Que prévoit réellement la loi européenne sur l'IA en matière de culture de l'IA ?

Loi européenne sur l'IA
Written By Nathalie Pouderoux

On accorde beaucoup d'importance aux exigences relatives aux systèmes d'IA à haut risque et aux règles applicables aux modèles d'IA à usage général prévues par la loi européenne sur l'IA. Ces deux aspects sont importants et exigeront des efforts concrets de la part des organisations concernées. Il existe toutefois une obligation qui retient beaucoup moins l'attention, s'applique à un éventail bien plus large d'entreprises et est encore négligée par beaucoup : l'exigence de culture de l'IA.

Si votre entreprise utilise l'IA à quelque titre que ce soit, que vous ayez développé votre propre système ou que vous utilisiez simplement un outil basé sur l'IA dans le cadre de vos activités, vous êtes probablement déjà soumis à cette obligation. Ce guide explique ce qu'elle exige réellement et comment elle se traduit dans la pratique.

Que dit l'article 4 de la loi européenne sur l'IA ?

L'article 4 de la loi européenne sur l'IA impose aux fournisseurs et aux exploitants de systèmes d'IA l'obligation de prendre des mesures pour s'assurer que leur personnel, ainsi que toute autre personne agissant en leur nom lorsqu'elle travaille avec l'IA, dispose d'un niveau suffisant de culture de l'IA. Cette exigence est en vigueur depuis février 2025.

La loi définit la culture de l'IA comme l'ensemble des compétences, des connaissances et de la compréhension qui permettent aux personnes d'utiliser les systèmes d'IA en connaissance de cause et d'être conscientes des opportunités et des risques qui y sont associés. La loi précise également que le niveau de culture requis doit être adapté au contexte : les systèmes d'IA utilisés, le rôle de la personne et les conséquences potentielles de l'application de l'IA.

À qui cela s'applique-t-il ?

Cette obligation s'applique à la fois aux fournisseurs, c'est-à-dire aux organisations qui développent ou commercialisent des systèmes d'IA, et aux déployeurs, c'est-à-dire aux organisations qui utilisent des systèmes d'IA dans le cadre de leurs activités ou de leurs produits. Dans la pratique, cela concerne un très large éventail d'entreprises.

Si vous utilisez un outil de service client basé sur l'IA, une plateforme de présélection des candidats, un assistant de génération de contenu, un système d'analyse ou toute autre technologie basée sur l'IA dans le cadre de votre travail quotidien, vous agissez probablement en tant que déployeur, et l'obligation de formation s'applique à vous. Elle s'étend à toute personne de votre organisation qui travaille avec l'IA de manière significative, et pas seulement aux équipes techniques ou aux développeurs.

Que signifie réellement « suffisant » ?

La loi ne prescrit ni programme fixe ni nombre minimal d'heures de formation. Elle exige simplement que les compétences en matière d'IA soient proportionnées au rôle de chaque personne et à la nature des systèmes d'IA avec lesquels elle interagit.

Une personne qui développe et déploie un modèle d'IA à partir de zéro a besoin d'un niveau de compréhension nettement différent de celui d'une personne qui utilise occasionnellement un assistant de rédaction basé sur l'IA. L'obligation varie en fonction de l'exposition et de la responsabilité, ce qui signifie que votre approche de la culture de l'IA doit refléter la manière dont les différentes personnes de votre organisation utilisent et interagissent avec l'IA.

Au minimum, la formation doit couvrir ce qu'est l'IA et comment les systèmes spécifiques utilisés fonctionnent réellement, ce que l'on peut et ne peut pas attendre de ces systèmes, quand et comment un contrôle humain doit être exercé, ce qu'exigent les politiques de gouvernance de l'IA de votre organisation, et quels sont les risques particuliers associés au cas d'utilisation.

À quoi cela ressemble-t-il dans la pratique ?

C'est là que l'obligation devient plus concrète. Voici quelques exemples pratiques de ce à quoi ressemble la mise en conformité dans différents types d'entreprises.

Un cabinet d'avocats qui utilise un outil d'IA pour faciliter l'examen de documents pourrait organiser une session de formation avec les collaborateurs concernés afin d'expliquer comment l'outil traite les informations, quels types d'erreurs il est connu pour commettre, et dans quelles circonstances un avocat doit examiner les résultats de manière indépendante plutôt que de s'y fier. La session pourrait être enregistrée et intégrée au processus d'intégration des nouveaux arrivants, ce qui permettrait au cabinet de disposer d'un historique continu de conformité.

Une entreprise de vente au détail utilisant l'IA pour la prévision de la demande pourrait fournir à son équipe d'achat un briefing expliquant quelles données le modèle utilise, quel est généralement le niveau de fiabilité de ses prévisions, et comment l'équipe doit prendre en compte ces prévisions dans ses décisions plutôt que de les considérer comme définitives. Un bref résumé écrit de ce briefing, conservé dans les dossiers, démontre que l'obligation a été prise au sérieux.

Un service des ressources humaines utilisant l'IA pour faciliter la présélection des CV devrait adopter une approche plus réfléchie, compte tenu de la sensibilité accrue de ce cas d'utilisation. La formation devrait aborder la manière dont les biais peuvent s'introduire dans les systèmes d'IA, les implications juridiques de la prise de décision automatisée ou assistée par l'IA au regard de la loi européenne sur l'IA et de la législation sur la protection des données, ainsi que la manière dont les décisions doivent être documentées pour garantir la responsabilité et la cohérence.

Une entreprise technologique développant des produits d'IA pour ses clients devrait s'assurer que ses ingénieurs, chefs de produit et équipes commerciales possèdent tous une solide compréhension pratique du système de classification des risques prévu par la loi sur l'IA, des obligations de documentation pour les systèmes qu'ils développent, et des responsabilités en matière de conformité qui incomberont aux déployeurs utilisant leurs produits.

Aucun de ces exemples ne nécessite un programme coûteux ou de longue haleine. Ce qu'ils requièrent, c'est un effort délibéré, une documentation appropriée et une réflexion sur ce que chaque groupe de personnes a réellement besoin de savoir.

Quels formats de formation sont acceptables ?

Il n'existe pas de format prescrit pour la formation à la culture de l'IA. La Commission européenne et le Bureau de l'IA ont indiqué que ce qui importe, c'est le résultat, à savoir que les personnes comprennent véritablement ce qu'elles doivent comprendre pour leur rôle, plutôt que le fait qu'une méthode de formation particulière ait été utilisée.

La formation peut prendre la forme d'ateliers internes, de modules d'apprentissage en ligne, de guides écrits, de réunions d'équipe ou de cours externes. L'Office de l'IA de l'UE a approuvé une liste de programmes de formation à l'IA reconnus, disponible ici, qui peut constituer un point de départ utile pour les organisations à la recherche de ressources externes pour compléter leurs efforts internes.

Quelle que soit l'approche que vous adoptez, conservez des traces écrites. Un registre indiquant qui a suivi quelle formation et à quelle date est essentiel si un organisme de réglementation vous demande un jour de démontrer que vous avez respecté l'obligation prévue à l'article 4.

Par où commencer ?

Une première étape judicieuse consiste à recenser les équipes et les personnes de votre organisation qui interagissent avec l'IA, à quel titre, et quelle est la nature de ces systèmes. À partir de là, vous pouvez déterminer ce que chaque groupe doit comprendre et concevoir une formation adaptée à son niveau d'exposition.

Vous n'avez pas besoin de mettre en place un programme parfait dès le départ, mais vous devez être en mesure de démontrer que vous avez pris cette obligation au sérieux et que vous avez réalisé de réels progrès. Les autorités de régulation relevant de la loi européenne sur l'IA sont censées adopter une approche proportionnée, en particulier pour les petites organisations, mais la proportionnalité suppose tout de même que des mesures concrètes aient été prises.

Si vous n'êtes pas certain que votre approche actuelle réponde aux normes requises, ou si vous souhaitez obtenir des conseils pour structurer un programme de formation à l'IA qui s'aligne sur vos plans plus généraux de conformité à la loi européenne sur l'IA, consulter un conseiller juridique spécialisé constitue un investissement judicieux. Les exigences de la loi sur l'IA ne feront que se préciser et seront appliquées de manière plus stricte à l'approche de l'échéance d'août 2026 ; poser dès maintenant de bonnes bases facilitera considérablement la suite du processus.

Instaurer une culture de la culture de l'IA dans une entreprise technologique ou SaaS

Pour les entreprises technologiques et SaaS, la culture de l'IA revêt une dimension différente de celle de la plupart des autres entreprises. Vous ne vous contentez pas d'utiliser des outils d'IA ; dans de nombreux cas, vous les développez et les commercialisez. Vos ingénieurs travaillent quotidiennement avec des modèles, votre équipe produit décide des fonctionnalités d'IA à commercialiser, et vos équipes commerciales et de réussite client expliquent ces fonctionnalités aux clients payants. La culture de l'IA doit imprégner tous ces aspects, et non se limiter à un document de formation coché lors de l'intégration et jamais revisité.

L'une des approches les plus efficaces consiste à désigner des responsables IA au sein de chaque service plutôt que de s'en remettre à une seule session à l'échelle de l'entreprise. En confiant à un ingénieur, un chef de produit ou un responsable de la réussite client la responsabilité de tenir son équipe informée des développements pertinents, la culture de l'IA devient un dialogue continu plutôt qu'un exercice ponctuel. Ces personnes peuvent signaler de nouveaux outils méritant d'être explorés, faire remonter les préoccupations à un stade précoce et servir de premier point de contact lorsque des questions surgissent au sein de leur équipe.

L'organisation régulière de démonstrations internes et de présentations fonctionne également très bien au sein des équipes techniques. Les ingénieurs et les chefs de produit expérimentent fréquemment de nouveaux outils et techniques que le reste de l'entreprise ne voit jamais. Réserver un bref créneau lors d'une réunion d'équipe existante pour que les participants partagent ce qu'ils ont testé, ce qui a fonctionné et ce qu'ils ont découvert concernant les limites, permet de diffuser des connaissances pratiques sans nécessiter la mise en place d'un programme formel.

Intégrer la sensibilisation à l’IA dans les processus existants, plutôt que de la traiter comme une voie distincte, est une autre approche qui a tendance à s’imposer. Ajouter une question sur les risques liés à l’IA aux modèles d’évaluation de produit, inclure un bref point sur l’IA lors des rétrospectives d’ingénierie, ou intégrer une section sur le contenu généré par l’IA dans les workflows éditoriaux et de publication signifie que la maîtrise de l’IA devient partie intégrante du travail plutôt qu’un ajout à celui-ci.

La publication de directives internes claires sur les outils d'IA approuvés est essentielle pour toute équipe SaaS. De nombreux collaborateurs de ces entreprises utilisent des outils d'IA de manière informelle, sans qu'il y ait de compréhension commune de ce qui est acceptable, des données pouvant être partagées avec des systèmes d'IA externes, ou des cas où les résultats doivent être examinés par un humain avant d'être mis en œuvre. Une simple politique interne d'utilisation de l'IA fournit aux collaborateurs un cadre de travail et crée le type de gouvernance documentée que les régulateurs s'attendent à voir.

Enfin, il convient de réfléchir attentivement à l’intégration des nouveaux arrivants. Les nouveaux employés des entreprises technologiques adoptent souvent les habitudes en matière d’IA de la personne assise à côté d’eux. Intégrer la culture de l’IA dans votre processus d’intégration, notamment par une session sur les outils utilisés par votre entreprise, les risques à connaître et les politiques régissant l’utilisation de l’IA en interne, permet à tout le monde de partir sur les mêmes bases et vous disposez d’une trace de cette formation.

Comment se tenir au courant des avancées en matière d’IA

L'un des véritables défis de la culture de l'IA réside dans le fait que ce qui est considéré comme une connaissance suffisante est une cible mouvante. De nouveaux modèles, de nouvelles orientations réglementaires et de nouvelles considérations en matière de risques apparaissent avec une régularité qui peut rendre difficile le sentiment d'être véritablement au fait de la situation. La réglementation introduite il y a six mois, par exemple, a peut-être déjà été complétée par de nouvelles orientations. Un outil adopté par votre équipe l'année dernière a peut-être subi des modifications qui affectent la manière dont il doit être utilisé et géré. Se tenir informé n'est pas un effort ponctuel ; cela nécessite de l'intégrer de manière durable dans la routine de votre équipe.

Pour tout ce qui touche à la conformité, les sources officielles et réglementaires doivent être votre première référence. Le Bureau de l'IA de l'UE publie des directives mises à jour, des codes de bonnes pratiques et des actualités sur l'application de la loi à mesure que la loi sur l'IA est mise en œuvre. L'ICO traite de l'IA et de la protection des données du point de vue britannique et publie des conseils pratiques à l'intention des organisations qui doivent s'acquitter de ces obligations. L' IAPP est largement lu par les professionnels de la conformité et du droit et traite en profondeur de la réglementation internationale en matière d'IA. Le centre de ressources sur la loi européenne sur l'IA est l'un des endroits les plus utiles pour toute entreprise technologique ou SaaS opérant ou vendant ses produits dans l'UE, car il est mis à jour à mesure que de nouvelles obligations entrent en vigueur et comprend des analyses pratiques en plus du texte juridique.

Pour des développements techniques et sectoriels plus généraux, MIT Technology Review propose des articles bien documentés et accessibles sur les capacités, les limites et les risques de l'IA. L'Alan Turing Institute couvre la recherche en IA en mettant fortement l'accent sur la sécurité et l'utilisation responsable, et s'avère particulièrement utile pour les entreprises qui s'interrogent sur l'interaction entre l'IA et les questions d'intérêt public.

L'habitude la plus durable consiste à intégrer les mises à jour sur l'IA dans le rythme de travail existant de votre équipe. Une réunion d'information interne mensuelle, une liste de lecture partagée ou un canal dédié dans votre outil de communication d'équipe où les actualités pertinentes sont partagées et brièvement discutées sont autant de moyens pratiques de maintenir la sensibilisation sans créer de charge de travail excessive.

Comment Gerrish Legal peut vous aider? 

Gerrish Legal est un cabinet juridique numérique et dynamique. Nous sommes fiers de prodiguer des conseils juridiques experts et de haute qualité à nos précieux clients. Nous sommes spécialisés dans de nombreux aspects du droit numérique tels que le RGPD, la confidentialité des données, le droit numérique et technologique, le droit commercial et la propriété intellectuelle. 

Nous offrons aux entreprises le soutien dont elles ont besoin pour gérer leurs activités avec succès et en toute confiance tout en se conformant aux réglementations légales, sans avoir à se plier aux exigences numériques en constante évolution. 

Nous sommes là pour vous aider, contactez-nous dès aujourd’hui pour plus d’informations. 

Article de Nathalie Pouderoux, Consultante pour Gerrish Legal

Nathalie Pouderoux
Next

Comment se préparer aux échéances et aux exigences de la loi européenne sur l'IA