Tout système d’intelligence artificielle (IA) soulève des enjeux juridiques. Lorsqu’il traite des données personnelles, ce qui est fréquent, il est assujetti aux lois sur la protection des renseignements personnels et de la vie privée. S’il exploite des œuvres protégées, il peut enfreindre les droits d’auteur ou de propriété intellectuelle. S’il remplace des fonctions humaines, le droit du travail peut s’appliquer. Et s’il prend des décisions de façon autonome, des questions de responsabilité peuvent survenir. La liste est longue. Qu’il existe ou non des lois propres à l’IA, l’état de droit demeure applicable. En l’absence de cadre législatif spécifique, une gestion rigoureuse des risques juridiques passe par la mise en place d’un programme de gouvernance de l’IA à l’échelle de l’entreprise. Les normes émergentes élaborées par l’Organisation internationale de normalisation (ISO) et le National Institute of Standards and Technology (NIST) servent de repères pour encadrer le développement et l’adoption responsables de l’IA.

En nous basant sur le processus décisionnel des entreprises, nous avons élaboré une approche en six grandes étapes pour gérer les risques juridiques liés à l’IA.

1. Vision

La norme ISO 42001 : Technologies de l'information – Intelligence artificielle – Système de management¹ accorde une place centrale au contexte organisationnel (section 4). C’est souvent l’élément le plus déterminant : chaque organisation occupe un rôle différent – développeur, fournisseur ou utilisateur – et son adoption de l’IA doit être cohérente avec sa mission, son modèle d’affaires et son environnement.

Selon la norme ISO 42001, l'utilisation responsable et légale de l'IA commence par une réflexion stratégique sur les éléments suivants :

• Quelles sont les exigences juridiques applicables, y compris les utilisations interdites de l'IA?
• Quelles politiques, lignes directrices et décisions réglementaires encadrent le développement et l'utilisation des systèmes d'IA?
• Quels bénéfices sont visés (p. ex., gains d'efficacité) et quels risques sont anticipés (p. ex., risques en matière de sécurité)?
• Comment l'utilisation prévue de l'IA s'intégrerait-elle dans la culture, les traditions, les valeurs, les normes et l'éthique de l'organisation?
• Quel est le paysage concurrentiel et quelles sont les tendances pour les nouveaux produits et services utilisant des systèmes d'IA?
• Quels seront les effets pour les parties prenantes, qu'il s'agisse des utilisateurs, des clients, des employés ou des partenaires?

Une solide compréhension du contexte interne est tout aussi essentielle pour assurer la conformité :

• Les structures de gouvernance, les objectifs, les politiques et les procédures internes;
• Les obligations contractuelles en vigueur;
• Les objectifs du système d'IA visé;
• La nature des données utilisées (personnelles, protégées, publiques, etc.);
• Le rôle de l'organisation en matière de traitement des données à caractère personnel (responsable ou sous-traitant).

Cet exercice permet d’ancrer l’adoption de l’IA dans la réalité juridique propre à l’organisation et de poser les bases d’une gouvernance efficace.

2. Définition

L'expérience nous a appris qu'il est important de fournir une définition claire de l'IA à l'ensemble de l'organisation comme condition préalable à la conformité. Même l'Observatoire des politiques en matière d'IA de l'Organisation de coopération et de développement économiques (OCDE) reconnaît que la distinction entre les systèmes basés sur l'IA et les systèmes automatisés classiques peut être floue². Si cette distinction est difficile à cerner pour les experts, elle le sera encore plus pour les personnes qui envisagent l’adoption de solutions technologiques pour soutenir les activités de leur organisation. La définition actualisée de l'OCDE qui fait actuellement autorité³ est la suivante :

[Traduction libre] « Un système d’IA est un système basé sur une machine qui, pour des objectifs explicites ou implicites, déduit, à partir des données qu’il reçoit, comment générer des résultats tels que des prédictions, du contenu, des recommandations ou des décisions pouvant influencer les environnements physiques ou virtuels. Les différents systèmes d’IA varient dans leurs niveaux d’autonomie et d’adaptabilité après le déploiement. »

La note explicative de l'OCDE au sujet de cette définition⁴ met en évidence trois caractéristiques principales de l'IA :

• Apprentissage automatique : le système développe sa propre compréhension des données qu'il reçoit afin de générer ses propres résultats.
• Inférences : les résultats sont le fruit du raisonnement du système lui-même.
• Autonomie : le système déduit ses résultats à partir de sa propre logique.

Une fois que l'on comprend clairement ce qui constitue l'IA, l'étape suivante pour évaluer la conformité juridique consiste à obtenir une description claire du système d'IA visé :

• Quelles sont ses caractéristiques, sa portée, et les lois potentiellement applicables?
• Quelles sont les utilisations et les limites acceptables?
• Quels sont les risques juridiques que l’organisation peut tolérer?

La plupart du temps, cette étape nécessite l’intervention de juristes spécialisés, chargés de cartographier les risques en fonction des lois pertinentes (protection des données, droit d’auteur, responsabilité, etc.).

3. Planification

Une fois les implications juridiques d’un système d'IA bien définies, l'organisation doit établir un cadre de gouvernance interne pour assurer la conformité. La norme ISO/IEC 38507, consacrée à la gouvernance des technologies de l’information⁵, identifie trois caractéristiques de l’IA qui influencent directement cette responsabilité :

• Automatisation des décisions : l'IA peut prendre des décisions à une vitesse sans précédent, ce qui en fait un outil puissant nécessitant une surveillance proportionnée.
• Résolution de problèmes fondée sur les données : les grandes quantités de données traitées par l'IA créent à la fois un potentiel élevé et des défis accrus en matière de gouvernance des données.
• Systèmes adaptatifs : les systèmes d'IA se réentraînent à partir de leurs propres apprentissages. Cette adaptabilité, ou « apprentissage continu », peut rendre caducs les objectifs et contrôles initiaux, ce qui exige une surveillance juridique constante.

Dans ce contexte, la norme ISO/IEC 38507 recommande que l’instance dirigeante de l'organisation s’assure de ce qui suit :

• L’adoption de politiques encadrant l’usage de l’IA;
• La définition et l’attribution des rôles et responsabilités;
• La mise en place de contrôles humains adéquats à toutes les étapes de l’utilisation de l’IA;
• La formation adéquate des utilisateurs, en lien avec les politiques internes.

À titre de référence, la norme ISO/IEC 38507 énumère les objectifs que les organisations doivent viser, qui correspondent à ceux identifiés dans le cadre de gestion des risques liés à l'intelligence artificielle du NIST (cadre NIST)⁶ ainsi que dans les stratégies nationales en matière d'IA :

• Responsabilité, grâce à un programme de gouvernance de l'IA approprié.
• Réputation et confiance, fondées sur la culture, les traditions, les valeurs, les normes et l'éthique de l'environnement de l'organisation (voir l’étape 1 : Vision).
• Devoir de diligence, fondé sur l'évaluation des risques juridiques.
• Sécurité, englobant tous les risques de préjudice afin de mettre en place les mesures correctives requises par la loi.
• Sécurité et confidentialité des systèmes, couvrant la cybersécurité avec une attention particulière au respect des exigences légales en matière de confidentialité des données à caractère personnel.
• Protection et intégrité des données, pour limiter les biais et protéger les droits individuels à la vie privée.
• Transparence des processus décisionnels liés à l’IA, ainsi que de la logique impliquée, afin de garantir l'explicabilité requise par la législation sur la confidentialité⁷.

La section 5 de la norme ISO 42001 énonce les éléments essentiels d'une politique organisationnelle en matière d'IA :

• Rôles, responsabilités et pouvoirs.
• Cadre pour la définition des objectifs en matière d'IA.
• Exigences propres à l'adoption de l'IA.
• Engagement envers la vision énoncée.
• Engagement envers l'amélioration continue du système de gestion de l'IA.
• Référence à d'autres politiques d'entreprise pertinentes afin d'intégrer la politique en matière d'IA dans le cadre stratégique de l'organisation.
• Processus d'évaluation des risques et des possibilités.
• Critères de risque permettant de :
• Distinguer les risques acceptables des risques inacceptables;
• Réaliser des évaluations des risques liés à l'IA, y compris des évaluations des facteurs relatifs à la vie privée;
• Mettre en œuvre le traitement des risques liés à l'IA; et
• Évaluer les impacts des risques liés à l'IA.
• Objectifs et mécanismes de contrôle.

Cette politique en matière d'IA doit être accessible à l'ensemble des membres de l'organisation ainsi qu'aux parties intéressées, et être intégrée au cadre de gouvernance global. D’un point de vue juridique, elle sert à démontrer la responsabilité de l’organisation dans sa gestion des risques liés à l’IA.

4. Mise en œuvre

L'évaluation des risques constitue la phase préliminaire de la mise en œuvre des systèmes d'IA. Deux cadres de référence fournissent des balises solides : la norme ISO/IEC 23894⁸ et le cadre de gestion des risques liés à l’IA du NIST⁹.

Ce dernier identifie sept objectifs clés à atteindre pour évaluer et gérer les risques liés à l’IA, dont les risques juridiques, en lien avec les normes ISO :

• Validation et fiabilité : confirmation, par la fourniture de preuves objectives, que les exigences pour une utilisation ou une application spécifique ont été satisfaites (source : ISO 9000:2015).
• Sécurité : le système d'IA ne doit pas, dans des conditions définies, conduire à un état dans lequel la vie humaine, la santé, les biens ou l'environnement sont mis en danger (source : ISO/IEC TS 5723:2022).
• Résilience : le système d'IA peut résister à des événements indésirables imprévus ou à des changements imprévus dans son environnement ou son utilisation (adapté de : ISO/IEC TS 5723:2022).
• Responsabilité et transparence : la transparence étant une condition essentielle à la responsabilité, ce qui implique que des informations pertinentes soient mises à disposition sur l'utilisation des systèmes d'IA.
• Extensibilité et interprétabilité : en référence à la transparence du système d'IA proprement dit.
• Renforcement de la confidentialité : nécessite l'évaluation de tous les impacts du système d'IA sur la confidentialité en termes de collecte, d'utilisation et de résultats des données.
• Équité : en référence à la gestion des risques liés aux biais préjudiciables.

Pour chacun de ces objectifs, l'organisation doit identifier les risques associés au système, mesurer leur portée et leur probabilité, déterminer sa tolérance au risque et prioriser les mesures à mettre en place.

5. Contrôle

La gestion des risques juridiques liés à l'IA est un processus continu. La norme ISO 42001 prévoit trois axes de contrôle essentiels :

• Prévention par la mise en place d’un soutien adéquat : la norme ISO souligne l'importance d'allouer des ressources financières et humaines suffisantes à la gestion responsable des systèmes d'IA, d'identifier les compétences et l'expertise nécessaires, d'assurer une large sensibilisation par une communication efficace et de documenter les mesures prises.
• Sécurité des opérations grâce à une planification, une évaluation et un traitement des risques appropriés, sur la base d'un processus clair d'évaluation de l'impact des systèmes d'IA.
• Évaluation continue, avec suivi des performances, audits internes et examen par la direction.

La documentation rigoureuse de ces actions est indispensable pour démontrer la diligence requise et réduire l’exposition aux risques juridiques.

6. Amélioration

Comme l’a souligné Ronan Davy, conseiller juridique associé chez Anthropic, lors du sommet sur l’IA de l’International Association of Privacy Professionals (IAPP) en mai 2025 à Dublin :

[Traduction libre] « Il y aura des ambiguïtés, et ce n'est pas grave. Sachez que le programme de conformité que vous mettrez en place sera continuellement revu et évoluera au fil du temps. »

La norme ISO 42001 insiste sur le caractère itératif de la gouvernance de l’IA. L’organisation doit identifier les cas de non-conformité, analyser les causes, la portée et les risques de récidive, mettre en œuvre des mesures correctives et vérifier l’efficacité des ajustements apportés.

Conclusion

Tout au long du processus de gestion des systèmes d'IA, l'atténuation des risques juridiques nécessite des processus clairs, structurés et bien documentés.

Une fois toutes ces étapes franchies, l'organisation doit revenir à sa vision pour s'assurer qu'elle est toujours en phase avec son environnement juridique, réévaluer les enjeux juridiques à la lumière de l'évolution des cadres réglementaires, revoir sa planification en conséquence, mettre en œuvre les changements nécessaires, les contrôler et les améliorer en permanence afin de maintenir la conformité juridique. La gestion des risques juridiques liés à l'IA est un processus continu.

Pour obtenir de plus amples renseignements au sujet de ce qui précède, veuillez communiquer avec l’auteure de cet article, Chantal Bernier.

Pour découvrir comment nous pouvons vous aider à relever vos défis liés à l’IA, nous vous invitons à consulter notre centre de ressources mondial sur l’IA (en anglais seulement) : AI: Global Solutions Hub.

1. ISO/IEC Technologies de l'information — Intelligence artificielle — Système de management. Les normes ISO sont protégées par le droit d'auteur.↩
2. What is AI? Can you make a clear distinction between AI and non-AI systems?↩
3. Explanatory memorandum on the updated OECD definition of an AI system↩
4. Op. cit.↩
5. ISO / IEC 38507 Technologies de l'Information — Gouvernance des technologies de l'information — Implications de gouvernance de l'utilisation par des organisations de l'intelligence artificielle↩
6. Cadre de gestion des risques liés à l'intelligence artificielle (AI RMF 1.0), National Institute of Standards and Technology↩
7. Entre autres textes, le Règlement général sur la protection des données (RGPD), à l'article 13, exige que les informations fournies lorsque des données à caractère personnel sont collectées auprès de la personne concernée comprennent l’existence d’une prise de décision automatisée, y compris le profilage, visée à l'article 22, paragraphes 1 et 4, et, au moins dans ces cas, des informations utiles concernant la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée, et la Loi sur la protection des renseignements personnels dans le secteur privé du Québec, à l'article 12.1, crée le droit pour une personne qui a fait l'objet d'une décision prise exclusivement par traitement automatisé d'obtenir, sur demande, des renseignements sur les raisons et les principaux facteurs et paramètres qui ont conduit à la décision.↩
8. ISO /IEC 23894 Technologies de l'information – Intelligence artificielle – Recommandations relatives au management du risque↩
9. Op. cit., page 6.↩