IA générative et responsabilité juridique : qui répond quand l’algorithme se trompe ?

Un système IA commet une erreur qui cause un préjudice. Qui est responsable : le fournisseur du modèle, l’entreprise qui le déploie, ou l’utilisateur ? L’EU AI Act et la directive sur la responsabilité IA (AILD) commencent à répondre — sans encore tout trancher.

La chaîne de responsabilité selon l’EU AI Act

L’EU AI Act distingue deux acteurs principaux : le fournisseur (provider), qui développe ou met sur le marché le système IA, et le déployeur (deployer), qui l’utilise dans un contexte professionnel. Les obligations de conformité pèsent principalement sur le fournisseur, mais le déployeur assume la responsabilité du contexte d’usage.

Concrètement : si une entreprise utilise un LLM tiers pour générer des avis médicaux ou des décisions de crédit, elle devient déployeur d’un système à risque élevé et supporte les obligations qui en découlent — supervision humaine, traçabilité, gestion des risques — même si elle n’a pas développé le modèle.

La directive AILD : renversement de la charge de la preuve

La directive sur la responsabilité IA (AILD), en cours de transposition, introduit une présomption de causalité : si le fournisseur ou le déployeur ne respecte pas ses obligations EU AI Act, et qu’un dommage survient, le lien de causalité est présumé. La charge de la preuve se renverse au détriment de l’entreprise.

Par ailleurs, les victimes pourront demander la divulgation des éléments de preuve conservés par le fournisseur ou le déployeur. Cela rend critique la tenue d’un registre documentaire complet : logs, alertes, décisions de supervision humaine, rapports d’incidents.

Les zones de flou persistantes

La question de la responsabilité pour les systèmes d’IA générative de modèle général (GPAI) reste partiellement ouverte. Ces modèles — GPT-4, Gemini, Claude — ont des usages multiples non anticipés ; leur fournisseur ne peut prévoir tous les contextes de déploiement. L’EU AI Act leur impose surtout des obligations de transparence et d’évaluation, pas de responsabilité directe pour chaque usage.

Le droit de la responsabilité civile nationale continue donc de s’appliquer en parallèle. En France, les articles 1240 et suivants du Code civil permettent d’engager la responsabilité d’une entreprise pour faute dans la supervision de ses systèmes IA, indépendamment du cadre européen.