Solution française • Hébergement souverain • Conformité européenne Blog IA souveraine
Conformité & Droit 1er mai 2026 9 min de lecture

Directive européenne sur la responsabilité IA : ce qui change concrètement pour les entreprises déployeuses

La directive européenne sur la responsabilité en matière d'IA (AI Liability Directive — AILD) a été adoptée et entre progressivement en application dans les États membres. Elle complète l'EU AI Act en créant un régime de responsabilité civile spécifique pour les dommages causés par des systèmes d'IA. Pour les entreprises qui déploient de l'IA, les implications sont majeures : présomption de causalité, accès des victimes aux preuves, et documentation technique qui devient une pièce de défense ou d'accusation.

Ce qu'il faut retenir

  • L'AILD crée une présomption de causalité : si votre système IA haut risque a causé un dommage, la faute est présumée jusqu'à preuve contraire
  • Les victimes peuvent obtenir l'accès judiciaire à vos logs et documentation technique
  • Distinction fournisseur / déployeur : l'entreprise qui utilise l'IA en production est "déployeur" et peut être tenue responsable même si elle n'a pas développé le système
  • La documentation technique n'est plus optionnelle — c'est votre seule défense

Qu'est-ce que la directive AI Liability (AILD) ?

La directive sur la responsabilité en matière d'IA (COM/2022/496) est une directive européenne qui harmonise les règles de responsabilité civile pour les dommages causés par des systèmes d'IA dans l'Union européenne. Elle ne crée pas un régime de responsabilité sans faute (comme pour les produits défectueux) mais adapte le régime classique de responsabilité pour faute aux spécificités de l'IA.

Les deux mécanismes centraux :

  1. Présomption de causalité : dans certains cas, le lien de causalité entre le système IA et le dommage est présumé — la victime n'a pas à en apporter la preuve
  2. Accès aux preuves : les victimes peuvent demander judiciairement l'accès aux logs, modèles et documentation technique du système IA

L'AILD s'inscrit dans un corpus réglementaire plus large qui comprend l'EU AI Act, premier texte mondial à réguler les systèmes d'IA par niveau de risque, et la directive sur la responsabilité civile des produits défectueux révisée. Ces trois textes forment un triptyque cohérent : l'EU AI Act fixe les obligations techniques et organisationnelles, l'AILD sanctionne civilement leur non-respect, et la directive produits couvre la responsabilité du fabricant. Les entreprises doivent traiter ces textes ensemble, non de manière isolée.

73%des entreprises européennes utilisent au moins un système IA en production (2025, Eurostat)
2026Délai de transposition de l'AILD dans les droits nationaux des États membres
+3 ansDélai de prescription allongé pour les dommages IA complexes à établir (vs 2 ans en droit commun)
jusqu'à 35M€Sanctions combinées EU AI Act + AILD pour les déployeurs de systèmes IA haut risque non conformes

La présomption de causalité : le mécanisme clé

La présomption de causalité s'applique quand toutes les conditions suivantes sont réunies :

  • Le demandeur a démontré une faute du défendeur (non-respect des obligations EU AI Act ou d'autres règles applicables)
  • Il est raisonnablement probable que la faute a causé le dommage au vu des circonstances
  • Le demandeur a eu un accès insuffisant aux preuves nécessaires pour établir le lien causal

Concrètement : si votre système IA haut risque (selon EU AI Act) prend une décision qui cause un dommage à une personne, et que vous n'avez pas respecté vos obligations de documentation EU AI Act, la faute ET le lien causal peuvent être présumés. Vous devez alors prouver que votre système n'est pas responsable — et non l'inverse.

Ce renversement de charge de la preuve est l'innovation majeure de l'AILD. En droit commun de la responsabilité civile, la victime doit prouver la faute, le dommage et le lien de causalité. L'AILD soulage la victime de la démonstration du lien causal — un fardeau particulièrement difficile à porter face à un système IA opaque. En contrepartie, le déployeur doit impérativement démontrer qu'il a respecté toutes ses obligations de documentation et de surveillance, ou que le système n'a pas contribué au dommage.

Systèmes IA haut risque particulièrement exposés

Les systèmes classifiés "haut risque" par l'EU AI Act (recrutement, crédit, santé, justice, services essentiels) ont des obligations documentaires renforcées. Ne pas respecter ces obligations crée automatiquement les conditions de la présomption de causalité AILD. Documentation EU AI Act = documentation de défense AILD.

Accès aux preuves : vos logs deviennent des pièces judiciaires

L'AILD introduit un mécanisme inédit : les victimes peuvent demander au juge d'ordonner la divulgation de preuves détenues par le défendeur. Cela inclut :

  • Logs et journaux : historique des décisions prises par le système, inputs et outputs
  • Documentation technique : description du modèle, données d'entraînement, performance sur les tests
  • Évaluations de risques : les analyses de risques réalisées avant déploiement
  • Rapports d'incidents : incidents signalés et mesures correctives prises

Si vous refusez de divulguer ces éléments sans justification légitime, le juge peut présumer que les informations auraient été défavorables à votre position.

La politique de conservation des logs devient donc un enjeu juridique de premier plan. Des logs insuffisants (durée trop courte, granularité insuffisante) peuvent à la fois empêcher votre défense et déclencher la présomption défavorable. Des logs trop complets et mal sécurisés exposent à des risques RGPD. La bonne pratique est de définir une politique de logs documentée, proportionnée aux risques, conservée de manière sécurisée et auditée régulièrement.

Fournisseur vs déployeur : qui est responsable ?

L'AILD distingue deux rôles :

Fournisseur (provider) : l'entreprise qui développe et met sur le marché le système IA — OpenAI, Microsoft, un éditeur de logiciel IA. Soumis à la réglementation produit et à la responsabilité du fait des produits défectueux.

Déployeur (deployer) : l'entreprise qui utilise le système IA dans ses opérations — votre entreprise qui utilise ChatGPT, Copilot ou un LLM dans ses processus. Soumis à l'AILD en tant qu'opérateur du système.

Point crucial : vous êtes déployeur et pouvez être tenu responsable des dommages causés par votre utilisation d'un système IA, même si vous n'avez pas développé ce système. Être client d'OpenAI ou de Microsoft ne vous exonère pas de votre responsabilité d'opérateur.

Critère Déployeur d'IA Fournisseur d'IA Victime
Charge de la preuve Doit prouver le respect de ses obligations d'opérateur et l'absence de lien causal (si présomption déclenchée) Doit prouver la conformité du système aux exigences EU AI Act et l'absence de défaut Doit démontrer la faute du défendeur et le dommage subi ; bénéficie de la présomption de causalité sous conditions
Documentation requise Évaluation des risques, logs, politique de surveillance humaine, procédures d'incident Documentation technique complète EU AI Act, tests de performance, données d'entraînement Preuve du dommage et de son lien probable avec le système IA
Délai de prescription 3 ans à compter de la découverte du dommage (ou 10 ans pour les dommages corporels graves) 3 ans à compter de la découverte ; responsabilité produit jusqu'à 10 ans après mise sur le marché 3 ans pour agir à compter de la connaissance du dommage et de l'identité du responsable
Sanctions applicables Dommages et intérêts civils ; sanctions administratives EU AI Act (jusqu'à 3% du CA mondial) Dommages et intérêts civils ; sanctions EU AI Act jusqu'à 30M€ ou 6% du CA mondial (systèmes GPAI) N/A (partie demanderesse)

Documentation à constituer dès maintenant

Pour chaque système IA déployé en production, constituer un dossier de conformité incluant :

  • Description du système : objectif, périmètre, population affectée, type de décisions ou recommandations
  • Classification EU AI Act : niveau de risque et justification
  • Évaluation des risques : risques identifiés, mesures d'atténuation mises en place
  • Tests de performance : résultats sur jeux de données représentatifs, taux d'erreur documenté
  • Surveillance humaine : description des points de contrôle humain dans le workflow
  • Logs : politique de journalisation, durée de conservation, accès restreint
  • Incidents : tout incident ou dysfonctionnement documenté, mesures correctives
  • Mises à jour : historique des changements de modèle ou de configuration

Ces éléments constituent simultanément votre dossier de conformité EU AI Act et votre dossier de défense AILD. Ils doivent être maintenus à jour, versionnés et stockés de manière sécurisée. Un tableau de bord de conformité IA centralisant ces informations par système est la bonne pratique pour les entreprises opérant plusieurs systèmes IA.

Assurance et couverture des risques IA

L'AILD crée de nouveaux risques assurables. Les points à vérifier avec votre assureur :

  • Votre RC professionnelle couvre-t-elle les dommages causés par des systèmes IA que vous opérez ?
  • Y a-t-il une exclusion pour les systèmes d'IA "autonomes" ou "à décision automatique" ?
  • La cyber-assurance couvre-t-elle les erreurs de systèmes IA (distincts des cyberattaques) ?
  • Quel est le plafond de couverture par sinistre et annuel ?

Le marché de l'assurance IA est en train d'évoluer rapidement. Anticiper en engageant la conversation avec votre courtier avant un incident.

Cas pratiques : qui est exposé ?

RH / recrutement : un candidat rejeté par un système de screening IA peut invoquer l'AILD si le rejet lui cause un dommage (perte d'emploi, discrimination). Documentation de la performance du système sur les sous-groupes protégés indispensable.

Finance / scoring crédit : un client refusé suite à un scoring IA qui présente des biais. L'AILD + EU AI Act créent une exposition maximale — documentation + explicabilité + contrôle humain sont essentiels.

Santé / aide au diagnostic : système IA qui manque un diagnostic ou recommande un traitement inapproprié. Exposition directe AILD + responsabilité médicale classique.

Service client / chatbot : information incorrecte donnée par un chatbot IA qui cause un préjudice. Exposure AILD si le chatbot prend des décisions ou donne des conseils ayant un impact réel.

Ma PME est-elle concernée par l'AILD ?

Oui, si vous déployez un système IA dans vos opérations et que ce système peut causer un dommage à un tiers (client, employé, partenaire). L'AILD ne prévoit pas de seuil de taille d'entreprise. Toutefois, l'intensité des obligations varie selon le niveau de risque du système IA :

  • PME utilisant un chatbot informatif pour le service client : exposition modérée, documentation de base suffisante
  • PME utilisant une IA pour décider des prêts, du recrutement ou d'accès à des services essentiels : exposition maximale, obligations EU AI Act haut risque et présomption AILD

La première étape pour une PME est de cartographier ses systèmes IA et d'identifier lesquels pourraient être classifiés haut risque selon l'Annexe III de l'EU AI Act.

Quelle différence entre l'AILD et le RGPD ?

Le RGPD protège les données personnelles et sanctionne leur traitement non conforme. L'AILD protège les personnes contre les dommages causés par des systèmes IA et sanctionne les manquements aux obligations de sécurité et de documentation. Les deux textes sont complémentaires :

  • Un système IA qui discrimine peut déclencher à la fois le RGPD (traitement illicite de données sensibles) et l'AILD (dommage causé par le système)
  • La documentation RGPD (DPIA, registre des traitements) n'est pas suffisante pour satisfaire aux obligations AILD — il faut en plus la documentation technique du système IA
  • Les sanctions sont cumulables : les amendes RGPD (4% du CA mondial) s'ajoutent aux dommages civils AILD
Comment préparer ma documentation AILD dès maintenant ?

Procéder en quatre étapes :

  1. Inventaire : lister tous les systèmes IA en production ou en cours de déploiement — y compris les outils SaaS tiers qui prennent des décisions (scoring, recommandation, tri automatique)
  2. Classification : évaluer le niveau de risque EU AI Act pour chaque système — haut risque, risque limité ou risque minimal
  3. Documentation : pour chaque système haut risque, constituer le dossier technique complet (description, tests, logs, surveillance humaine)
  4. Gouvernance : désigner un responsable de la conformité IA, définir les processus de mise à jour de la documentation et de gestion des incidents

Pour les systèmes achetés à des fournisseurs tiers, exiger contractuellement la documentation technique nécessaire à votre propre conformité AILD.

Directive vs Règlement UE : quelle valeur juridique pour l'AILD ?

L'AILD est une directive, non un règlement. Cette distinction est importante :

  • Règlement (ex. EU AI Act, RGPD) : d'application directe dans tous les États membres sans transposition — le même texte s'applique partout
  • Directive (ex. AILD) : fixe des objectifs que les États membres doivent atteindre, mais chaque État transpose dans son propre droit — le délai de transposition est généralement de 2 ans

Conséquence pratique : l'AILD sera transposée en droit français, allemand, espagnol, etc. avec des variations possibles dans les modalités. En France, cela se traduira probablement par des modifications du Code civil ou la création d'un régime spécifique de responsabilité IA. Les entreprises opérant dans plusieurs États membres doivent suivre les transpositions nationales, qui peuvent diverger sur certains points (délais, seuils, procédures).

Documentation IA conforme EU AI Act et AILD

Intelligence Privée déploie vos systèmes IA avec documentation technique complète, logs de traçabilité et rapports de conformité — votre défense juridique dès le premier jour.

Sécuriser votre déploiement IA →

Continuer la lecture

Conformité & Droit

IA et responsabilité civile

Vue d'ensemble de la responsabilité civile liée à l'IA.

9 min
Guide Pratique

Audit IA interne : checklist

La documentation AILD s'intègre dans l'audit de conformité.

9 min