Le Règlement IA européen (EU AI Act) est la réglementation de l’Union européenne fondée sur le risque pour les systèmes d’intelligence artificielle, en vigueur depuis août 2024 avec une application progressive jusqu’en 2027. Pour les équipes juridiques opérant dans l’UE ou la servant, il crée deux niveaux d’obligation : (a) la conformité pour les systèmes IA que l’équipe juridique utilise elle-même (leur propre politique IA), et (b) le travail de conseil pour les clients déployant l’IA dans des domaines à risque plus élevé. Le Règlement s’articule avec le RGPD (sans le remplacer), qui continue de régir le traitement des données à caractère personnel, y compris l’entraînement et l’inférence IA.
Les quatre niveaux de risque
| Niveau | Exemples pertinents pour la pratique juridique | Obligations |
|---|---|---|
| Inacceptable | Notation sociale, reconnaissance des émotions sur le lieu de travail, IA manipulatrice | Interdit dans sa totalité |
| Haut risque | IA utilisée dans l’administration de la justice (aide à la décision judiciaire), l’emploi (tri de CV, évaluation des performances), l’accès aux infrastructures critiques | Évaluation de conformité, enregistrement, surveillance continue, supervision humaine |
| Risque limité | La plupart des outils IA juridiques (assistants de rédaction, revue de contrats, recherche) lors d’interactions avec des personnes | Transparence : divulguer l’utilisation de l’IA aux parties qui interagissent |
| Risque minimal | Filtres anti-spam, jeux vidéo IA | Pas d’obligations spécifiques |
Pour la plupart des équipes juridiques internes utilisant l’IA pour la revue et la rédaction de contrats en interne, le niveau pertinent est le risque limité — les obligations de transparence s’appliquent, mais pas l’évaluation de conformité.
Quand l’utilisation d’IA propre à l’équipe juridique devient à haut risque
L’utilisation d’IA par une équipe juridique dépasse rarement le seuil du haut risque par elle-même. Cela peut arriver lorsque :
- L’IA est utilisée dans des décisions d’emploi (évaluations des performances, décisions de recrutement, licenciements) concernant le personnel du cabinet ou les employés des clients
- L’IA est utilisée pour soutenir la prise de décision judiciaire (ex. : outils IA utilisés par les tribunaux que le cabinet fournit ou exploite)
- L’IA est utilisée pour évaluer la solvabilité ou l’éligibilité à une assurance pour des particuliers
Pour la plupart des travaux de revue de contrats, de recherche et de rédaction, l’IA est à risque limité et les obligations relèvent principalement de la transparence.
Obligations de transparence
Les systèmes IA à risque limité doivent :
- Divulguer aux personnes qui interagissent. Lorsqu’une IA interagit avec des humains (chatbot, communication rédigée par IA), le système doit divulguer la nature IA, sauf si c’est clairement évident dans le contexte.
- Marquer le contenu généré par IA. Certaines catégories de contenu généré par IA (deepfakes, médias synthétiques) nécessitent un étiquetage.
- Documenter pour les utilisateurs en aval. Les fournisseurs de modèles d’IA à usage général doivent publier une documentation permettant aux déployeurs en aval de respecter leurs propres obligations.
Pour la pratique juridique : les communications clients rédigées par IA, les mémoires générés par IA et les résumés créés par IA doivent être divulgués au destinataire lorsque c’est significatif.
Application progressive
| Date | Ce qui s’applique |
|---|---|
| Fév. 2025 | Pratiques interdites bannies ; obligations de littératie IA commencent |
| Août 2025 | Règles de gouvernance ; obligations pour les modèles d’IA à usage général |
| Août 2026 | Exigences pour les systèmes à haut risque (la plupart des catégories) |
| Août 2027 | Exigences pour les systèmes à haut risque (catégories restantes) |
Les équipes juridiques conseillant les clients sur la conformité IA doivent suivre attentivement les dates progressives — différentes obligations entrent en vigueur à des moments différents.
Interaction avec le RGPD
Le Règlement IA européen ne remplace pas le RGPD. Les deux s’appliquent quand l’IA traite des données à caractère personnel :
- Le RGPD régit le traitement des données à caractère personnel. Base légale, minimisation des données, droits des personnes concernées, exigences DPA avec les fournisseurs IA.
- Le Règlement IA régit le système IA lui-même. Transparence, classification des risques, conformité pour les systèmes à haut risque.
Pour un fournisseur IA traitant des données à caractère personnel, les deux réglementations s’appliquent. Les équipes juridiques révisant les contrats de fournisseurs IA doivent vérifier les deux régimes de conformité.
Comment opérationnaliser pour les équipes juridiques internes
- Inventorier les outils IA utilisés. Chaque système IA utilisé par l’équipe juridique et les fonctions adjacentes, avec classification par niveau de risque en vertu du Règlement IA.
- Intégrer la conformité dans la due diligence fournisseur. Les fournisseurs IA reçoivent un avenant Règlement IA lors de la due diligence : confirmation du niveau de risque, divulgations de transparence, conformité RGPD, provenance des données d’entraînement.
- Mettre à jour la politique IA pour la transparence. L’utilisation interne de l’IA pour le travail client doit divulguer l’implication de l’IA de façon appropriée ; l’utilisation externe (chatbots, communications rédigées par IA) nécessite une divulgation explicite.
- Former à la littératie IA. Le Règlement crée une obligation de littératie — le personnel utilisant l’IA doit bénéficier d’une formation appropriée. Intégrez aux cycles de formation sur la politique IA existants.
- Suivre les évolutions réglementaires. Le Bureau européen de l’IA publie des orientations jusqu’en 2027 ; les classifications de risque et les listes à haut risque évolueront.
Écueils fréquents
- Supposer que l’IA juridique est à haut risque par défaut. La plupart des usages d’IA juridique sont à risque limité ; sur-classifier crée des frais de conformité inutiles.
- Traiter le Règlement IA et le RGPD comme un seul régime. Ce sont des régimes distincts ; la conformité à l’un ne complète pas l’autre.
- Ignorer la portée extraterritoriale. Les cabinets américains avec des clients UE ou des opérations UE peuvent être soumis aux exigences du Règlement IA même sans établissement dans l’UE.
- Évaluation de conformité statique. La classification des risques est par déploiement, pas par fournisseur ; le même outil IA utilisé dans des contextes différents peut avoir des obligations différentes.
En lien
- Politique IA pour les équipes juridiques — le cadre de politique interne plus large
- RGPD pour les équipes juridiques — la couche de protection des données qui s’intersecte avec l’IA
- Checklist DPA — les termes de protection des données des fournisseurs pertinents pour les fournisseurs IA
- Qu’est-ce que le Legal Ops ? — la fonction qui coordonne la conformité au Règlement IA en interne