Pour les systèmes d'IA à haut risque, l'AI Act impose immédiatement un système de gestion des risques, une gouvernance des données, une documentation technique et un marquage CE avant mise sur le marché.

L'AI Act classe comme 'haut risque" les systèmes listés à l'Annexe III (ex : recrutement, éducation, crédit, infrastructures critiques) ou intégrés à des produits soumis à évaluation de conformité. Les obligations principales figurent aux articles 8 à 15 : conformité ex ante, contrôle continu et responsabilité du fournisseur. Aucune mise sur le marché ou mise en service n'est possible sans respect préalable de ces exigences.

Obligation structurantes pour les systèmes à haut risque :

• Mettre en place un système de gestion des risques couvrant l'ensemble du cycle de vie ;

• Assurer une gouvernance et qualité des données d'entraînement ;

• Constituer une documentation technique complète ;

• Garantir la traçabilité et la tenue des logs ;

• Fournir une information claire aux utilisateurs ;

• Mettre en place une surveillance humaine effective ;

• Assurer la robustesse, précision et cybersécurité ;

• Réaliser une évaluation de conformité avant mise sur le marché ;

• Procéder au marquage CE et à l'enregistrement dans la base européenne.

Ces obligations s'appliquent principalement aux fournisseurs, mais certains devoirs incombent aussi aux déployeurs (utilisateurs professionnels), notamment en matière d'utilisation conforme et de surveillance.

L'œil du consultant : Le piège classique est de traiter le 'haut risque" comme une simple formalité documentaire. En réalité, l'AI Act impose une logique proche du marquage CE industriel : processus qualité, traçabilité et preuve continue de conformité. Les entreprises qui n'intègrent pas ces exigences dès la phase de conception devront reconstruire leur gouvernance a posteriori, ce qui est coûteux et complexe.

Une charte d'utilisation de l'IA générative doit être mise en place en définissant des règles claires d'usage, de sécurité et de responsabilité, validées par la direction.

Une charte IA encadre juridiquement et opérationnelemment l'usage des outils d'IA générative (ChatGPT, Copilot, etc) par les salariés. Elle s'appuie notamment sur le RGPD (articles 5, 6 et 32) pour la protection des données, sur le code du travail (pouvoir de direction et réglement intérieur) et sur l'AI Act pour les obligations liées aux systèmes d'IA (transparence, gestion des risques selon le niveau de risque). La charte doit être cohérente avec les politiques SSI, la conformité et la protection des données existantes.

Etapes clés pour structurer la charte IA :

• Cartographier les usages autorisés et interdits (RH, marketing, code relation client etc.) ;

• Définir les règles de confidentialité (interdiction d'entrer des données sensibles ou stratégiques sans validation) ;

• Encadrer les données personnelles (base légale, minimisation, absence d'upload de fichiers non anonymisés) ;

• Préciser la responsabilité humaine finale (aucune décision automatisée sans validation humaine) ;

• Intégrer des exigences de cybersécurité (outils approuvés, comptes professionnels, traçabilité) ;

• Définir un processus de validation des nouveaux cas d'usage (IT, juridique, métier) ;

• Prévoir un plan de formation et sensibilisation ;

• Articuler la charte avec le règlement intérieur si elle contient des obligations disciplinaires.

La charte doit être validée par la direction, communiquée formellement aux salariés et, si nécessaire, présentée au CSE lorsqu'elle impacte l'organisation du travail ou le contrôle de l'activité.

L'œil du consultant : Le piège classique est de rédiger une charte trop théorique ou trop restrictive que personne ne s'applique. Sur le terrain, les entreprises efficaces adoptent une approche pragmatique : autoriser des usages encadrés plutôt que tenter d'interdire l'IA. Une charte efficace est courte, opérationnelle, accompagnée d'exemples concrets et soutenues par des formations régulières. Sans appropriation par les équipes, elle reste purement déclarative.

L'IA "shadow" (ou “shadow IA”) se maîtrise par une détection technique et une gouvernance formelle, sans surveillance disproportionnée des salariés.

L'usage d'outils IA non autorisés expose l'entreprise à des risques de fuite d'informations, de transfert hors UE et de la violation du principe de sécurité, au sens du RGPD. L'employeur peut encadrer ces usages via son pouvoir de direction en application du code du travail mais doit respecter la proportionnalité et l'information des salariés.

Actions clés pour détecter et encadrer l’usage de l’IA :

• Cartographier les flux sortants (logs, proxy, CASB, outils de Data Loss Prevention) pour identifier les accès à des plateformes d'IA publiques ;

• Mettre une place une politique claire d'outils autorisés (liste blanche) ;

• Bloquer ou restreindre les usages via des règles proportionnées ;

• Formaliser une charte d'usage de l'IA générative intégrée au règlement intérieur ;

• Déployer des solutions internes sécurisées pour éviter le contournement ;

• Sensibiliser les équipes aux risques juridiques (données personnelles, secret d'affaires, propriété intellectuelle) ;

• Documenter les contrôles dans une logique d'accountability en application du RGPD.

L'objectif n'est pas la surveillance individuelle permanente, mais la maîtrise des risques systémiques (fuite de données, transferts non encadrés, non-conformité contractuelle).

L'oeil du consultant : Le piège classique est d'interdire totalement l'IA sans alternative interne : cela pousse les collaborateurs à contourner les règles. Sur le terrain, les entreprises les plus matures combinent détection technique, pédagogie et offre d'outils validés. Une gouvernance trop régressive génère plus d'IA "shadow" qu'elle n'en supprime.

La conformité à l’AI Act relève juridiquement de l’organisation en tant que fournisseur ou déployeur, sous la responsabilité ultime de la direction.

Le règlement européen sur l’IA (AI Act, Règlement (UE) 2024/1689) impose des obligations au “provider” (fournisseur) et au “deployer” (utilisateur professionnel) selon les articles 16 et suivants.

Ces obligations comprennent la gestion des risques, la documentation technique, la gouvernance des données, la surveillance post-mise sur le marché et la conformité CE pour les systèmes à haut risque.

Juridiquement, c’est la personne morale qui est responsable en cas de manquement, ce qui engage la gouvernance et la direction.

Source officielle : AI Act – EUR-Lex : https://eur-lex.europa.eu/eli/reg/2024/1689/oj

En pratique, la conformité est transverse et doit être portée par plusieurs service :

• La Direction générale : responsabilité stratégique, allocation des ressources, supervision (logique comparable à l’Art. 5 §2 RGPD – accountability)

• Le Juridique / DPO / conformité : qualification du niveau de risque, contractualisation, veille réglementaire, interaction avec autorités

• L’IT / Data / RSSI : implémentation technique, gestion des risques (Art. 9 AI Act), qualité des données (Art. 10), cybersécurité

• Les Métiers : définition des cas d’usage et contrôle opérationnel

L’AI Act impose notamment :

• un système de gestion des risques (Art. 9)

• une gouvernance des données (Art. 10)

• une documentation technique (Art. 11)

• une surveillance humaine (Art. 14)

• des exigences de robustesse et cybersécurité (Art. 15)

La responsabilité ne peut donc pas être déléguée uniquement à l’IT ou au juridique : elle doit être structurée au niveau de la gouvernance.

L’œil du consultant : Le piège classique est de considérer l’AI Act comme un sujet purement technique confié à la DSI. En réalité, le risque majeur est stratégique et réputationnel. Les organisations les plus avancées mettent en place un comité IA transverse rattaché à la direction, avec une cartographie des systèmes et une qualification formelle des niveaux de risque. Sans sponsor exécutif, la conformité reste théorique et fragile en cas de contrôle.

L'AI Act n'impose pas explicitement la désignation d'un "AI Officer", mais il exige une gouvernance formalisée et des responsabilités clairement attribuées.

Le Règlement (UE) 2024/1689 (AI Act) impose aux fournisseurs et déployeurs de systèmes d'IA, notamment à haut risque, de mettre en place un système de gestion des risques (Art. 9), une gouvernance des données (Art. 10) et une organisation garantissant la conformité continue.

Il n'existe toutefois aucun article imposant formellement la nomination d'un responsable “AI Officer” dédié, contrairement au DPO prévu par l'Art. 37 du RGPD.

Juridiquement, la responsabilité incombe à la personne morale (logique d'accountability).

Sources officielles :

AI Act – EUR-Lex : https://eur-lex.europa.eu/eli/reg/2024/1689/oj

RGPD – Art. 37 : https://eur-lex.europa.eu/eli/reg/2016/679/oj

En pratique, la désignation d'un AI Officer devient fortement recommandée dans les organisations exposées (IA interne, IA embarquée dans des produits, IA RH, scoring, etc.).

Cela permet :

• D'identifier clairement un point de responsabilité interne

• De piloter la cartographie des systèmes d'IA

• De coordonner IT, juridique, RSSI et métiers

• D'organiser la conformité documentaire (analyses de risque, conformité CE, surveillance post-mise sur le marché)

• D'anticiper les contrôles des autorités nationales compétentes

Ce rôle peut être confié à un responsable conformité, un Chief Data Officer ou un responsable innovation, à condition que son mandat et ses moyens soient formalisés.

L'œil du consultant : Le piège classique est de créer un "AI Officer" sans périmètre clair ni pouvoir décisionnel. Le titre seul ne protège pas l'entreprise. Sur le terrain, les organisations efficaces rattachent ce rôle à la direction avec un comité IA transverse, des indicateurs de suivi et un reporting régulier. Sans gouvernance formelle, la conformité à l'AI Act reste déclarative et difficilement défendable en cas d'audit.