L'employeur doit-il informer les clients et partenaires de l'utilisation de l'IA dans ses services ?
Réponse courte
L'AI Act impose une obligation de transparence envers les personnes interagissant avec un système d'IA. L'employeur doit informer les clients et partenaires lorsqu'ils interagissent avec un système d'IA (chatbot, système de recommandation, analyse automatisée) ou lorsqu'un contenu a été généré par l'IA. Cette obligation s'applique quel que soit le niveau de risque du système.
Le RGPD complète cette exigence en imposant l'information des personnes concernées sur l'existence d'une décision automatisée (articles 13 et 14). Au Luxembourg, la CNPD veille au respect de ces obligations. Le non-respect de la transparence peut entraîner des sanctions AI Act (jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires mondial) et du RGPD.
Définition
L'obligation de transparence IA désigne le devoir pour l'entreprise d'informer toute personne (client, partenaire, utilisateur) qu'elle interagit avec un système d'intelligence artificielle ou que des décisions la concernant sont prises ou assistées par l'IA. Cette obligation vise à garantir que les personnes peuvent exercer un choix éclairé et faire valoir leurs droits.
Au Luxembourg, cette obligation découle de deux cadres réglementaires complémentaires : l'AI Act (article 50 sur les obligations de transparence) et le RGPD (articles 13, 14 et 22 sur l'information des personnes concernées). Elle s'applique indépendamment de la relation contractuelle entre l'entreprise et la personne concernée.
Questions fréquentes
Conditions d’exercice
L'obligation d'information des clients et partenaires sur l'utilisation de l'IA repose sur des exigences cumulatives.
| Critère | Détail |
|---|---|
| AI Act - Transparence | Information obligatoire de toute personne interagissant avec un système d'IA (chatbot, assistant virtuel, système de recommandation) |
| Contenu généré par IA | Signalement obligatoire des contenus (textes, images, vidéos, audio) générés ou manipulés par l'IA |
| RGPD - Information | Information sur l'existence d'une prise de décision automatisée, la logique sous-jacente, les conséquences prévues (articles 13, 14) |
| RGPD - Article 22 | Droit de ne pas être soumis à une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques |
| Moment de l'information | Information fournie avant ou au début de l'interaction avec le système d'IA |
| Forme de l'information | Claire, concise, facilement accessible ; adaptée au contexte (mention sur site web, avertissement vocal, bandeau d'information) |
| Exceptions limitées | Systèmes d'IA utilisés pour la détection de la criminalité, sous conditions strictes et avec autorisation judiciaire |
Modalités pratiques
La mise en conformité avec l'obligation de transparence envers les clients et partenaires suit un processus structuré.
| Étape | Détail |
|---|---|
| Inventaire des systèmes | Cartographier tous les systèmes d'IA en contact avec les clients et partenaires (chatbots, scoring, recommandation, analyse) |
| Classification | Identifier le niveau de risque de chaque système (AI Act) et la base légale du traitement (RGPD) |
| Rédaction des mentions | Préparer des mentions d'information adaptées à chaque canal (site web, application, email, téléphone) |
| Intégration technique | Intégrer les mentions dans les interfaces utilisateur, les réponses automatiques, les documents contractuels |
| Formation des équipes | Former les équipes commerciales et support à expliquer l'utilisation de l'IA et à répondre aux questions des clients |
| Mise à jour continue | Actualiser les mentions lors de tout changement de système d'IA ou de finalité de traitement |
Pratiques et recommandations
Adopter une approche proactive de la transparence en informant systématiquement les clients et partenaires, même lorsque le niveau de risque du système est considéré comme minimal.
Rédiger des mentions d'information en langage clair et accessible, en évitant le jargon technique et en expliquant concrètement ce que fait le système d'IA et pourquoi.
Intégrer la transparence IA dans les conditions générales de vente et les contrats de service, en précisant les systèmes utilisés, les données traitées et les droits des personnes.
Prévoir un canal de contact identifié permettant aux clients de poser des questions sur l'utilisation de l'IA et d'exercer leurs droits (accès, opposition, explication humaine).
Documenter les mesures de transparence mises en place pour constituer un dossier de conformité en cas de contrôle de la CNPD.
Cadre juridique
| Référence | Objet |
|---|---|
| AI Act (UE 2024/1689) - Article 50 | Obligations de transparence pour les systèmes d'IA interagissant avec des personnes |
| AI Act - Article 52 | Obligations de transparence pour les contenus générés par l'IA |
| RGPD - Articles 13 et 14 | Obligations d'information des personnes concernées |
| RGPD - Article 22 | Décision individuelle automatisée, information et droits des personnes |
| RGPD - Article 15 | Droit d'accès des personnes, informations sur la logique algorithmique |
| CNPD | Autorité de contrôle au Luxembourg, compétente RGPD et AI Act |
Note
L'obligation de transparence envers les clients et partenaires constitue un pilier de l'AI Act et du RGPD. Son respect renforce la confiance commerciale et réduit le risque de sanctions financières. Les entreprises luxembourgeoises ont intérêt à anticiper cette obligation en adoptant une politique de transparence proactive.