Encadrer les usages de l'IA sans freiner l’innovation

Aujourd’hui, en Afrique du Sud, la gouvernance de l’IA s’impose comme une priorité absolue pour les conseils d’administration et les équipes dirigeantes. Le principe 10 du Code King V (le code de gouvernance d’entreprise sud-africain) les tient en effet responsables de la gouvernance de l’IA. Pour les organisations qui souhaitent s’appuyer sur l’IA pour optimiser leurs méthodes de travail, cette gouvernance est un impératif absolu. Pourtant, de nombreuses entreprises hésitent encore à franchir le pas, ou se contentent de règles éparses. Une chose est sûre : pour utiliser l’IA de manière sûre, loyale, licite et responsable, se doter d’une véritable politique de gouvernance n’est plus une option, c’est une nécessité.

Stratégie commerciale et politique de gouvernance : quelle différence ?

Il est essentiel de ne pas confondre votre stratégie commerciale et votre politique de gouvernance en matière d’’IA. Ce sont deux leviers bien distincts :

• la stratégie d’IA définit vos objectifs commerciaux et identifie les cas d’usage dans lesquels votre organisation va investir pour créer de la valeur ;
• la politique de gouvernance de l’IA fixe le cap sur la manière dont votre organisation encadre l’IA, les principes qui guideront vos décisions et les structures de responsabilité mises en place pour vos projets d’IA.
• Une synergie entre ces deux leviers devient indispensable dès lors que votre stratégie prévoit d’intégrer l’IA au cœur même de vos activités opérationnelles. Plus l’IA devient un moteur de votre stratégie commerciale, plus votre politique de gouvernance doit être robuste et complète.

Choisir votre approche de gouvernance

La gouvernance de l’IA étant un domaine relativement nouveau, votre organisation devra faire des choix stratégiques face à la multiplication des réglementations. Plusieurs gouvernements, institutions et organismes ont déjà proposé des cadres de gouvernance de l’IA sur lesquels vous pouvez vous appuyer : c’est le cas de notamment de l’OCDE (1), de l’ISO (2), du NIST (3), de l’UE (4) ou encore de l’Afrique du Sud (5).

Il n’existe pas d’approche unique en matière de gouvernance de l’IA. En pratique, c’est la combinaison de plusieurs méthodes qui donne les meilleurs résultats. L’essentiel est de bâtir une approche sur mesure, parfaitement calibrée selon le contexte de votre entreprise.

Rédiger votre politique de gouvernance de l’IA

Plusieurs options s’offrent à vous pour rédiger votre politique de gouvernance de l’IA. Quel que soit le modèle choisi, votre document doit impérativement intégrer les composantes clés suivantes :

• Option n°1 : partir d’une page blanche. Si votre organisation a des besoins très spécifiques, vous pouvez choisir de partir de zéro et de rédiger votre politique de gouvernance de l’IA de toutes pièces. Dans ce cas, n’hésitez pas à utiliser l’IA comme un partenaire de réflexion. Alimentez-la avec vos anciens modèles pour qu’elle s’imprègne de votre style, mais attention, ne lui déléguez pas toute l’intelligence du projet. Vous devez garder la main : c’est à vous de maîtriser la manière dont les spécificités et les arbitrages de votre entreprise vont façonner ce document.
• Option n°2 : s’appuyer sur l’existant. Vous pouvez également vous appuyer sur des modèles ou des documents existants. Toutefois, trouver des modèles de politique de gouvernance de l’IA éprouvés reste encore difficile. Notre conseil : prenez votre politique de protection des données (RGPD) comme point de départ. En effet, c’est un document de gouvernance que vous avez déjà rédigé, et sa structure ainsi que son approche se transposent plutôt bien aux enjeux de l’IA.

Connaitre les documents connexes à la gouvernance de l’IA

Votre gouvernance de l’IA s’inscrit dans un cadre stratégique global où chaque document a un rôle bien précis. Il est courant de confondre la politique de gouvernance de l’IA, la déclaration d’utilisation de l’IA et la charte d’utilisation de l’IA. Or, ce sont bien des documents distincts dont il faut saisir les nuances :

• la déclaration d’utilisation de l’IA: en conformité avec le principe de transparence, elle indique au monde extérieur (vos clients, vos partenaires) comment votre entreprise utilise l’IA, quelles données sont concernées et quelles garanties vous avez mis en place. C’est un peu comme une profession de foi sur l’IA.
• la charte d’utilisation de l’IA: en conformité avec le principe de responsabilité, ce document interne guide vos collaborateurs dans leur usage quotidien de l’IA. Elle fixe des limites claires, et attribue les rôles et les responsabilités de chacun au sein de l’entreprise.
• la politique de gouvernance de l’IA : elle émane directement de votre conseil d’administration et s’inscrit dans le cadre du principe de contrôle humain. Elle établit les règles de fond, les lignes directrices et le cadre éthique nécessaires à une utilisation responsable, licite et sécurisée de l’IA

*****

(1) Si votre organisation suit une approche de gouvernance basée sur les principes, inspirez-vous des lignes directrices de l’OCDE ou de l’UNESCO. Elles vous aideront à formuler des valeurs partagées et des normes éthiques, sans vous imposer de procédures rigides.

(2) Si votre organisation suit une approche de gouvernance basée sur les processus, tournez-vous vers la norme ISO/CEI 42001 (Système de management de l’IA). C’est le cadre idéal pour structurer vos contrôles, attribuer les rôles et planifier vos cycles de révision.

(3) Si votre organisation suit une approche de gouvernance basée sur les résultats, vous pouvez adopter le cadre de gestion des risques liés à l’IA du NIST américain (NIST AI RMF). Il vous aidera à définir précisément ce qu’est une IA de confiance pour votre organisation, vous permettant ensuite de construire votre plan d’action à rebours pour y parvenir.

(4) Si votre organisation suit une approche de gouvernance basée sur les risques, alignez-vous sur le Règlement sur l’IA de l’Union européenne. Il classifie les systèmes d’IA par niveau de risque et module les obligations en conséquence.

(5) Si votre organisation a pour objectif de de favoriser une large adoption de l’IA en son sein tout en intégrant sa gouvernance à vos structures existantes, vous pouvez vous inspirer de la politique nationale sud-africaine en matière d’IA. Bien que celle-ci ait finalement été retirée, la démarche qu’elle proposait reste pertinente : elle suggère de s’appuyer sur les lois en vigueur pour encadrer l’IA, puis de mettre en œuvre des lignes directrices et des normes ciblées pour les cas d’usage à haut risque spécifiques à votre contexte.

Pour en savoir plus

https://www.michalsons.com/blog/ai-policy-template-and-practical-guidance-for-organisations/80194

https://www.michalsons.com/focus-areas/artificial-intelligence-law/free-generative-ai-acceptable-use-policy

https://www.michalsons.com/blog/workplace-ai-governance-controls/81621

https://www.michalsons.com/blog/director-due-diligence/80263

https://www.ai.gov.au/sites/default/files/2026-05/AI-policy-guide-and-template.docx

https://www.michalsons.com/focus-areas/information-technology-law/king-report-king-code-on-corporate-governance

https://www.michalsons.com/focus-areas/artificial-intelligence-law/south-african-ai-policy-guidance-and-overview

JOHN GILES
&
KARABO MOKOENA

southafrica@lexing.network

Si l’Argentine n’impose pas encore de cadre légal spécifique au secteur privé en matière de gouvernance de l’intelligence artificielle, l’intense activité législative au Congrès national concernant l’IA annonce un changement imminent. Les entreprises devront certainement bientôt garantir que l’usage de l’IA par leurs collaborateurs répond à des normes juridiques et opérationnelles strictes. Dans ce contexte, anticiper ce virage en déployant dès aujourd’hui une politique de gouvernance de l’IA est un acte proactif de conformité et de gestion des risques. Avec une telle politique, il est possible de structurer, contrôler et documenter l’usage de l’IA dans votre entreprise en toute légalité et en toute sécurité et de vous aligner sur les futures exigences de transparence et de responsabilité.

Définir les objectifs d’utilisation

Concevoir une politique efficace commence par répondre à cette question : quel usage votre entreprise veut-elle faire de l’IA ? En effet, les technologies basées sur l’IA peuvent être employées pour des tâches très variées, des plus simples (rédiger un courrier électronique, synthétiser un document stimuler la créativité dans le cadre de sessions de brainstorming) aux plus complexes (analyser des données, réaliser le profilage de clients, aider au recrutement) qui implique des niveaux de risque qui leur sont spécifiques. Chaque objectif poursuivit soulève des risques juridiques, opérationnels, réputationnels, de cybersécurité et de confidentialité différents. C’est pourquoi la politique de gouvernance de l’IA va venir indiquer clairement les usages autorisés, restreints et interdits.

Choisir les bons outils

En outre, la politique doit préciser quels systèmes d’IA sont autorisés et sous quelles conditions. Il est important que les collaborateurs sachent s’ils ont le droit d’utiliser des outils accessibles au grand public ou si seules les plateformes approuvées par l’entreprise sont permises. A cet égard, il faut être conscient que certains fournisseurs peuvent utiliser les données saisies par les utilisateurs pour entraîner ou améliorer leurs modèles, conserver les invites (prompts) ainsi que les résultats générés, ou n’offrir que des garanties limitées en matière de confidentialité, de sécurité et de suppression des données. Dès lors que des informations sensibles sont en jeu, il vous est vivement recommandé de n’autoriser que des comptes d’entreprise bénéficiant de verrous contractuels stricts pour protéger vos données.

Eléments à prendre en compte

• confidentialité et protection des données : ces enjeux doivent être au cœur de votre politique de gouvernance. Il convient de définir précisément les situations dans lesquelles vos collaborateurs ont l’interdiction de saisir des données personnelles ou des informations sensibles dans les systèmes d’IA ;
• gouvernance et responsabilité : ces deux thématiques sont tout aussi cruciales. Votre entreprise doit désigner un référent ou un responsable de la supervision des usages de l’IA. Cette personne aura pour mission d’approuver les cas d’usage à plus haut risque, de répondre aux questions des employés et de coordonner les actions avec les départements juridique, conformité et informatique ;
• contrôle humain : il s’agit d’un aspect fondamental. Parce que l’IA peut générer des informations inexactes ou trompeuses, vos collaborateurs doivent systématiquement vérifier les résultats générés par l’IA avant de les utiliser, surtout si ces résultats affectent des décisions commerciales ou des tiers. Pour les cas d’usage à risque élevé, il est vivement conseillé de documenter et de tracer la mise en œuvre de ce contrôle humain.

Conclusion

Une politique de gouvernance de l’IA est un document vivant : elle doit s’adapter à l’évolution rapide et constante des technologies, des réglementations et des pratiques de marché. En associant des audits réguliers à une formation continue de vos équipes, votre organisation disposera d’une approche en matière d’IA qui lui permettra de concilier sécurité, responsabilité et innovation.

PABLO A. PALAZZI
argentina@lexing.network

Organiser et encadrer l’usage de l’intelligence artificielle est aujourd’hui un enjeu stratégique pour les entreprises.

En effet, une utilisation inappropriée de ces technologies est susceptible d’engager la responsabilité non seulement de la société, mais aussi celle de ses dirigeants.

En droit belge, conformément aux articles 2:56 et 2:51 du Code des sociétés et des associations (1), les membres du conseil d’administration, ainsi que les personnes chargées de la gestion journalière ou qui détiennent le pouvoir de gérer effectivement la société, sont responsables envers celle-ci des fautes de gestion commises dans l’accomplissement de leur mission.

Par exemple, un dirigeant qui utilise un outil d’IA public pour vérifier qu’un sous-traitant dispose des autorisations nécessaires à la conclusion d’un contrat, puis conclue ce un contrat sans autre vérification supplémentaire, peut être considéré comme ayant commis une faute de gestion, s’il est estimé qu’un dirigeant normalement prudent et diligent aurait procédé à des vérifications complémentaires.

S’exposerait aux mêmes risques le dirigeant qui utiliserait un outil d’IA non sécurisé pour préparer une réunion du conseil d’administration en y entrant des données confidentielles de l’entreprise.

Dans ces deux exemples, le dirigeant pourrait être reconnu coupable de négligence dans sa gestion et, par conséquent, voir sa responsabilité engagée.

Former les employés à l’utilisation des outils d’IA

Au-delà de la responsabilité pour leurs propres actions, les dirigeants d’entreprise pourraient également être tenus responsables d’une faute de gestion si l’IA est utilisée au sein de leur organisation sans qu’une supervision adéquate ait été mise en place.

Depuis le 2 février 2025, les entreprises qui déploient des systèmes d’IA ont l’obligation de garantir un niveau suffisant de maîtrise de l’IA pour leur personnel et les autres personnes s’occupant du fonctionnement et de l’utilisation de ces systèmes d’IA pour leur compte (2).

*****

(1) Code des sociétés et des associations : https://www.ejustice.just.fgov.be/cgi_loi/change_lg.pl?language=fr&la=F&cn=2019032309&table_name=loi#LNK0054

(2) Article 4 du RIA : https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32024R1689

ALEXANDRE CRUQUENAIRE
belgium@lexing.network

Si on vous le demandait aujourd’hui, seriez-vous capable de prouver, documents à l’appui, comment vos systèmes d’IA ont été conçus, testés, déployés et contrôlés ? Sauriez-vous démontrer votre respect du principe de responsabilité et l’efficacité de vos garde-fous en cas de mauvais résultats générés par l‘IA dans votre entreprise ? Seule une véritable politique de gouvernance vous permet de répondre sereinement à ces questions. Pour concevoir la vôtre, vous pouvez vous inspirer de la résolution n°615/2025 (1) du Conseil national de justice brésilien (CNJ). Pragmatique et fondée sur une approche par les risques, cette résolution offre des clés concrètes pour structurer votre gouvernance de l’IA au plus près des réalités du terrain, qu’il convient ensuite de compléter et de personnaliser selon vos besoins opérationnels.

Les mesures concrètes et pragmatiques de la résolution CNJ n°615/2025

Le force de la résolution du CNJ est de traduire la gouvernance de l’IA en actes concrets et vérifiables. Elle :

• impose un socle minimal de processus internes, avec transparence obligatoire, système de reporting, désignation de responsables chargés de la supervision (art. 12) ;
• instaure une gestion des risques claire, comprenant des critères d’évaluation objectifs et des mesures renforcées pour les environnements à haut risque (art. 9 et 11) ;
• intègre l’analyse d’impact dans la routine de l’entreprise via un pilotage permanent et des actions correctives régulières. La gouvernance quitte ainsi le terrain de la théorie pour devenir pleinement opérationnelle (art. 14) ;
• requiert l’enregistrement et la classification en fonction de leur niveau de risque des systèmes d’IA dans un registre, obligeant ainsi à dresser et à tenir à jour un inventaire et à ajuster ses mécanismes de contrôle de manière cohérente (art. 24).

Ces différentes mesures sont essentielles pour éviter l’écueil le plus fréquent des politiques internes, à savoir se contenter de grandes déclarations d’intention sans jamais fixer de responsabilités claires ni de contrôles concrets.

Eléments complémentaires pour rédiger votre politique de gouvernance de l’IA

Souple et pragmatique, la résolution du CNJ (qui permet notamment de mener des audits sans exiger un accès total au code source (art. 1, § 2)) constitue une excellente base pour rédiger votre politique de gouvernance de l’IA. Vous devrez toutefois impérativement l’enrichir de critères objectifs, d’indicateurs de performance, de protocoles de test et de procédures de révision. En effet, si vos politiques internes ne définissent pas un seuil minimal de preuves et de méthodes de vérification, vos rapports d’audit perdront toute valeur opérationnelle, car ils ne permettront aucun contrôle réel des biais, des dérives, des défaillances systémiques ou des impacts majeurs de l’IA.

Cette démarche rejoint les conclusions des experts de l’IA de confiance : les principes éthiques ne doivent pas rester théoriques, mais s’intégrer dans des processus répétables et audités tout au long de la vie du système (2). C’est l’essence même du modèle proposé par l’institut américain des normes et de la technologie (NIST) dans son cadre de gestion des risques liés à l’IA (« AI RMF »), qui qui articule la gouvernance autour d’un cycle continu d’actions vérifiables (cartographie, évaluation et gestion) (3).

Structurer la politique par thèmes, sans laisser de zones d’ombre

• Cartographie et délimitation du périmètre: premièrement, tout projet de gouvernance de l’IA doit commencer par un état des lieux. Votre politique doit mettre en place un registre centralisé de vos systèmes d’IA. Ce registre doit préciser, pour chaque système d’IA, sa finalité, les parties prenantes impactées, son niveau d’autonomie, les données utilisées, son fournisseur, ses versions logicielles et son contexte d’utilisation. Cette étape est indispensable. Sans cette cartographie des systèmes d’IA, il est impossible d’appliquer le principe de proportionnalité et de prouver une quelconque gouvernance tout au long du cycle de vie du système d’IA (art. 24).
• Classification des risques et les contrôles associés : deuxièmement, la politique de gouvernance de l’IA doit catégoriser les risques et y associer des contrôles minimaux. La résolution de la CNJ (art. 11) impose un protocole strict pour les systèmes d’IA classés à haut risque : validations rigoureuses, tests de robustesse, tests de détection des biais, gestion du changement renforcés, audits fréquents. Le cadre de gestion des risques liés à l’IA du NIST américain préconise aussi de structurer la gouvernance en amont pour éviter de piloter les risques de manière purement réactive.
• Rôles, responsabilités et contrôle humain: troisièmement, il convient d’attribuer des rôles précis et mettre en place un contrôle humain disposant d’un véritable pouvoir de décision. La politique doit identifier les personnes habilitées à déployer, modifier ou suspendre un système d’IA. Elle doit également prévoir des voies de contestation. Au Brésil, la loi sur la protection des données (LGPD) renforce ce dispositif : elle donne aux personnes concernées le droit d’obtenir une intervention humaine en cas de décision fondée exclusivement sur un traitement automatisé qui les affectent, et impose la transparence sur les critères et les procédures utilisés, sauf secret d’affaires et industriel (4).
• Auditabilité et surveillance: quatrièmement, il est nécessaire d’imposer la constitution d’un dossier de preuves pour chaque système d’IA. Ce dossier devrait contenir les informations suivantes : historique des versions, origine des données, résultats des tests, indicateurs de performance et de risque, rapports de suivi et journaux d’incidents (logs). Pour mettre en place ce dossier, il est possible de s’appuyer sur la norme ISO/CEI 42001 sur les systèmes de management de l’IA, qui constitue une excellente référence pour piloter les cycles de mise à jour et d’amélioration continue (5).
• Transparence et formation: enfin, la politique de gouvernance de l’IA doit impérativement intégrer des obligations de transparence et de formation. Les procédures restent lettre morte si les décideurs, les utilisateurs et les superviseurs ne sont pas formés pour les appliquer correctement. La résolution de la CNJ (art. 12) fait d’ailleurs de la formation continue une obligation pour maîtriser les risques. Cette approche s’aligne sur l’état de l’art en matière d’IA de confiance : la formation, la mise à jour et la responsabilisation sont des pratiques partagées qui s’appliquer tout au long du cycle de vie des systèmes (6).

Conclusion

Pour une entreprise, l’efficacité d’une politique de gouvernance de l’IA ne se mesure pas au nombre de pages, mais à sa capacité à documenter des preuves. Au Brésil, la résolution CNJ n°615/2025 jette les bases d’une gouvernance concrète et vérifiable à travers plusieurs exigences : processus internes minimaux, évaluation des risques, analyses d’impact et inventaire et classification des systèmes selon leur niveau de risque (art. 12, 9, 14 et 24). Ce cadre n’est qu’un point de départ qu’il faut impérativement compléter. Votre politique interne doit impérativement définir un niveau minimal de preuves et des critères de validation pour éviter que le reporting ne devienne une simple formalité administrative. C’est en structurant votre politique autour de piliers opérationnels (inventaire, classification des risques, contrôle humain, audit, formation), que vous pourrez traduire les intentions en réalisations concrètes.

*****

(1) Conseil national de justice (CNJ). Résolution n°615 du 11 mars 2025. Elle établit les règles pour le développement, la gouvernance, l’audit, le suivi et l’utilisation responsable des solutions adoptant des techniques d’intelligence artificielle (IA) au sein du pouvoir judiciaire. Brasília, DF, 2025. Consulté le 4 mai 2026. https://atos.cnj.jus.br/atos/detalhar/6001

(2) Chen, Hsinchun, Roger H. L. Chiang, and Veda C. Storey. “Business Intelligence and Analytics: From Big Data to Big Impact.” MIS Quarterly 36, no. 4 (2012): 1165–1188. Consulté le 4 mai 2026. https://misq.umn.edu/misq/article/36/4/1165/1483/Business-Intelligence-and-Analytics-From-Big-Data

(3) National Institute of Standards and Technology. Artificial Intelligence Risk Management Framework (AI RMF 1.0). NIST AI 100-1. Gaithersburg, MD: NIST, 2023. Consulté le 4 mai 2026. https://nvlpubs.nist.gov/nistpubs/ai/nist.ai.100-1.pdf

(4) Brésil. Loi n° 13.709 du 14 août 2018 (Loi générale sur la protection des données personnelles (Lei Geral de Proteção de Dados Pessoais (LGPD)). Diário Oficial da União (Brasília, DF), 15 août 2018. Consulté le 4 mai 2026. https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm

(5) Organisation internationale de normalisation, et Commission électrotechnique internationale. ISO/IEC 42001:2023: Technologies de l’information — Intelligence artificielle — Système de management. Geneve : ISO, 2023. Consulté le 4 mai 2026. https://www.iso.org/fr/standard/42001

(6) Li, Bowen, Guo-Jun Qi, Xian-Sheng Hua, et al. “Trustworthy AI: From Principles to Practices.” ACM Computing Surveys 55, no. 9 (2023). Consulté le 4 mai 2026. https://dl.acm.org/doi/10.1145/3555803

FLAVIA M. MURAD SCHAAL
&
DEYSE ALCANTARA DE LIMA

brazil@lexing.network

La gouvernance de l’IA au sein d’une organisation se décline en deux catégories :

• d’une part la gestion des systèmes faisant appel à l’IA qui sont développés ou déployés par cette organisation et
• d’autre part la gestion des outils faisant appel à l’IA qui sont utilisés par les employés ou autres parties prenantes de cette organisation afin de remplir la mission de l’organisation.

Toutes les organisations, qu’elles développent ou déploient des outils d’IA ou non, devraient réfléchir à la gouvernance de l’utilisation de l’IA au sein de l’organisation. Nous ferons un bref survol des obligations qui encadrent la gouvernance de l’IA pour les organisations qui font affaire au Canada et proposerons quelques pistes afin de guider l’élaboration de politiques pour encadrer cette gouvernance dans l’une ou l’autre des situations décrites ci-haut.

Cadre juridique applicable à l’IA au Canada

Le Canada ne dispose pas encore d’une loi spécifiquement dédiée à la gouvernance de l’intelligence artificielle (IA). Un projet de loi fédéral a été déposé et abandonné en 2025 (1). Il est à prévoir qu’une version de ce projet de loi pourrait être adopté éventuellement, mais d’ici là, les organisations évoluant au Canada doivent donc naviguer dans un cadre réglementaire fragmenté, composé de plusieurs instruments à portée variable.

Les règles les plus contraignantes au Canada en matière d’utilisation de l’IA sont celles relatives à la protection des renseignements personnels. Les systèmes faisant appel à l’IA ne sont pas exemptés de ces règles et les organisations doivent s’assurer d’être en mesure de comprendre, d’une part, comment seront traités les renseignements personnels qui sont transmis à un fournisseur faisant appel à l’IA et d’autre part, si les systèmes déployés par l’organisation permettent aux utilisateurs de respecter leurs obligations en matière de protection de la vie privée. Sans référer spécifiquement au traitement à partir de l’IA, les lois applicables au Canada en matière de protection de la vie privée (2) sont pertinentes à l’égard de plusieurs traitements qui peuvent être effectués par le biais d’outils d’IA.

L’organisme responsable de l’application de la loi fédérale applicable en matière de protection de la vie privée (LPRPDE), le Commissariat à la protection de la vie privée du Canada, a publié des principes visant à promouvoir l’utilisation de l’IA de manière responsable (3). Ces principes peuvent servir de base afin de développer une politique d’utilisation acceptable de l’IA.

Les provinces canadiennes ont juridiction sur plusieurs questions touchant l’utilisation de l’IA, notamment en matière de protection de la vie privée. En conséquence, les règles applicables peuvent varier selon la province dans laquelle une organisation exerce ses activités. À titre d’exemple, l’Ontario a adopté un cadre pour la fiabilité de l’intelligence artificielle qui s’applique dans le secteur public (4).

Outre le cadre juridique officiel, les organisations doivent tenir compte de leurs obligations envers leurs partenaires et clients relativement aux données qui pourraient être utilisées en lien avec des outils d’IA. Pour plusieurs organisations, ces obligations présentent un niveau de risque plus élevé que les lois et règlements applicables et leur violation peut entrainer des conséquences importantes. À titre d’exemple, le partage d’informations confidentielles sensibles qui sont confiées par un client à un outil d’IA sans protections appropriées pourrait constituer une violation des obligations contractuelles à l’égard de ce client.

Pistes pour la mise en œuvre de politiques de gouvernance de l’IA

Une bonne gouvernance de l’IA au sein d’une organisation passe par la mise en place de politiques claires qui permettent aux individus œuvrant au sein de l’organisation de connaitre les bonnes pratiques à adopter. L’absence d’une politique n’empêchera pas les individus d’utiliser des outils d’IA et une interdiction pure et simple s’avère dans la plupart des cas inefficace et pourrait coûter un avantage concurrentiel à l’organisation.

Pistes pour établir des politiques de développement de l’IA

• Établir une structure de gouvernance
• Si un outil d’IA est appelé à traiter des renseignements personnels, s’assurer de respecter les principes de nécessité, de proportionnalité, de transparence, de responsabilité.
• Se référer aux principes publiés par le CPVPC (3) et au projet de loi C-27 (1) pour planifier la conformité future.

Pistes pour établir des politiques d’utilisation d’outils faisant appel à l’IA

• Demander aux employés et collaborateurs quels outils sont utilisés dans le cadre du travail et pour quelles tâches.
• Faire l’inventaire des outils autorisés et des modalités et conditions d’utilisation de chaque outil autorisé.
• Déterminer si l’utilisation d’outils d’IA est susceptible d’entrainer une prise de décision automatisée qui doit être encadrée.
• Trouver des outils qui répondent aux besoins des collaborateurs et qui permettent de protéger les informations confidentielles.
• Informer les équipes sur les outils autorisés par l’organisation et sur le type d’informations qui peuvent être téléversées vers ces outils. Au Canada, une attention particulière devrait être donnée au traitement des informations qui constituent des renseignements personnels.
• Informer les équipes des conséquences de l’utilisation inadéquate des outils faisant appel à l’IA.

*****

(1) Explication du projet de loi proposé : https://ised-isde.canada.ca/site/innover-meilleur-canada/fr/loi-lintelligence-artificielle-donnees-liad-document-complementaire

(2) Loi applicable au secteur privé au niveau fédéral : https://www.priv.gc.ca/en/privacy-topics/privacy-laws-in-canada/the-personal-information-protection-and-electronic-documents-act-pipeda/pipeda_brief/

(3) Principes : https://www.priv.gc.ca/fr/sujets-lies-a-la-protection-de-la-vie-privee/technologie/intelligence-artificielle/gd_principes_ia/

(4) https://www.ontario.ca/fr/page/cadre-ontarien-pour-la-fiabilite-de-lintelligence-artificielle

BRUNO PROVENCHER-BORDELEAU
canada@lexing.network

L’intelligence artificielle n’est plus optionnelle : elle est une réalité quotidienne dans la plupart des organisations. La question n’est pas de savoir s’il faut l’utiliser, mais comment l’utiliser de manière responsable. En Espagne, les organisations qui utilisent l’IA opèrent dans un cadre à plusieurs niveaux qui combine la réglementation européenne, le droit national de la protection des données, les règles sectorielles et la responsabilité civile générale. Parallèlement à ce corpus de règles, l’AESIA (l’autorité espagnole de supervision de l’IA) publie des orientations pratiques qui traduisent les obligations réglementaires en actions concrètes pour les organisations déployant ces systèmes.

Pourquoi votre organisation a-t-elle besoin d’une politique d’utilisation de l’IA ?

Force est de constater que votre organisation utilise forcément l’IA mais sans politique formelle. Cet usage se fait donc sans contrôle. De fait, une grande partie des employés utilisent des outils d’IA pour réaliser des tâches professionnelles sans autorisation ni supervision de l’entreprise (phénomène dit du « shadow AI »), et la majorité ont même déjà partagé des données confidentielles avec des modèles externes. Cette pratique rend directement l’employeur responsable en tant que déployeur au sens du Règlement européen sur l’IA (RIA) et en tant que responsable du traitement ou sous-traitant au sens du règlement européen sur la protection des données (RGPD).

Cadre réglementaire applicable en Espagne

• RIA (Règl. UE 2024/1689) : maîtrise de l’IA obligatoire ; pratiques interdites en vigueur ; obligations de transparence, inventaire des systèmes à haut risque ;
• RGPD (Règl. UE 2016/679) : base juridique pour le traitement de données avec l’IA ; contrat de sous-traitance avec le fournisseur ; information des personnes concernées ; transferts internationaux ; AIPD en cas de systèmes d’IA à haut risque ;
• LOPDGDD (LO 3/2018) : loi générale espagnole sur la protection des données. Elle développe et complète le RGPD dans le contexte national ;
• 1101–1104 et 1902 du Code civil : responsabilité civile pour les erreurs dans les résultats d’IA non vérifiés. Le système d’IA ne peut être tenu responsable : c’est à l’organisation d’assumer toutes les conséquences de son utilisation ;
• Projet de loi espagnole de gouvernance de l’IA : processus législatif actuellement en cours : il établit des obligations supplémentaires de transparence et de gouvernance pour les organisations déployant l’IA en Espagne ;
• Code du travail (RDL 2/2015) : droit des comités d’entreprise à être informés sur les paramètres, règles et instructions des algorithmes ou systèmes basés sur l’IA qui peuvent affecter les conditions de travail, l’accès et le maintien de l’emploi ;
• Loi relative aux services de la société de l’information et au commerce électronique (LSSI-CE) (Loi 34/2002) et loi de protection des consommateurs (RDL 1/2007) : obligations d’information pour les communications commerciales basées sur l’IA, les chatbots et les interactions automatisées avec les clients, règles sur les pratiques commerciales déloyales lorsque l’IA est utilisée dans des contextes orientés vers le consommateur.

Le rôle de l’AESIA et ses orientations

L’AESIA (Agencia Española de Supervisión de la Inteligencia Artificial) est l’autorité nationale espagnole de supervision de l’IA. Elle a pour mission la surveillance du marché, le traitement des plaintes, l’imposition de sanctions et la publication d’orientations techniques de conformité. Pour les organisations qui déploient l’IA, les documents de l’AESIA constituent une source hautement pertinente et la principale référence pratique pour traduire le RIA en obligations concrètes.

Ressources clés de l’AESIA que votre organisation doit connaître :

• Classification des risques et obligations générales : cadre permettant de déterminer si un système d’IA relève de la catégorie de risque inacceptable, élevé, limité ou minimal au sens du RIA, et obligations principales associées à chacun de ces niveaux.
• Gestion des risques : méthodologie structurée, alignée sur la norme ISO/IEC 23894, pour identifier, évaluer et atténuer les risques pour la santé, la sécurité et les droits fondamentaux tout au long du cycle de vie du système d’IA.
• Gouvernance des données : exigences relatives aux données d’entraînement, de validation et de test pour garantir la qualité, la représentativité et la prévention des biais discriminatoires.
• Supervision humaine et maîtrise de l’IA : conception de mécanismes techniques permettant un contrôle humain effectif, et obligations de formation pour atténuer la dépendance excessive et le biais d’automatisation.
• Traçabilité et documentation technique : journalisation des événements et documentation technique à jour pour assurer le respect du principe de responsabilité, permettre la réalisation d’audits de conformité et constituer un dossier de preuves en défense en cas de litige.
• Transparence et cybersécurité : instructions d’utilisation claires permettant aux déployeurs d’interpréter correctement les résultats des modèles, et des contrôles techniques contre les vulnérabilités et menaces spécifiques à l’IA.
• Surveillance après commercialisation et signalement des incidents : plans de suivi des performances du système après le déploiement et procédures de notification des incidents graves aux autorités de surveillance du marché.
• Bac à sable réglementaire de l’AESIA : environnement expérimental contrôlé permettant aux organisations, y compris les PME et les startups, de réaliser des simulations d’évaluation de la conformité et de valider l’adaptation réglementaire et éthique avec l’appui d’experts.

Les quatre piliers d’une gouvernance efficace de l’IA

• Politique d’utilisation de l’IA:
  • contenu minimum : outils approuvés, catégories de données autorisées, supervision humaine obligatoire, protocole d’incident, révision annuelle ;
  • référence réglementaire : art. 26 RIA, art. 5 RGPD, guide de l’AESIA sur la maîtrise de l’IA ;
• Registre des systèmes d’IA:
  • contenu minimum : une fiche sur chaque système d’IA en usage : fournisseur, finalité, données traitées, niveau de risque, contrat de sous-traitance signé, responsable interne ;
  • référence réglementaire : art. 26 RIA ; art. 30 RGPD (registre des activités de traitement), guide de l’AESIA sur la classification des risques ;
• Rôles et responsabilités:
  • contenu minimum : responsable IA (direction), DPO ou responsable RGPD, DSI ou prestataire externe, utilisateurs formés.
  • référence réglementaire : art. 26 RIA, guides de l’AESIA sur la supervision humaine, la cybersécurité et la gouvernance des données.
• Processus d’approbation:
  • contenu minimum : circuit agile pour valider les nouveaux outils ;
  • référence réglementaire : art. 9 RIA (gestion des risques) ; guide de l’AESIA sur la gestion des risques.

Procédure d’approbation et d’enregistrement des outils

• Demande :
  • action : formulaire bref : nom de l’outil, fournisseur, finalité, données à traiter ;
  • responsable : employé / équipe / département demandeur.
• Examen juridique :
  • action : vérification du contrat de sous-traitance, base juridique selon le RGPD, transferts internationaux, niveau de risque du RIA ;
  • responsable : DPO / avocats et juristes.
• Examen technique :
  • action : sécurité, journaux d’audit, SSO, localisation des données, chiffrement ;
  • responsable : DSI / Prestataire technique
• Phase pilote encadrée :
  • action : tests avec des données non sensibles avant approbation finale ;
  • responsable : équipe métier.
• Approbation et enregistrement :
  • action : validation par le Responsable IA, ajout au registre des systèmes d’IA, formation de l’équipe avant la mise en service ;
  • responsable : Direction / Responsable IA.

Garanties opérationnelles

Outre les quatre piliers décrits ci-dessus, les mesures opérationnelles suivantes comblent les lacunes de conformité les plus fréquemment observées :

• publier et communiquer la liste des outils d’IA approuvés ;
• maintenir un processus d’approbation rapide : s’il est lent, les employés agiront en dehors de celui-ci ;
• former l’ensemble du personnel : la maîtrise de l’IA est obligatoire depuis le 2 février 2025. L’AESIA a publié des orientations sur le niveau de formation requis pour chaque rôle ;
• mettre en place un canal de signalement des incidents avec des garanties de non-représailles ;
• tous les 6 mois, passer en revue l’inventaire des systèmes d’IA et mettre à jour la politique chaque année ou à la suite de changements réglementaires importants.

Action immediate : feuille de route

• dès maintenant : vérifier qu’il n’existe aucune utilisation d’IA interdite (art. 5 du Règlement IA). Auditer les outils déjà utilisés. Examiner les orientations de l’AESIA ;
• dans les 3 prochains mois: rédiger une charte d’utilisation de l’IA. Créer le registre constituant l’inventaire des systèmes d’IA. Dispenser une formation pour garantir un niveau suffisant de maîtrise de l’IA ;
• avant août 2026 : veiller à la conformité totale avec les obligations de transparence du RIA. Évaluer les systèmes à haut risque. Désigner formellement le Responsable IA.

MARC GALLARDO
marc.gallardo@lexing.es

De l’IA générative à l’aide à la décision, en passant par la cybersécurité, le recours à l’intelligence artificielle explose en entreprise. Mais alors que l’IA s’ancre durablement dans le quotidien des professionnels, les dirigeants peinent à mettre en place des mécanismes de gouvernance internes adéquats, laissant les employés adopter massivement des IA grand public hors de tout contrôle. Dans ce contexte, il est indispensable de mettre en œuvre une politique interne de gouvernance de l’IA. Cette urgence est renforcée depuis l’adoption du Règlement européen sur l’intelligence artificielle (RIA) (1), premier cadre réglementaire complet régissant l’IA au sein de de l’Union européenne.

Le RIA adopte une approche fondée sur le risque et établit une distinction claire entre les pratiques d’IA interdites, les systèmes d’IA à haut risque et les systèmes soumis à des obligations de transparence. Pour les entreprises, le premier réflexe est d’identifier leur statut selon le RIA et ainsi de connaitre les obligations qui leur incombent. La plupart des entreprises ne seront pas considérées comme des fournisseurs, mais plutôt comme des déployeurs de systèmes d’IA (2). Les déployeurs sont soumis à des obligations strictes, en particulier lorsqu’ils exploitent des systèmes à haut risque (3). En pratique, l’enjeu n’est pas simplement de savoir si un outil d’IA est légal, mais de bien encadrer son utilisation, en définissant les conditions de gouvernance, les procédures d’approbation et les mécanismes de supervision interne qui lui seront appliqués.

Une des dispositions clés du RIA est l’obligation du contrôle humain. Elle signifie que les systèmes d’IA à haut risque doivent être déployés de manière à permettre leur contrôle effectif par des personnes physiques (4). Les entreprises doivent donc bannir tous processus acceptant automatiquement les résultats donnés par l’IA : il doit toujours y avoir une vérification réelle et une possibilité d’intervention humaine. Cette vigilance est cruciale dans des domaines tels que les ressources humaines (recrutement, évaluation des employés), le profilage, la lutte contre la fraude et le suivi de la conformité interne. A cet égard, la politique de gouvernance de l’IA doit préciser qui valide quoi, comment remonter une alerte, et dans quels cas il est strictement interdit d’accepter automatiquement les résultats d’un outil d’IA sans contrôle humain. Le RIA introduit également des obligations relatives à la maîtrise de l’IA : les déployeurs et les fournisseurs sont désormais tenus de garantir que les membres concernés de leur personnel possèdent un niveau de compréhension suffisant du fonctionnement et des risques des systèmes d’IA (5).

Si le RIA est un texte essentiel, une bonne gouvernance de l’IA requiert de prendre en compte d’autres réglementations sectorielles. Ainsi, les systèmes d’IA impliquent fréquemment le traitement de données à caractère personnel, ce qui déclenche l’application des obligations prévues par le RGPD et par sa règlementation de transposition en Grèce (6). De plus, l’IA élargit la surface d’attaque des entreprises, ce qui soulève des inquiétudes en matière de cybersécurité (fuites de données, manipulation de modèles, résilience opérationnelle) et une mise en conformité avec la directive NIS2, telle que transposée en droit grec (7). Il convient également de respecter les obligations relatives aux lanceurs d’alerte (8), afin que tous incidents ou dérives liés à l’IA puissent faire l’objet d’un signalement et d’une enquête en interne.

Ces règlementations viennent compléter le cadre national existant qui réglemente les systèmes d’IA, avec la loi 4961/2022. Cette loi a d’ores et déjà introduit des obligations de transparence et de responsabilité en matière d’IA. Elle impose notamment des analyses d’impact algorithmique, des obligations de transparence pour les systèmes d’IA du secteur public, des obligations d’information sur l’IA sur le lieu de travail, la création de registres d’IA ainsi qu’une gouvernance éthique des données (9). Les entités du secteur privé qui utilisent des systèmes d’IA qui impactent les processus de décision liés à l’emploi peuvent, quant à elles, être soumises à l’obligation d’informer préalablement leurs salariés sur les paramètres qui sous-tendent ces processus de décision automatisés (10).

En conclusion, les entreprises ne doivent pas aborder la politique de gouvernance de l’IA comme une simple case à cocher pour se conformer au RIA. Bien au contraire, cette politique, qui s’inscrit dans un cadre de gouvernance global, offre aux entreprises un moyen de démontrer le respect de leurs obligations, de maîtriser leurs risques juridiques et opérationnels, et de fixer des règles du jeu claires pour déployer et utiliser leurs systèmes d’IA de manière responsables.

*****

(1) Règlement (UE) 2024/1689

(2) Article 3 du RIA

(3) Article 26 du RIA

(4) Article 14 du RIA

(5) Article 4 du RIA

(6) Règlement (EU) 2016/679, Loi 4624/2019

(7) Directive (EU) 2022/2555, Loi 5160/2024

(8) Directive (EU) 2019/1937, Loi 4990/2022

(9) Articles 5, 6, 9 et 10 Loi 4961/2022

(10) Article 9 Loi 4961/2022

GEORGE BALLAS
&
NIKOLAOS PAPADOPOULOS

greece@lexing.network

L’intelligence artificielle fait désormais partie du quotidien des entreprises. Selon un récent sondage effectué par le Commissariat à la vie privée des données personnelles de la région administrative spéciale chinoise de Hong (PCPD), la quasi-totalité des professionnels interrogés utilisent régulièrement plusieurs outils d’IA dans le cadre de leurs activités, et beaucoup ont déjà recours à une IA agentique. Pour réglementer l’IA et traiter les enjeux juridiques qu’elle soulève, notamment en termes de gouvernance, Hong Kong a opté pour une approche basée sur des principes, qui s’appuie sur les lois existantes ainsi que sur des réglementations sectorielles. En tout état de cause, les organisations sont tenues de s’assurer que leurs systèmes d’IA sont conformes et qu’ils sont déployés et exploités de manière responsable. Cet article vous présente les principales étapes pour mettre en œuvre une politique de gouvernance de l’IA au sein de votre organisation.

1. Établir une stratégie

Il s’agit tout d’abord d’établir votre stratégie. Pour cela, la première action est d’identifier les solutions d’IA qui sont prioritaires pour les activités de votre organisation. Gardez à l’esprit qu’une mauvaise gestion des données amplifie les risques liés à l’IA et que vous devez donc collecter et préparer vos données avec le plus grand soin. Il vous faudra ensuite personnaliser le modèle d’IA sélectionné pour l’adapter aux besoins spécifiques de votre entreprise, puis tester, évaluer et valider son fonctionnement, sa précision, ainsi que sa conformité en matière de sécurité et de confidentialité.

2. Mettre en place la gouvernance

Il est nécessaire de mettre en place une gouvernance. A cette fin, il faut définir les règles (politiques, plans, directives et processus) indispensables à la gestion de la multitude de thématiques entourant la gouvernance de l’IA : politiques relatives à la protection de la vie privée, à la sécurité et aux questions éthiques, règles de conformité juridique et réglementaire, accords de traitement des données, processus d’évaluation des fournisseurs d’IA, guides d’utilisation pratique, formations du personnel, gestion des retours d’expérience, audits et mises à jour…, et créer des comités de gestion, de gouvernance et de supervision.

3. Effectuer une analyse d’impact de l’IA

La réalisation d’une analyse d’impact de l’IA est une étape importante, qui permet de recueillir des informations, d’identifier et d’évaluer les risques et les bénéfices du système d’IA envisagé, et de formuler des recommandations pratiques. Avec ce document, l’entreprise définit les objectifs commerciaux recherchés et fixe des indicateurs mesurables (gains d’efficacité, réductions de coûts) pour de vérifier s’ils sont atteints. Elle examine ensuite la sécurité et la fiabilité du système d’IA concerné : elle s’assure du fonctionnement cohérent de ce système, ainsi que la mise en place de processus pour surveiller la qualité des données, gérer les risques et maintenir un contrôle humain adéquat. Enfin, elle répartit de manière claire les rôles et responsabilités de chacun par la mise en place structures de gouvernance précises, et informe en toute transparence les parties prenantes.

4. Assurer la conformité

Votre organisation doit également sécuriser sa conformité juridique. Analysez précisément la collecte et l’usage des données à caractère personnel par les systèmes d’IA pour déployer des mesures adaptées à la protection et à la minimisation de ces données. Vous devez également prendre en compte les questions relatives à la propriété intellectuelle, à la responsabilité du fait des produits et aux différents risques contractuels

5. Impliquer les parties prenantes

Le déploiement et l’utilisation de l’IA s’inscrivent dans un processus global de management et de gouvernance. Les recommandations formulées lors des phases d’achat, de test et d’évaluation doivent impérativement être suivies d’effets et être consignées de manière formelle pour engager la responsabilité des directions opérationnelles. Des sessions de formation et de sensibilisation aux bonnes pratiques d’utilisation de l’IA sont à prévoir pour l’ensemble du personnel concerné. Il est essentiel d’instaurer une communication transparente et un dialogue régulier (retours d’expérience, mises à jour) avec toutes les parties prenantes (collaborateurs, clients et fournisseurs).

Conclusion

Le succès du déploiement et de l’utilisation de l’IA au sein d’une entreprise est indissociable d’une gestion efficace et pragmatique de sa stratégie et de sa gouvernance.

PÁDRAIG WALSH
hongkong@lexing.network

Propulsée par l’émergence des grands modèles de langage (LLM) propriétaires et open-source, et les transformeurs génératifs pré-entraînés (GPT) d’intelligence artificielle, l’IA générative s’est démocratisée.

Cette adoption massive dans tous les secteurs soulève toutefois de risques majeurs, rendant la mise en place d’une gouvernance de l’IA incontournable. Dans ce contexte, les professionnels du droit en Inde ont pour mission d’accompagner les organisations afin qu’elles déploient l’IA de manière responsable, en toute sécurité et en parfaite conformité avec un cadre réglementaire national en constante évolution.

Le contexte réglementaire

En Inde, le cadre de gouvernance de l’IA privilégie l’incitation plutôt que la contrainte. En dehors des obligations découlant de la loi de 2023 sur la protection des données personnelles numériques (DPDP) et de ses décrets d’application, l’approche nationale repose essentiellement sur des lignes directrices et des orientations politiques.

Par exemple, les récentes lignes directrices sur la gouvernance de l’IA en Inde identifient sept principes cardinaux pour une adoption responsable de l’IA : confiance, rôle centrale de l’humain, priorité à l’innovation, justice et équité, responsabilité, explicabilité, sécurité et résilience (1). Dans la même lignée, le cadre FREE-AI de la Banque centrale de l’Inde (RBI) préconise de structurer l’utilisation de l’IA dans le secteur financier autour de piliers stratégiques : gouvernance, protection, auditabilité et contrôle humain (2). Ces référentiels ne sont pas contraignants, mais constituent des repères précieux pour les organisations qui souhaitent développent leurs propres structures internes de gouvernance de l’IA.

Cela étant, certains indices laissent présager des évolutions législatives, notamment à la croisée de la propriété intellectuelle et du droit (3). Les réformes à venir risquent d’avoir un impact majeur sur la disponibilité des données indispensables à l’entraînement des grands modèles de langage, ainsi que sur la question cruciale de la protection, par le droit d’auteur, des œuvres générées par ou avec l’aide d’une IA (4).

Elaborer une politique de gouvernance de l’IA en l’Inde

Rédiger la politique de gouvernance et d’utilisation de l’IA d’une entreprise en Inde exige une compréhension fine de sa structure interne, de son secteur d’activité et du contexte réglementaire qui s’applique à elle. A cette fin, les éléments suivants sont à prendre en compte :

1. Identifier le périmètre géographique et réglementaire

La première étape consiste à identifier les pays dans lesquels l’organisation exerce ses activités, et identifier celui qui impose la réglementation la plus stricte en matière d’IA. Deux stratégies s’offrent alors à l’entreprise : aligner sa politique mondiale sur le standard le plus élevé, ou concevoir une politique spécifique pour ce pays exigeant et adapter, ailleurs, sa politique aux réglementations locales.

2. Définir les cas d’usage autorisés de l’IA

Il est ensuite essentiel de recenser les cas d’usage de l’IA au sein de l’organisation et d’évaluer le niveau de risque de chacun d’eux. Aujourd’hui, de nombreuses entreprises subissent le phénomène de l’« IA fantôme » (Shadow AI) : des employés utilisent des outils d’IA générative grand public à l’insu de leur direction et en dehors de tout contrôle interne. Cette pratique expose naturellement l’organisation à des risques majeurs de confidentialité, de cybersécurité et de non-conformité.

Les organisations ont donc tout intérêt à tenir un registre des outils d’IA validés et à encadrer strictement les usages autorisés. Les activités à haut risque, telles que le profilage client dans les services financiers, le filtrage automatisé des candidatures lors des recrutements ou les prises de décision juridiques, doivent être clairement identifiés pour être soumises à des validations strictes et à un contrôle obligatoire par une personne physique.

3. Gérer les biais et les hallucinations et assurer l’équité et l’explicabilité

En raison de leurs données d’entraînement et de la conception même de leurs modèles, les systèmes d’IA peuvent générer des résultats biaisés ou discriminatoires. Ce risque est particulièrement critique dans des secteurs sensibles comme la banque, l’assurance, le recrutement, la finance ou encore la santé.

C’est la raison pour laquelle la politique de gouvernance de l’IA doit imposer des évaluations des risques et des garde-fous stricts avant tout déploiement. En parallèle, ces enjeux doivent être intégrés aux politiques internes pour formaliser des mesures concrètes d’atténuation.

La propension de l’IA à « halluciner », impose une discipline stricte autour du traitement des données. Les organisations doivent fixer des règles précises concernant le téléchargement de données personnelles dans des outils tiers, l’usage d’informations confidentielles ou sensibles, les flux transfrontaliers et les règles de conservation et de suppression des données.

4. Gérer les risques liés aux fournisseurs et aux IA tierces

Plutôt que de développer leurs propres outils en interne, de nombreuses entreprises s’appuient sur des prestataires externes, des plateformes SaaS et des solutions d’IA intégrées. Pour autant, l’externalisation de ces fonctionnalités ne décharge pas l’entreprise de sa responsabilité juridique. Ce point de vigilance s’étend d’ailleurs aux sous-traitants, qui peuvent eux-mêmes utiliser l’IA dans l’exécution de leurs prestations.

Les politiques de gouvernance de l’IA doivent donc imposer un audit préalable des fournisseurs. Cert audit a pour but d’évaluer : (i) leurs politiques d’utilisation de l’IA et les outils d’IA qu’ils emploient pour fournir leurs services, (ii) leurs normes de cybersécurité, (iii) leurs pratiques de stockage et de localisation des données, et (iv) leur conformité avec la réglementation indienne sur la protection des données et les réglementations sectorielles spécifiques. En l’absence de cadre législatif explicite, des questions cruciales, telles que la répartition des responsabilités, les droits d’audit et les obligations de signalement des incidents, doivent impérativement être réglées par voie contractuelle.

Cette approche s’aligne sur les lignes directrices des régulateurs sectoriels en Inde, qui placent la supervision des tiers et la résilience opérationnelle au cœur de leurs priorités. Les organisations doivent par conséquent veiller à ce que ces impératifs guident non seulement leurs politiques internes, mais aussi leurs négociations contractuelles avec leurs fournisseurs et prestataires de services.

Conclusion

La gouvernance de l’IA ne se résume plus à une simple question technique : elle est devenue un pilier stratégique de la gouvernance d’entreprise. En Inde, les autorités attendent désormais des organisations qu’elles déploient ces technologies de manière responsable, en toute transparence et avec une maîtrise des risques.

Ce nouveau paradigme offre une formidable opportunité aux professionnels du droit : celle d’aider leurs clients à dépasser les chartes génériques pour bâtir des cadres de gouvernance sur mesure, parfaitement alignés sur leur secteur, leur profil de risque et leurs réalités opérationnelle.

En définitive, une gouvernance d’IA réussie doit agir comme un accélérateur d’innovation, et non comme un frein. En sécurisant les données et en garantissant la conformité, elle permet d’innover en toute confiance tout en préservant le capital le plus précieux de l’entreprise : la confiance de ses parties prenantes.

*****

(1) Ministère de l’Électronique et des Technologies de l’information du gouvernement indien, India AI Governance Guidelines: Enabling Safe and Trusted AI Innovation (2025), https://www.psa.gov.in/ai-mission-initiatives (Consulté le 27 mai 2026)

(2) Reserve Bank of India, FREE-AI Committee Report: Framework for Responsible and Ethical Enablement of Artificial Intelligence 13 août 2025, RBI – FREE AI Committee Report, https://www.rbi.org.in/Scripts/PublicationReportDetails.aspx?UrlPage=&ID=1306 (Consulté le 27 mai 2026).

(3) Département pour la promotion de l’industrie et du commerce intérieur, Ministère du Commerce et de l’Industrie, Gouvernement de l’Inde, Working Paper on Generative AI and Copyright: Part I – One Nation One License One Payment: Balancing AI Innovation and Copyright (décembre 2025), https://www.dpiit.gov.in/static/uploads/2025/12/ff266bbeed10c48e3479c941484f3525.pdf (Consulté le 27mai 2026).

(4) Un flou juridique persiste actuellement sur la possibilité de protéger par le droit d’auteur des œuvres générées avec l’aide de l’IA. Si tel est le cas, on ignore encore selon quels critères évaluer le degré d’implication humaine nécessaire pour déterminer si une œuvre peut être enregistrée ou non.

HARINI SUDERSAN
&
BILAL LATEEFI

india@lexing.network

Le cadre juridique au Mexique

Actuellement, le Mexique ne dispose toujours pas de législation propre à l’intelligence artificielle. Pour l’instant, la gouvernance de l’IA repose donc sur un cadre juridique fragmenté et en constante mutation composé de trois grands textes : la loi fédérale sur la protection des données personnelles détenues par des entités privées (LFPDPPP, modifiée en mars 2025), la loi fédérale sur le droit d’auteur (LFDA), et la loi fédérale sur la protection de la propriété industrielle (LFPPI, modifiée en avril 2026). Côté régulation, l’autorité de contrôle de référence chargée de la protection des données personnelles assure désormais les fonctions du Secrétariat à l’anti-corruption et à la bonne gouvernance (SABG), qui a succédé à l’INAI, après sa disparition le 9 mai 2025.

Les étapes pour mettre en œuvre une politique de gouvernance de l’IA

Au Mexique, toute organisation qui utilise des systèmes d’IA, en tant que développeur ou utilisateur final, devrait adopter, au minimum, les mesures suivantes :

• cartographie et classification des systèmes d’IA: il s’agit de recenser les outils d’IA utilisés, leur finalité et les données qu’ils traitent, en identifiant clairement ceux qui impliquent des données personnelles sensibles ;
• gestion des contrats fournisseurs: il convient d’intégrer des clauses relatives à la propriété des résultats générés par l’IA, à la confidentialité des données d’entraînement, à la responsabilité en cas de biais algorithmique et à la conformité à la LFPDPPP devant la SABG ;
• analyse d’impact relative à la protection des données (AIPD): cette étape est obligatoire lorsque le système d’IA traite des données sensibles ou prend des décisions automatisées affectant les droits des personnes ;
• gouvernance interne et formation: les entreprises doivent désigner un responsable de l’IA, adopter des chartes d’utilisation de l’IA et former leurs équipes aux risques éthiques et juridiques des outils d’IA générative ;
• propriété intellectuelle: il faut veiller à bien documenter la contribution humaine dans chaque processus créatif ou inventif impliquant l’IA, afin de disposer d’éléments de preuve devant l’Institut mexicain de la propriété industrielle (IMPI) et l’Institut national du droit d’auteur (INDAUTOR). En outre, depuis la réforme de la LFPPI en avril 2026, toute utilisation de l’IA pour porter atteinte à la propriété industrielle est expressément sanctionnée.

Le risque pour le Mexique de copier le modèle européen

Les débats législatifs au Mexique laissent présager une transposition quasi littérale du Règlement européen sur l’intelligence artificielle (RIA) (Règlement UE 2024/1689). Or, l’Union européenne et le Mexique n’ont pas du tout le même niveau de maturité économique : les obligations de conformité mise en place par le RIA (évaluations des risques pour les systèmes à haut risque, audits techniques, registres obligatoires) sont calibrées pour de grandes entreprises européennes et une transposition à l’identique de ce texte pourrait paralyser l’écosystème des startups mexicaines.

Le Mexique aurait tout intérêt à privilégier une gouvernance proportionnée et adaptée à la réalité du pays. Il pourrait ainsi s’inspirer de la souplesse britannique (approche par les principes) ou de la méthode canadienne (approche sectorielle). A cette fin, le Mexique devrait renforcer la coopération réglementaire avec des pays partageant des cadres économiques compatibles, en particulier avec les États-Unis dans le cadre de l’Accord Canada–États-Unis–Mexique (ACEUM), et veiller à ce que l’alignement sur l’Europe ne mène pas à une surrèglementation, au risque de freiner l’innovation nationale.

IA et propriété intellectuelle : les lois LFPPI et LFDA

La réforme de la LFPPI (publiée au Journal officiel le 3 avril 2026 et en vigueur le 4 avril 2026) a modernisé en profondeur le système de propriété industrielle au Mexique : accélération des procédures devant l’IMPI (les brevets doivent être traités en 1 an et les marques en 5 mois), création de la demande provisoire de brevet, et reconnaissance de nouvelles catégories de marques (marques multimédias, marque de mouvement, marques de position). En outre, et il s’agit d’un point crucial pour la gouvernance de l’IA, la LFPPI qualifie désormais expressément de violation administrative le fait d’utiliser l’IA pour porter atteinte à des droits de propriété industrielle (art. 386 amendé).

La réforme laisse toutefois une question de taille en suspens : un inventeur reste une « personne physique qui crée une invention » (art. 36 de la LFPPI) et une invention une « création humaine » (art. 46 de la LFPPI). Ni la LFPPI ni la LFDA ne reconnaissent les systèmes d’IA comme des auteurs ou des inventeurs. Il est donc recommandé de continuer à documenter minutieusement la contribution des humains qui ont conçu, supervisé et validé chaque processus assisté par l’IA.

La position mexicaine suit d’ailleurs la tendance internationale. Au Royaume-Uni, la (Thaler v. Comptroller-General, UKSC 49, décembre 2023) tout comme aux États-Unis (Thaler v. Vidal, 43 F.4th 1207, août 2022) les tribunaux ont tranché : l’IA ne peut pas être un inventeur et les droits d’invention appartiennent exclusivement à l’être humain qui la dirige l’IA.

*****

LEGISLATIONS

(1) LFPDPPP (Ley Federal de Protección de Datos Personales en Posesión de los Particulares) : loi fédérale sur la protection des données personnelles détenues par des entités privées. En vigueur depuis le 21 mars 2025, elle abroge la version de 2010 et désigne la SABG comme nouvelle autorité de contrôle.

(2) LFPPI (Ley Federal de Protección a la Propiedad Industrial) : loi fédérale sur la protection de la propriété industrielle. Réformée le 3 avril 2026 (Journal officiel), avec plus de 200 articles modifiés. Ses articles 36 et 46 confirment que l’inventeur reste exclusivement une personne physique, tandis que l’article 386 introduit de nouvelles sanctions pour les infractions commises au moyen de l’IA

(3) LFDA (Ley Federal del Derecho de Autor) : loi fédérale sur le droit d’auteur (1996, réforme en cours). La loi exige toujours un auteur humain, laissant ainsi un vide juridique concernant les œuvres générées par IA.

AUTORITES DE REGULATION

(4) SABG (Secretaría Anticorrupción y del Buen Gobierno) : Secrétariat à l’anti-corruption et à la bonne gouvernance. Nouvelle autorité de protection des données personnelles depuis le 9 mai 2025, elle remplace l’INAI, désormais dissoute.

(5) IMPI (Instituto Mexicano de la Propiedad Industrial) : Institut mexicain de la propriété industrielle. Il a présenté la réforme de la LFPPI de 2026 comme un renforcement du système de propriété intellectuelle en vue de la révision de l’ACEUM.

(6) INDAUTOR (Instituto Nacional del Derecho de Autor) : Institut national du droit d’auteur. A rejeté l’enregistrement de dessins et modèles générés par IA en raison de l’absence d’activité intellectuelle humaine identifiable.

LEGISLATION COMPAREE

(7) RIA : Règlement UE 2024/1689. En vigueur depuis août 2024. Il sert de référence dans le débat législatif mexicain, malgré le risque d’une trop littérale adoption par les économies émergentes.

(8) Principes de l’OCDE sur l’IA : (2019, mis à jour en 2024). Un cadre flexible, capable de s’adapter à différents niveaux de développement réglementaire.

 JURISPRUDENCE

(9) Thaler c/ Vidal: US Federal Circuit, 43 F.4th 1207 (août 2022). L’IA ne peut pas être reconnue comme inventeur selon la loi américaine sur les brevets (US Patent Act).

(10) Thaler c/. Comptroller-General : Seules les personnes physiques peuvent être inventeurs selon la loi sur les brevets de 1977 (Patents Act 1977).

(11) DABUS c/ EPO : Décision J 0008/20, Office européen des brevets (2021). Refus de reconnaître un système d’IA en tant qu’inventeur.

MITZY PÉREZ

mexico@lexing.network

L’intégration massive de l’IA dans le tissu économique suédois rend la mise en place d’un cadre de contrôle indispensable. L’optimisme des débuts doit céder la place à une gestion structurée des risques. Une gouvernance maîtrisée protège l’organisation des sanctions, sécurise les données sensibles et crédibilise l’entreprise auprès des consommateurs et des régulateurs nordiques. Les acteurs suédois doivent naviguer au cœur d’une double réglementation (le droit de l’Union européenne et les lois nationales). Réconcilier la technique et le droit est devenu une priorité absolue.

Définir la gouvernance de l’IA

La gouvernance de l’IA se définit comme le cadre interne, composé de règles d’organisation, de gestion des risques et de répartition des responsabilités, qui garantit que l’usage des technologies d’IA respecte les lois en vigueur et les valeurs éthiques de l’entreprise. L’objectif est de transformer des principes théoriques en réflexes opérationnels quotidiens. En ancrant cette démarche au cœur de leur politique d’entreprise, les entreprises suédoises peuvent évaluer méthodiquement les effets des algorithmiques et s’adapter à un paysage juridique international en perpétuelle mutation (1).

Harmoniser le RIA avec le RGPD sous la supervision de l’IMY

En Suède, le Règlement sur l’intelligence artificielle (RIA) ne remplace pas le Règlement général sur la protection des données (RGPD) : les deux textes s’appliquent simultanément sous l’œil vigilant de l’Autorité suédoise de protection de la vie privée (Integritetsskyddsmyndigheten – IMY). L’IMY a fait de la surveillance de l’IA une priorité absolue, tant dans le secteur public que privé. Les politiques internes doivent donc impérativement imposer que tout traitement de données d’entraînement ou de requêtes (prompts) impliquant des citoyens suédois respecte le principe de minimisation, repose sur une base légale valide et fasse l’objet d’une analyse d’impact relative à la protection des données (AIPD) rigoureuse (2).

Adopter les lignes directrices nationales pour l’IA générative

Les entreprises qui déploient de grands modèles de langage (LLM) ou des outils de génération automatisée de textes et d’images disposent d’un cadre de référence précieux : les lignes directrices conjointes de l’IMY et de l’Agence suédoise pour le gouvernement numérique (Digg) (3). Conçues pour l’administration publique, ces recommandations constituent également des bonnes pratiques à suivre pour le secteur privé. Toute politique interne de gouvernance de l’IA doit donc s’en inspirer explicitement pour encadrer la gestion du cycle de vie des outils, l’éthique dans les processus d’achat, la cybersécurité ainsi que les impacts sur le droit du travail.

Appliquer l’obligation de contrôle humain

En droit suédois, un système d’IA ne possède pas de personnalité juridique : la responsabilité incombe donc systématiquement aux personnes physiques ou morales qui l’exploitent. En s’appuyant sur les récents retours d’expérience du bac à sable réglementaire de l’IMY (comme le projet pilote d’IA pour les archives de la municipalité de Lidingö, mené avec Atea) (4), les organisations doivent mettre en œuvre un mécanisme strict de supervision humaine. Les politiques internes doivent clairement stipuler que l’IA est un simple outil d’assistance, et imposer qu’un opérateur humain vérifie et valide de manière indépendante chaque résultat automatisé avant toute exécution juridique ou opérationnelle.

Conformité continue et collaboration

Pour réussir leur gouvernance de l’IA, les entreprises peuvent s’appuyer sur des acteurs nationaux de référence comme AI Sweden, le centre national d’innovation pour l’intelligence artificielle. L’idée est d’intégrer les principes de transparence, d’objectivité et de durabilité des données dans l’ADN de leur organisation. La formation continue des employés et des audits de conformité réguliers permettront aux entreprises suédoises de rester compétitives et de sécuriser leur conformité dans un paysage technologique en constante évolution

*****

(1) Voir la norme ISO/IEC 42001 (Intelligence artificielle — Systèmes de management) et les Principes de l’OCDE sur l’IA pour les critères internationaux de référence en matière de responsabilité organisationnelle et de cadres éthiques de l’IA.

(2) RGPD, Art. 6(1) (Licéité du traitement) & Art. 35 (Analyse d’impact relatives à la protection des données)

(3) Lignes directrices conjointes de Digg et de l’IMY sur l’IA générative : https://www.digg.se/ai-for-offentlig-forvaltning/riktlinjer-for-generativ-ai

(4) Rapport du bac à sable de l’IMY : Divulgation de documents publics à l’aide de l’IA (n°IMY-2024-5156) https://www.imy.se/globalassets/dokument/rapporter/english-summary-disclosure-of-public-records-using-ai.pdf

KATARINA BOHM HALLKVIST
&
ANDRES ALMA

sweden@lexing.network

Bien que les États-Unis ne disposent toujours pas d’une loi fédérale unique et globale sur l’IA pour le secteur privé, les entreprises opérant sur ce marché doivent déjà composer avec un arsenal réglementaire grandissant. Lois étatiques, règles de protection des consommateurs et des droits civiques, obligations sectorielles et directives fédérales forment ainsi un paysage fragmenté qui impose de réelles exigences de gouvernance. Face à cette complexité, adopter une politique écrite permet de traduire ces contraintes en règles opérationnelles claires pour encadrer tout le cycle de vie de l’IA : de l’acquisition en passant par le développement, et jusqu’au déploiement, aux tests, à la supervision et à la gestion des incidents.

Pour structurer sa démarche, le Cadre de gestion des risques liés à l’IA (« AI RMF ») de l’institut américain des normes et de la technologie (NIST) s’impose comme la référence la plus fiable. Non contraignant, ce cadre propose aux organisations une méthodologie éprouvée pour maîtriser les risques de l’IA, à travers 4 actions clés : gouverner, cartographier, mesurer et gérer. Le guide du NIST spécifiquement dédié à l’IA générative complète ce cadre en offrant des directives concrètes sur la documentation, les tests de robustesse, la surveillance continue et la maîtrise des impacts en aval pour les projets d’IA générative. (1)

Pourquoi une politique de gouvernance est-elle indispensable ?

Encadrer l’IA nécessite une politique claire pour identifier les systèmes, classifier leurs risques, définir les responsabilités et déployer des contrôles continus (aussi bien avant le déploiement du système d’IA que durant son utilisation). Cette politique doit, au minimum, traiter des points suivants :

• l’inventaire des systèmes d’IA et des fournisseurs : répertorier l’ensemble des outils développés tant en interne que concernant les modèles acquis auprès de tiers ;
• la documentation des usages prévus : consigner précisément les sources de données, les résultats générés et les impacts prévisibles sur les individus comme sur les processus métier ;
• les tests préalables au déploiement : évaluer la précision, l’absence de biais, la confidentialité, la cybersécurité et la fiabilité ;
• le contrôle humain pour les utilisations critiques : imposer un contrôle humain pour les activités à fort impact, notamment dans les secteurs de l’emploi, du crédit, de l’assurance, du logement, de la santé, de l’éducation et des services juridiques ;
• la transparence vis-à-vis des utilisateurs : élaborer des mentions d’information, mettre en place des procédures de recours, définir les durées de conservation des données et planifier des mises à jour périodiques.

Cette démarche est d’autant plus cruciale, qu’aux États-Unis, de nombreuses obligations liées à l’IA ne découlent pas des textes de loi labellisés « IA ». Elles proviennent bien souvent des législations sur la vie privée, des normes relatives aux pratiques déloyales et trompeuses, des règles anti-discrimination, ou encore d’exigences sectorielles qui s’appliquent dès lors que l’IA est déployée dans un contexte réglementé

Une mosaïque des réglementations locales

Pour les entreprises multinationales ou présentes dans plusieurs États américains, l’obstacle principal réside dans la fragmentation réglementaire. Plus rapides que le Congrès fédéral, les assemblées législatives locales ont multiplié les initiatives. Il en résulte un ensemble hétérogène de règles dont le périmètre dépend du secteur d’activité et des technologies visées. La loi sur l’IA adoptée par le Colorado en 2024 en est l’illustration parfaite : elle impose des obligations strictes aux développeurs et aux utilisateurs de systèmes dits « à haut risque ». Bien que l’avenir de cette loi reste incertain à l’heure où nous écrivons ces lignes, elle confirme la tendance générale : les priorités des législateurs se concentrent désormais sur les usages à fort impact, la transparence et la responsabilité (2).

La Californie confirme cette tendance. Plutôt que d’adopter un texte unique et global pour le secteur privé, l’État a fait le choix de multiplier les réglementations ciblées. Celles-ci encadrent la transparence, les hypertrucages (deepfakes), l’usage de l’IA dans la santé, la confidentialité et le contrôle des agences publiques. Pour les entreprises opérant à l’échelle nationale, la leçon est identique à celle apprise avec le droit de la protection des données : s’aligner d’emblée sur les exigences étatiques les plus strictes reste la meilleure stratégie pour neutraliser les frictions et l’incertitude juridique dans le reste du pays (3).

Bonnes pratiques

En pratique, la stratégie la plus sûre consiste à concevoir une politique unique calquée sur les exigences américaines les plus strictes. Concrètement, cette approche implique de :

• traiter les utilisations de l’IA à fort impact comme des activités réglementées, soumise à un examen et une approbation formels ;
• systématiser les audits préalables des fournisseurs et les contrôles contractuels pour les outils d’IA tiers ;
• aligner les processus d’information, de recours et de contrôle humain sur les normes les plus rigoureuses du marché ;
• constituer une documentation directement exploitable lors de contrôles relatifs à la vie privée, à la protection des consommateurs, à droit du travail ou aux droits civiques.

Loin d’être une simple mesure de prudence, cette approche globale est un gage d’efficacité. Elle évite d’avoir à adapter vos processus au cas par cas, État par État. Ainsi, votre organisation sera déjà prête si de nouvelles lois entrent en vigueur, ou si les régulateurs requalifient un manque de gouvernance en pratique déloyale, trompeuse ou discriminatoire.

Le rôle de l’État fédéral et l’action présidentielle récente

Le gouvernement fédéral conserve toute sa pertinence, particulièrement dans trois secteurs. D’abord, ses agences veillent à l’application des lois existantes qui encadrent l’IA, notamment en matière de droit de la consommation, d’équité en matière de crédit, d’emploi et de droits civiques. Ensuite, des organismes fédéraux, comme le NIST, continuent de définir les standards de référence pour une gouvernance responsable. Enfin, l’administration présidentielle conserve le pouvoir d’accélérer ou de ralentir la coordination fédérale, et ce, même en l’absence de loi globale sur l’IA.

Ainsi, le décret présidentiel de Donald Trump du 23 janvier 2025, intitulé « Removing Barriers to American Leadership in Artificial Intelligence » (Supprimer les barrières au leadership américain en matière d’intelligence artificielle), a révoqué le décret sur l’IA de 2023 de l’administration précédente et a ordonné une révision des politiques fédérales sur l’IA perçues comme des freins à l’innovation. Si ce texte marque un net virage vers la déréglementation et la promotion de la souveraineté technologique américaine, il n’efface en rien les législations des États, le risque de contentieux privé ou l’application du droit fédéral existant. Pour le secteur privé, l’impact pratique s’avère donc bien plus limité que la rhétorique officielle ne le laissait présager : le décret a modifié le discours politique fédéral de la Maison-Blanche, mais ne dispense en aucun cas les entreprises de leurs obligations de conformité issues d’autres sources (4).

Par conséquent, les organisations doivent résister à la tentation de voir dans cette tendance de dérégulation fédérale une excuse pour reporter leurs projets de gouvernance. L’absence d’un cadre réglementaire unique à l’échelle nationale ne signifie pas pour autant l’absence de risques. Au contraire, cela prouve que la gouvernance doit être conçue pour être résiliente face à un environnement fragmenté et en constante évolution.

Que doit contenir une politique de gouvernance de l’IA aux États-Unis pour être efficace ?

Au minimum, la politique de gouvernance de l’IA doit imposer les actions suivantes :

• responsabiliser la gouvernance: impliquer directement le conseil d’administration ou la direction générale, et désigner un responsable de la gouvernance de l’IA ;
• cartographier et classifier: tenir à jour un inventaire exhaustif des usages de l’IA et mettre en place un processus de classification des risques par niveaux ;
• réaliser des audits : mener des tests de confidentialité, de sécurité, de précision et de lutte contre les biais, en amont du lancement et lors de chaque mise à jour substantielle ;
• maîtriser la chaîne de sous-traitance : fixer des règles d’achat claires, intégrer des clauses contractuelles types et assurer un suivi des fournisseurs ;
• gérer les crises et les dérives : définir des procédures de remontée des d’incidents, de réclamations ou de défaillances des modèles ;
• former et acculturer les équipes: sensibiliser les employés aux usages autorisés ou interdits, et formaliser les règles en matière de documentation.

Conclusion

Pour les entreprises opérant sur le marché américain, encadrer l’IA relève désormais de la gouvernance d’entreprise et non plus de la gestion de projet technique. Certes, l’environnement juridique reste fragmenté et la politique fédérale fluctuera au gré des alternances politiques. Pourtant, cette incertitude est précisément une raison d’agir. Bâtir une stratégie axée sur la cartographie des risques, la traçabilité, le contrôle humain et l’alignement sur les lois étatiques les plus sévères constitue le meilleur moyen de pérenniser vos opérations sur le marché américain.

En résumé, l’approche la plus pragmatique aux États-Unis est d’aligner votre gouvernance de l’IA sur le risque le plus élevé, qu’il vienne d’un régulateur, d’un tribunal ou d’une nouvelle loi.

***** 

(1) NIST Artificial Intelligence Risk Management Framework: Generative Artificial Intelligence Profile, 26 juillet 2024

(2) Colorado General Assembly, SB24-205 Consumer Protections for Artificial Intelligence, publié sur la page de la session 2024 : https://leg.colorado.gov/bills/sb24-205

(3) National Conference of State Legislatures, Artificial Intelligence Legislation Database, 1 mai 2026 : https://www.ncsl.org/financial-services/artificial-intelligence-legislation-database

LEE MERREOT

eastusa@lexing.network