grave de licenciement — cadre applicable en cas de décision RH erronée

Note

L'employeur luxembourgeois reste le responsable principal des décisions affectant ses salariés, même lorsqu'elles sont assistées ou recommandées par un système d'IA. L'automatisation du processus décisionnel ne transfère pas la responsabilité au fournisseur ni à l'algorithme.

La directive européenne sur la responsabilité du fait des produits défectueux, adoptée en 2024, étend son champ d'application aux systèmes d'IA, offrant une voie de recours supplémentaire aux personnes lésées par un système défectueux.