Tout système d’intelligence artificielle (IA) soulève des enjeux juridiques. Lorsqu’il traite des données personnelles, ce qui est fréquent, il est assujetti aux lois sur la protection des renseignements personnels et de la vie privée. S’il exploite des œuvres protégées, il peut enfreindre les droits d’auteur ou de propriété intellectuelle. S’il remplace des fonctions humaines, le droit du travail peut s’appliquer. Et s’il prend des décisions de façon autonome, des questions de responsabilité peuvent survenir. La liste est longue. Qu’il existe ou non des lois propres à l’IA, l’état de droit demeure applicable. En l’absence de cadre législatif spécifique, une gestion rigoureuse des risques juridiques passe par la mise en place d’un programme de gouvernance de l’IA à l’échelle de l’entreprise. Les normes émergentes élaborées par l’Organisation internationale de normalisation (ISO) et le National Institute of Standards and Technology (NIST) servent de repères pour encadrer le développement et l’adoption responsables de l’IA.
En nous basant sur le processus décisionnel des entreprises, nous avons élaboré une approche en six grandes étapes pour gérer les risques juridiques liés à l’IA.
La norme ISO 42001 : Technologies de l'information – Intelligence artificielle – Système de management1 accorde une place centrale au contexte organisationnel (section 4). C’est souvent l’élément le plus déterminant : chaque organisation occupe un rôle différent – développeur, fournisseur ou utilisateur – et son adoption de l’IA doit être cohérente avec sa mission, son modèle d’affaires et son environnement.
Selon la norme ISO 42001, l'utilisation responsable et légale de l'IA commence par une réflexion stratégique sur les éléments suivants :
Une solide compréhension du contexte interne est tout aussi essentielle pour assurer la conformité :
Cet exercice permet d’ancrer l’adoption de l’IA dans la réalité juridique propre à l’organisation et de poser les bases d’une gouvernance efficace.
L'expérience nous a appris qu'il est important de fournir une définition claire de l'IA à l'ensemble de l'organisation comme condition préalable à la conformité. Même l'Observatoire des politiques en matière d'IA de l'Organisation de coopération et de développement économiques (OCDE) reconnaît que la distinction entre les systèmes basés sur l'IA et les systèmes automatisés classiques peut être floue2. Si cette distinction est difficile à cerner pour les experts, elle le sera encore plus pour les personnes qui envisagent l’adoption de solutions technologiques pour soutenir les activités de leur organisation. La définition actualisée de l'OCDE qui fait actuellement autorité3 est la suivante :
[Traduction libre] « Un système d’IA est un système basé sur une machine qui, pour des objectifs explicites ou implicites, déduit, à partir des données qu’il reçoit, comment générer des résultats tels que des prédictions, du contenu, des recommandations ou des décisions pouvant influencer les environnements physiques ou virtuels. Les différents systèmes d’IA varient dans leurs niveaux d’autonomie et d’adaptabilité après le déploiement. »
La note explicative de l'OCDE au sujet de cette définition4 met en évidence trois caractéristiques principales de l'IA :
Une fois que l'on comprend clairement ce qui constitue l'IA, l'étape suivante pour évaluer la conformité juridique consiste à obtenir une description claire du système d'IA visé :
La plupart du temps, cette étape nécessite l’intervention de juristes spécialisés, chargés de cartographier les risques en fonction des lois pertinentes (protection des données, droit d’auteur, responsabilité, etc.).
Une fois les implications juridiques d’un système d'IA bien définies, l'organisation doit établir un cadre de gouvernance interne pour assurer la conformité. La norme ISO/IEC 38507, consacrée à la gouvernance des technologies de l’information5, identifie trois caractéristiques de l’IA qui influencent directement cette responsabilité :
Dans ce contexte, la norme ISO/IEC 38507 recommande que l’instance dirigeante de l'organisation s’assure de ce qui suit :
À titre de référence, la norme ISO/IEC 38507 énumère les objectifs que les organisations doivent viser, qui correspondent à ceux identifiés dans le cadre de gestion des risques liés à l'intelligence artificielle du NIST (cadre NIST)6 ainsi que dans les stratégies nationales en matière d'IA :
La section 5 de la norme ISO 42001 énonce les éléments essentiels d'une politique organisationnelle en matière d'IA :
Cette politique en matière d'IA doit être accessible à l'ensemble des membres de l'organisation ainsi qu'aux parties intéressées, et être intégrée au cadre de gouvernance global. D’un point de vue juridique, elle sert à démontrer la responsabilité de l’organisation dans sa gestion des risques liés à l’IA.
L'évaluation des risques constitue la phase préliminaire de la mise en œuvre des systèmes d'IA. Deux cadres de référence fournissent des balises solides : la norme ISO/IEC 238948 et le cadre de gestion des risques liés à l’IA du NIST9.
Ce dernier identifie sept objectifs clés à atteindre pour évaluer et gérer les risques liés à l’IA, dont les risques juridiques, en lien avec les normes ISO :
Pour chacun de ces objectifs, l'organisation doit identifier les risques associés au système, mesurer leur portée et leur probabilité, déterminer sa tolérance au risque et prioriser les mesures à mettre en place.
La gestion des risques juridiques liés à l'IA est un processus continu. La norme ISO 42001 prévoit trois axes de contrôle essentiels :
La documentation rigoureuse de ces actions est indispensable pour démontrer la diligence requise et réduire l’exposition aux risques juridiques.
Comme l’a souligné Ronan Davy, conseiller juridique associé chez Anthropic, lors du sommet sur l’IA de l’International Association of Privacy Professionals (IAPP) en mai 2025 à Dublin :
[Traduction libre] « Il y aura des ambiguïtés, et ce n'est pas grave. Sachez que le programme de conformité que vous mettrez en place sera continuellement revu et évoluera au fil du temps. »
La norme ISO 42001 insiste sur le caractère itératif de la gouvernance de l’IA. L’organisation doit identifier les cas de non-conformité, analyser les causes, la portée et les risques de récidive, mettre en œuvre des mesures correctives et vérifier l’efficacité des ajustements apportés.
Tout au long du processus de gestion des systèmes d'IA, l'atténuation des risques juridiques nécessite des processus clairs, structurés et bien documentés.
Une fois toutes ces étapes franchies, l'organisation doit revenir à sa vision pour s'assurer qu'elle est toujours en phase avec son environnement juridique, réévaluer les enjeux juridiques à la lumière de l'évolution des cadres réglementaires, revoir sa planification en conséquence, mettre en œuvre les changements nécessaires, les contrôler et les améliorer en permanence afin de maintenir la conformité juridique. La gestion des risques juridiques liés à l'IA est un processus continu.
Pour obtenir de plus amples renseignements au sujet de ce qui précède, veuillez communiquer avec l’auteure de cet article, Chantal Bernier.
Pour découvrir comment nous pouvons vous aider à relever vos défis liés à l’IA, nous vous invitons à consulter notre centre de ressources mondial sur l’IA (en anglais seulement) : AI: Global Solutions Hub.
Les courriels non sollicités et les autres renseignements envoyés à Dentons ne seront pas considérés comme confidentiels, pourraient être communiqués à des tiers ou ne pas obtenir de réponse et ne créent pas de relation avocat client. Si vous n’êtes pas un client de Dentons, vous ne devriez pas nous envoyer de renseignements confidentiels.
Ce contenu est disponible en anglais seulement. S'il vous plaît cliquer sur Continuer ci-dessous pour lire cela en anglais.
Vous quittez maintenant le site Web de Dentons. Vous serez redirigé vers le site Web de $redirectingsite en anglais. Pour continuer, cliquez sur « Continuer ».
Vous quittez maintenant le site Web de Dentons. Vous serez redirigé vers le site Web de Beijing Dacheng Law Offices, LLP. Pour continuer, cliquez sur « Continuer ».