d&a Article 16.07.2026

IA Act : de nouvelles obligations pour les employeurs

IA Act : de nouvelles obligations pour les employeurs

Résumé. Dans cet article, Allison BENICHOU CORCHIA analyse les nouvelles obligations imposées aux employeurs par le Règlement (UE) 2024/1689 du 13 juin 2024 sur l’Intelligence Artificielle (« IA Act »). Si l’échéance du 02 août 2026, initialement prévue pour la mise en conformité des systèmes d’IA à risque élevé, a fait l’objet d’un report au 02 décembre 2027 dans le cadre du paquet « Digital Omnibus » – dont l’adoption formelle par le Conseil est encore attendue -, cette date du 02 août 2026 demeure néanmoins déterminante.

Mots-clés. Intelligence Artificielle, IA Act, systèmes d’IA, sanctions.

Introduction

Dans cet article, Allison BENICHOU CORCHIA, Avocate Associée au sein du département social du Cabinet d&a partners, met en lumière une partie des nouvelles obligations pesant sur les entreprises à la suite de l’adoption du premier cadre juridique européen consacré à l’IA.

L’IA s’impose aujourd’hui dans de nombreux outils utilisés en entreprise : recrutement automatisé, évaluation des performances, analyse des données ou encore surveillance de l’activité des salariés. Si ces technologies peuvent permettre d’accroître grandement la productivité et d’assurer un gain considérables de temps, elles soulèvent également des enjeux juridiques majeurs, notamment en matière de protection des droits fondamentaux. Pour répondre à ces nouveaux défis, les députés européens adoptaient, le 13 mars 2024, le Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle (ci-après « IA Act »), instaurant ce faisant le premier cadre juridique harmonisé relatif à l’IA au sein de L’UNION EUROPEENNE.

L’IA Act, entré en vigueur le 01er août 2024, poursuit un objectif central : améliorer « le fonctionnement du marché intérieur et promouvoir l’adoption d’une Intelligence Artificielle axée sur l’humain et digne de confiance ». Son application est progressive : échelonnée depuis 2025, elle se poursuivra jusqu’en 2027, voire 2028 pour certains systèmes à haut risque.

Ce texte marque une étape importante : il impose désormais aux entreprises de nouvelles obligations, parfois méconnues, dès lors qu’elles utilisent des systèmes d’IA dans leur organisation. Sont sujettes aux règles établies par le Règlement, conformément à son article 3, « toute personne physique, morale, autorité publique, agence, utilisant sous sa propre autorité un système d’Intelligence Artificielle ». Le Règlement européen sur l’IA impose aux employeurs, en tant que déployeurs de systèmes d’IA, plusieurs obligations spécifiques.

Les employeurs, en tant que déployeurs de systèmes d’IA, sont ainsi soumis à plusieurs obligations spécifiques, notamment lorsqu’ils recourent à ces technologies dans le cadre du recrutement, de l’évaluation des performances, de la prise de décision concernant les salariés ou encore de la surveillance de l’activité des salariés.

Seront successivement abordées la classification des systèmes d’IA retenue par le Règlement (I), les obligations qu’il impose aux employeurs (II), avant d’envisager les risques en cas de non-conformité (III).

I/ Une approche fondée sur les risques : classification des systèmes d’IA

Le Règlement européen repose sur une approche graduée : plus l’usage d’un système d’IA est susceptible d’affecter les droits fondamentaux, plus les obligations qui en découlent sont exigeantes.

L’IA Act distingue ainsi quatre niveaux de risque, chacun entraînant des exigences spécifiques pour les employeurs qu’il convient de ne pas négliger et d’anticiper dès à présent.

1/ Les systèmes d’IA interdits

Depuis le 02 février 2025, les pratiques jugées inacceptables par l’IA Act sont prohibées. Huit pratiques sont ainsi interdites, parmi lesquelles les systèmes de notation sociale et la reconnaissance des émotions sur le lieu de travail (sauf pour des raisons médicales ou de sécurité).

2/ Les systèmes d’IA à haut risque

Ils regroupent notamment les outils d’évaluation des salariés, les dispositifs de recrutement automatisé, les systèmes de gestion algorithmique du travail ou encore ceux susceptibles d’influer sur la carrière ou le contrat d’un salarié.

3/ Les systèmes d’IA à risque limité

Ils sont soumis à des obligations de transparence, en raison des risques de manipulation ou de tromperie qu’ils présentent. Ils incluent les chatbots, les contenus générés par IA et les deepfakes : l’utilisateur doit être informé qu’il interagit avec une IA ou qu’un contenu a été généré artificiellement.

4/ Les systèmes d’IA à risque minimal

La plupart des IA entrent dans cette catégorie, comme les systèmes de recommandation, les filtres anti-spam ou les jeux-vidéos. Elles ne sont soumises à aucune obligation spécifique au titre du Règlement.

II/ Des obligations renforcées pour l’employeur

Au-delà de la classification des systèmes, l’IA Act impose aux employeurs un ensemble d’obligations transversales, dont certaines sont d’ores et déjà applicables.

La première obligation, en vigueur depuis le 02 février 2025, consiste à garantir un niveau suffisant de maîtrise de l’IA. L’article 4 du Règlement sur l’Intelligence Artificielle intitulé « Maîtrise de l’IA » pose ainsi une obligation générale de formation aux fournisseurs et déployeurs de systèmes d’IA. Il en résulte une obligation pour les entreprises de former les utilisateurs aux outils d’IA déployés en leur sein.

Le texte dispose en effet que « Les fournisseurs et les déployeurs de systèmes d’IA prennent des mesures pour garantir, dans toute la mesure du possible, un niveau suffisant de maîtrise de l’IA pour leur personnel et les autres personnes s’occupant du fonctionnement et de l’utilisation des systèmes d’IA pour leur compte, en prenant en considération leurs connaissances techniques, leur expérience, leur éducation et leur formation, ainsi que le contexte dans lequel les systèmes d’IA sont destinés à être utilisés, et en tenant compte des personnes ou des groupes de personnes à l’égard desquels les systèmes d’IA sont destinés à être utilisés ».

L’objectif est de s’assurer que toutes les personnes impliquées dans les systèmes d’IA au sein de l’entreprise disposent des compétences et des connaissances nécessaires pour prendre des décisions éclairées et utiliser ces systèmes de manière responsable.

L’IA Act prévoit de nouvelles obligations pour l’employeur, en fonction du niveau de risque du système d’IA.

Les systèmes à risque limité doivent respecter un principe de transparence et un principe d’information, consistant notamment à avertir les utilisateurs qu’ils interagissent avec une IA et à fournir des informations claires aux utilisateurs sur le contenu généré par l’IA.

Ont été qualifiés de systèmes à haut risque par l’IA Act : les outils de recrutement automatisé, les systèmes d’évaluation ou de notation des salariés, les outils de gestion algorithmique du travail ainsi que les outils de prise de décision affectant la carrière ou le contrat d’un salarié. En conséquence, ces systèmes devront répondre à des exigences strictes. Initialement fixée au 02 août 2026, l’entrée en application de ces obligations est en passe d’être reportée au 02 décembre 2027 dans le cadre du paquet « Digital Omnibus », dont l’adoption formelle par le Conseil est encore attendue à ce jour.

Ces systèmes devront faire l’objet d’une supervision humaine effective : conçus par le fournisseur pour permettre un contrôle humain (article 14 du Règlement), ils devront être surveillés, côté employeur, par des personnes disposant de la compétence, de la formation et de l’autorité nécessaires (article 26 du Règlement). Cette exigence s’articule avec l’article 22 du RGPD, qui encadre déjà les décisions entièrement automatisées produisant des effets juridiques à l’égard des salariés. L’article 26 du Règlement impose, en outre, à l’employeur-déployeur d’informer les travailleurs et leurs représentants avant la mise en service d’un système d’IA à haut risque sur le lieu de travail (paragraphe 7), ainsi que les personnes faisant l’objet d’une décision impliquant un tel système (paragraphe 11).

Ces exigences s’accompagnent d’obligations de traçabilité du fonctionnement et des données utilisées, de documentation et d’information des salariés et de leurs représentants.

III/ Les risques en cas de non-conformité à l’IA Act

L’IA Act ne se limite pas à poser un cadre théorique. Il prévoit également des sanctions financières particulièrement importantes en cas de non-respect des obligations qu’il édicte.

Les entreprises et autres opérateurs économiques qui développent, commercialisent ou utilisent des systèmes d’IA interdits s’exposent à des sanctions financières particulièrement sévères.

L’IA Act prévoit en effet des amendes administratives pouvant atteindre 35 millions d’euros ou, lorsque l’auteur de l’infraction est une entreprise, jusqu’à 7 % de son chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.

Le non-respect des autres obligations instituées par le Règlement fait également l’objet de sanctions financières substantielles : l’article 99 du Règlement prévoit une amende pouvant aller jusqu’à 15 millions d’euros ou, pour une entreprise, jusqu’à 3 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant là encore retenu.

Pour les PME et les jeunes entreprises, bonne nouvelle, c’est, en revanche, le montant le plus faible qui s’applique.

Face à ces nouvelles exigences introduites par l’IA Act, les entreprises doivent ainsi adopter une démarche résolument proactive, afin de sécuriser leurs pratiques.

La première étape consiste à réaliser un audit précis des outils utilisés, afin d’identifier les systèmes d’IA présents dans l’entreprise et d’évaluer l’ampleur des obligations qui en découlent.

Il appartient ensuite aux employeurs d’évaluer les risques liés à leur utilisation, au regard de la classification retenue par le Règlement et de l’impact potentiel sur les droits des salariés.