Comment les organisations s’assurent-elles de la maîtrise de l’IA ?

Article d'information

Le règlement (UE) 2024/1689 ou Règlement sur l’Intelligence Artificielle (« RIA ») impose une série d’obligations aux fournisseurs (développeurs ou concepteurs) et déployeurs (utilisateurs, tant des organismes privés ou publics) afin de prévenir les risques liés à l’utilisation de l’intelligence artificielle (« IA ») pour les citoyens, notamment en matière de protection des données personnelles.  

Focus sur l’article 4 du RIA[1] qui exige que toutes les personnes impliquées dans le fonctionnement et l’usage de tous les systèmes d’IA (« SIA ») possèdent une « maîtrise » suffisante de l’IA (existant aussi sous le terme de « IA Alphabétisation » ou AI Literacy en version anglaise). La présente contribution se penche davantage sur le cas typique d’un employeur qui autoriserait l’utilisation d’un SIA dans un contexte professionnel.

L’obligation de maîtrise de l’IA est entrée en application depuis le 2 février 2025, tout comme l’interdiction des systèmes classés comme étant à « risque inacceptable » (V. notre précédent article « Les systèmes d’IA prohibés selon l’AI Act : Impact sur la protection des données personnelles », art. 5 du RIA). Elle constitue un défi pour les entreprises et organismes qui doivent désormais assurer ce niveau de compétence au sein de leur personnel et autres personnes éventuellement impliquées.

Que signifie cette nouvelle obligation de maîtrise de l’IA ?

Lorsqu’une entreprise ou un organisme permet le recours à des SIA propriétaires ou tiers voire à une plateforme d’IA d’entreprise, elle/il est désormais contraint(e) de s’assurer que les utilisateurs possèdent les « compétences, connaissances et compréhension nécessaires » pour une utilisation responsable. Le texte impose donc de doter toutes les personnes visées du savoir-faire nécessaire pour déployer et utiliser le système en question (V. plus particulièrement l’article 3 (56), les considérants 20, 91 et 165 du RIA).

Cette exigence de maîtrise s’applique à l’utilisation de tous les SIA, indépendamment du niveau de risque qu’ils constituent (autrement dit risques élevés ou non), y compris les IA dites « génératives » comme ChatGPT. Toutefois dans les faits, son étendue revêt une plus grande importance pour les acteurs liés aux SIA à haut risque en raison des dangers et éventuels préjudices que ces derniers pourraient causer. Comme nous l’indique à cet effet la FAQ AI Literacy (« FAQ ») publiée par la Commission européenne le 7 mai 2025, « si les [SIA] de l’organisation sont à haut risque, conformément au chapitre III de la législation sur l’IA, des mesures supplémentaires pourraient être pertinentes pour veiller à ce que les employés sachent comment gérer les systèmes d’IA donnés et éviter et/ou atténuer leurs risques ».

En pratique, l’entreprise/organisme doit veiller à ce que l’ensemble de son personnel, et ce quel que soit son statut (salariés, intérimaires, employés, fonctionnaires, stagiaires, apprentis, etc.) possède une réelle maîtrise de l’IA telle que définie dans l’article 3 (56) du RIA[2]. Outre son personnel, l’article 4 du RIA s’applique aussi à toutes « autres personnes » traitant avec des SIA au nom du fournisseur et déployeur. La FAQ précise à cet effet qu’il pourrait s’agir de toute personne impliquée dans l’exploitation ou l’utilisation de ces systèmes pour le compte de fournisseurs/déployeurs, par exemple un sous-traitant, un prestataire de services et même les clients. Sur base de l’interprétation de la Commission européenne, un déployeur de SIA pourrait donc être légitime de demander à bénéficier d’une formation auprès du fournisseur du SIA dont il est lui-même client.

La définition de maîtrise de l’IA est assez large dans la mesure où, souligne la FAQ, toute personne concernée doit aussi être en mesure de comprendre « les risques spécifiques liés à l’IA (par ex. l’hallucination possible de Chat GPT) » tout comme les conséquences ou « préjudices potentiels qu’elle peut causer ».

Dans leur processus de mise en conformité, les entreprises/organismes devraient donc tenir compte de l’ensemble des éléments issus de la définition de l’article 4 du RIA, autrement dit tant :

« des connaissances des collaborateurs »,

« du contexte de l’utilisation de l’IA »,

« des personnes ou groupes de personnes sur lesquels les SIA doivent être utilisés ».

Par « connaissances », il est important de rappeler que l’article 4 du RIA inclut, à ce titre, les connaissances techniques, l’expérience ainsi que l’éducation et la formation. Pour autant, le texte ne fournit pas plus de détails. Un certain niveau de flexibilité serait accordé aux entreprises/organismes ayant recours aux SIA. Dans ce contexte, l’entreprise/organisme pourrait se poser les questions suivantes : les collaborateurs sont-ils déjà familiers avec des concepts plus avancés que ceux liés aux simples fonctionnalités de base ? Dans l’affirmative, des formations « expert » pourraient alors être proposées. Dans le cas contraire, des connaissances de base sur l’apprentissage automatique ou les algorithmes seraient à considérer. Les collaborateurs proviennent-ils d’un domaine de compétences à vocation technique ou scientifique ? En fonction du profil, des trainings additionnels complémentaires ciblés seraient à privilégier. Les collaborateurs sont-ils ou non déjà en poste depuis un certain temps ? Dans ce dernier cas, une formation spécifique lors de l’onboarding pourrait très bien être envisagée. 

Par « contexte d’utilisation », l’entreprise/organisme est avisé de tenir compte du secteur et de la finalité pour laquelle le SIA est utilisé tout en les combinant avec le niveau de risque afin de mettre éventuellement à niveau son programme de formation. La FAQ confirme cette recommandation tout en précisant que le Bureau européen de l’IA n’impose pas pour autant « d’exigences spécifiques » et qu’une analyse au cas par cas devra donc être effectuée.

Enfin, « les personnes ou groupes de personnes sur lesquels les SIA doivent être utilisés », c’est-à-dire les personnes impactées par le/les SIA, sont à identifier (par exemple : des personnes vulnérables, les employés, les usagers du service public, des patients, etc.). Cette analyse contribuera également à la prise de « conscience des possibilités et des risques de l'IA et des dommages éventuels qu'elle peut causer » au sens de l’article 3 du RIA et d’adapter son programme de maîtrise de l’IA en conséquence.

Une évaluation approfondie de ces 3 éléments permettra in fine d’élaborer un ensemble de règles et guidances sur mesure avec la mise en place d’un plan de formation adéquat et régulier selon les personnes ou groupes concernés, leur niveau et domaine d’expertise.  

Quelles sont les pratiques actuelles des entreprises en la matière ?

L’obligation de maîtrise de l’IA devrait donc dans tous les cas constituer un élément central d’une gouvernance efficace et responsable de l’IA.

Afin d’aiguiller les entreprises/organismes en la matière, un répertoire vivant dénommé “Compilation AI Literacy Practices“ (« le répertoire »), qui sera complété régulièrement, a été publié le 4 février dernier par la Commission européenne. Le Bureau européen de l’IA[3] a ainsi rassemblé certaines pratiques des signataires du pacte de l’IA.[4]  Il y est rappelé que « la reproduction des pratiques collectées dans ce répertoire vivant n’accorde pas automatiquement une présomption de conformité avec l’article 4 » mais « vise à encourager l’apprentissage et l’échange entre les fournisseurs et les déployeurs de systèmes d’IA ». Ces pratiques peuvent donc être combinées avec les indications complémentaires données dans la FAQ précitée, étant entendu que ces deux instruments font partie du droit souple (soft law) et ne sont donc pas juridiquement contraignants.

Après une brève présentation de l’organisation et du SIA concerné, du secteur d’activité, du rôle en tant que fournisseur/déployeur, figurent au sein de ce répertoire, plusieurs réponses aux questions[5] qui ont été posées aux participants, à savoir : Comment la pratique [sous-entendue de l’AI Literacy] tient-elle compte des connaissances techniques, de l’expérience, de l’éducation et de la formation du groupe cible ? Comment cette pratique tient-elle compte du contexte dans lequel le ou les SIA sont utilisés ? Quel a été l'impact de cette pratique jusqu'à présent et comment l'organisation mesure-t-elle cet impact ? Quels défis cette pratique a-t-elle permis de relever et quels sont ceux auxquels l'organisation est encore confrontée ? L'organisation prévoit-elle de modifier et/ou d'améliorer cette pratique ?

La CNPD tient à rappeler qu’outre ces questions, il convient de tenir compte des personnes ou groupes de personnes sur lesquels les SIA doivent être utilisées. Cet aspect constitue en effet l’une des composantes de la définition de l’article 4 du RIA (v. section précédente), qui ne devrait en aucun cas être omise par les acteurs concernés dans le cadre de leur analyse.

Sur base des retours d’expérience consignés dans ce répertoire, tel qu’existant selon sa version consultée en date du 28 mars 2025, la CNPD observe tout d’abord que si certaines entreprises effectuent une évaluation initiale des différents niveaux et besoins des personnes concernées, d’autres optent d’emblée pour un programme de formation dédié en fonction des rôles/responsabilités dans l’entreprise mais aussi selon les profils techniques/non techniques des collaborateurs concernés. On peut relever que les personnes occupant une fonction de management, tout comme les CEO, disposent souvent de formations particulières contrairement à d’autres fonctions. Dans plusieurs cas, les personnes ou départements agissant en tant que POC (Point Of Contact) au service de l’IA disposent de formations additionnelles plus avancées. Il peut aussi, par exemple, être proposé à des experts non techniques de renforcer leurs connaissances de base sur les nouvelles technologiques tout comme familiariser le personnel du service des ressources humaines sur de potentiels biais liés, dans certains cas, à un processus de recrutement qui serait en partie automatisé. 

Dans tous les cas, de simples consignes ou instructions isolées à destination du personnel risqueraient d’être insuffisantes. La FAQ précise néanmoins qu’il n’existe pas de format unique quant au respect de ces exigences qui sont, de nouveau, à apprécier en fonction du cas d’espèce.  

Un programme dédié à cette maîtrise, aussi personnalisé soit-il, risquerait toutefois de manquer ses objectifs sans un monitoring adéquat. Selon ledit répertoire, il s’avère que les entreprises ont choisi différents critères pour mesurer l’efficacité de leurs méthodes. Les indicateurs de suivi les plus fréquemment utilisés incluent la satisfaction des participants et le nombre total de collaborateurs ayant suivi la/les formations. Certaines vont plus loin en choisissant, par exemple, de mesurer la progression des connaissances et des compétences des collaborateurs ayant suivi la/lesdites formation(s) ou encore la réduction ultérieure des délais de réalisation des projets dédiés à l’IA. Bien que le RIA ne le prévoie pas expressément et que la FAQ soit silencieuse sur ce point, l’utilisation d’indicateurs de mesures adéquats constitue l’un des moyens pour apprécier l’efficacité de la performance du programme de maîtrise de l’IA. Ils permettront ainsi aux professionnels de documenter, suivre et prouver le respect des obligations liées à cette réglementation.

Finalement il faut noter que la majorité des organismes répondants déclarent toujours faire face à un certain nombre de défis dans leur processus de mise en conformité. Parmi les plus souvent cités figure celui de l’évolution trop rapide des technologies liées à l’IA et, par conséquent, d’un programme qui devrait être adapté en permanence.  Vient ensuite la difficulté de garantir l’accessibilité du contenu à l’ensemble des collaborateurs à parts égales avec celle de trouver des modules de formation adaptés au contexte de l’entreprise. L’aspect réglementaire pose aussi problème tant du point de vue de la veille liée au suivi des nombreuses exigences en constante évolution que sur l’interprétation du RIA jugée bien trop complexe par certains organismes.

Quelles conséquences en cas de non-respect de cette obligation ?

Compte tenu de l’entrée en application déjà effective de la disposition de l’article 4 du RIA ainsi que des niveaux très disparates de la culture numérique dans la société, il est crucial que chaque organisme se penche sérieusement sur sa maîtrise de l’IA et la documente de manière appropriée afin de pouvoir justifier de sa conformité. À ce titre, la FAQ précise que l’obtention d’un quelconque certificat spécifique ne serait pas nécessaire. Elle recommande toutefois l’utilisation d’« un registre interne des formations et/ou autres initiatives d’orientation ».

Pour rappel, le RIA prévoit notamment des sanctions administratives, dont des amendes pouvant s’élever au maximum à 35.000.000 euros ou 7% du chiffre d’affaires mondial total d’un groupe d’entreprises, le montant le plus élevé étant retenu. Il est à noter que les sanctions liées au RIA sont applicables à compter du 2 août 2025 (V. Chapitre XII et article 113 du RIA).

L’article 99(7)(g) du RIA[6] précise par ailleurs que toutes les circonstances pertinentes de la situation sont prises en compte pour décider d’imposer ou non une amende administrative. Dans la mesure où la maîtrise de l’IA est susceptible de constituer une circonstance pertinente, les autorités de surveillance compétentes seraient légitimes, par exemple, de vérifier si une quelconque violation aurait pu être encouragée par le fait que le personnel ne disposait pas de compétences, connaissances et compréhension suffisantes en matière d’IA.

Enfin, l’article 85 du RIA[7], applicable à compter du 2 août 2026, prévoit aussi la possibilité de déposer une plainte auprès d’une autorité de surveillance du marché (« ASM »)[8] lorsqu’une personne physique ou morale estime que les dispositions du RIA, notamment l’article 4, ont été violées.

Bien que les ASM prévues à l’article 70 (1) du RIA n’aient pas encore été désignées formellement par les États membres au jour de l’édition du présent article, il convient de rappeler que les dispositions du RIA sont directement applicables et peuvent d’ores et déjà être invoquées, sous réserve de leur date d’entrée en application, devant les juridictions nationales compétentes.

Hormis les conséquences juridiques découlant de la non-conformité à la loi, il est crucial pour toute entreprise ou organisation de protéger sa réputation et de se préserver en utilisant l’IA de manière sûre et la plus éthique possible.  Une utilisation responsable renforce aussi la confiance des clients, des partenaires et des investisseurs. Elle ouvre tout autant de nouvelles possibilités de développement de produits et de services innovants répondant aux normes éthiques et sociales.

 

[1] « Les fournisseurs et les déployeurs de systèmes d'IA prennent des mesures pour assurer, dans la mesure du possible, un niveau suffisant de connaissances en matière d'IA à leur personnel et aux autres personnes chargées du fonctionnement et de l'utilisation des systèmes d'IA en leur nom, en tenant compte de leurs connaissances techniques, de leur expérience, de leur éducation et de leur formation, du contexte dans lequel les systèmes d'IA doivent être utilisés et des personnes ou groupes de personnes sur lesquels les systèmes d'IA doivent être utilisés. »

[2]  « (56) "maîtrise de l'IA", les compétences, les connaissances et la compréhension qui permettent aux fournisseurs, aux déployeurs et aux personnes concernées, compte tenu de leurs droits et obligations respectifs dans le cadre du présent règlement, de déployer des systèmes d'IA en connaissance de cause, ainsi que de prendre conscience des possibilités et des risques de l'IA et des dommages éventuels qu'elle peut causer ».

[3] Le Bureau européen de l’intelligence artificielle (IA), créé au sein de la Commission européenne, constitue le centre d’expertise en matière d’IA pour l’ensemble de l’Union européenne. Il joue un rôle central dans la mise en œuvre de la législation sur l’IA, notamment concernant les systèmes d’IA à usage général. Sa mission principale est de favoriser le développement et l’usage d’une IA digne de confiance, tout en protégeant contre les risques potentiels liés à ces technologies. Source : https://digital-strategy.ec.europa.eu/fr/policies/ai-office

[4] Le pacte sur l’IA encourage et soutient les organisations à planifier la mise en œuvre des mesures de la législation sur l’IA. Il s’articule autour de deux piliers, à savoir 1) Rassembler et échanger avec le réseau du Pacte de l’IA et 2) Faciliter et communiquer les engagements des entreprises. Source : https://digital-strategy.ec.europa.eu/fr/policies/ai-pact

[5] Les questions en cause font ici l’objet d’une traduction automatique non officielle. Seule la version originale disponible uniquement en version anglaise fait foi.

[6] « 7. Lorsqu'il s'agit de décider s'il y a lieu d'infliger une amende administrative et d'en fixer le montant dans chaque cas particulier, toutes les circonstances pertinentes de la situation spécifique sont prises en compte et, le cas échéant, les éléments suivants sont pris en considération : […] (g) le degré de responsabilité de l'exploitant, compte tenu des mesures techniques et organisationnelles qu'il a mises en œuvre ».

[7] « Sans préjudice d'autres recours administratifs ou judiciaires, toute personne physique ou morale ayant des raisons de considérer qu'il y a eu violation des dispositions du présent règlement peut déposer une plainte auprès de l'autorité de surveillance du marché concernée. Conformément au règlement (UE) 2019/1020, ces plaintes sont prises en compte aux fins des activités de surveillance du marché et sont traitées conformément aux procédures spécifiques établies à cet effet par les autorités de surveillance du marché ».

[8] Selon la teneur du projet de loi n°8476 au jour de la rédaction du présent article, le rôle d’ASM au Luxembourg serait attribué à la CNPD.

Dernière mise à jour