Le règlement européen sur l'IA (AI Act) classe de nombreux systèmes d'IA utilisés dans les cabinets d'avocats et les entreprises financières comme étant à haut risque. Quelles sont les obligations de conformité, de gestion des risques et de transparence ? Un aperçu des exigences et du calendrier jusqu'en août 2026.
L'intelligence artificielle sous la loupe réglementaire
L'intelligence artificielle imprègne depuis longtemps le quotidien des cabinets d'avocats et des entreprises financières : examen de contrats, analyse de solvabilité, recherche juridique automatisée, évaluations des risques dans le secteur de l'assurance. Ce que de nombreux décideurs sous-estiment cependant, c'est le cadre réglementaire que l'Union européenne a mis en place avec le Règlement (UE) 2024/1689 – le dénommé AI Act (règlement sur l'intelligence artificielle). Ce règlement est entré en vigueur le 1er août 2024 et déploie ses pleins effets progressivement jusqu'en août 2026.
Pour les cabinets d'avocats et les prestataires de services financiers, une question centrale se pose : quels systèmes d'IA utilisés relèvent de la catégorie haut risque – et quelles obligations en découlent ? Cet article propose un aperçu orienté vers la pratique.
Le système de classification de l'AI Act
L'AI Act poursuit une approche fondée sur les risques. Les systèmes d'IA sont répartis en quatre niveaux de risque :
- Risque inacceptable (art. 5) : Pratiques totalement interdites, telles que la notation sociale ou la manipulation subliminale
- Risque élevé (art. 6 en lien avec l'annexe III) : Systèmes présentant un potentiel de danger significatif pour les droits fondamentaux, la santé ou la sécurité
- Risque limité : Systèmes soumis à des obligations de transparence (par ex. les chatbots qui doivent s'identifier comme IA)
- Risque minimal : Systèmes librement utilisables sans exigences particulières
Pour la pratique des cabinets d'avocats et des entreprises financières, c'est principalement la deuxième catégorie qui est pertinente : les systèmes d'IA à haut risque.
Quels systèmes d'IA sont considérés comme à haut risque ?
L'annexe III du règlement sur l'IA répertorie huit domaines dans lesquels les systèmes d'IA sont classés comme étant à haut risque. Les catégories suivantes sont particulièrement pertinentes pour le secteur financier et les professions de conseil juridique :
Évaluation de solvabilité et assurance (Annexe III n° 5b)
Les systèmes d'IA utilisés pour l'évaluation de la solvabilité des personnes physiques ou pour l'évaluation des risques et la tarification en assurance vie et maladie sont classés à haut risque. Cela concerne aussi bien les banques que les assureurs et les entreprises FinTech.
Emploi et gestion du personnel (Annexe III n° 4)
Le recrutement assisté par IA, l'évaluation automatisée des performances et les décisions algorithmiques de promotion relèvent également de la catégorie haut risque. Cela concerne tout cabinet d'avocats et toute entreprise financière utilisant de tels outils dans la gestion des ressources humaines.
Accès aux services publics et privés essentiels (Annexe III n° 5a)
Cela englobe les systèmes d'IA qui décident de l'accès aux services de base – y compris certains services financiers.
Application de la loi et administration de la justice (Annexe III n° 6 et 8)
Particulièrement pertinent pour les cabinets d'avocats : les systèmes d'IA utilisés dans l'administration de la justice et les processus démocratiques. Lorsque des outils d'IA sont utilisés pour soutenir la prise de décision judiciaire ou pour la recherche juridique avec une fonction d'aide à la décision, ils peuvent relever de la catégorie haut risque.
Obligations pour les fournisseurs et les utilisateurs d'IA à haut risque
Le règlement sur l'IA distingue entre les fournisseurs (providers) et les déployeurs (deployers) de systèmes d'IA. Les cabinets d'avocats et les entreprises financières sont généralement des déployeurs – mais des obligations considérables s'appliquent également à eux :
Gestion des risques (art. 9)
Les déployeurs doivent mettre en place un système de gestion des risques couvrant l'ensemble du cycle de vie du système d'IA. Les risques doivent être identifiés, évalués et atténués par des mesures appropriées.
Transparence et information (art. 13, 50)
Les personnes affectées par des décisions d'IA à haut risque doivent être informées. Pour les cabinets d'avocats, cela signifie que si un système d'IA est utilisé dans le traitement des dossiers clients, les clients doivent en être informés. Dans le secteur financier, cela s'applique par exemple aux décisions de crédit automatisées.
Contrôle humain (art. 14)
Les systèmes d'IA à haut risque doivent être conçus de manière à garantir un contrôle humain effectif. L'être humain doit être en mesure de comprendre, de vérifier et, le cas échéant, de corriger la décision de l'IA. L'Ordre fédéral des avocats (Bundesrechtsanwaltskammer, BRAK) a souligné dans son guide sur l'utilisation de l'IA dans les cabinets que la responsabilité professionnelle propre de l'avocat ne doit pas être compromise par l'utilisation de l'IA.
Qualité des données (art. 10)
Les données d'entraînement, de validation et de test doivent répondre à certaines exigences de qualité. Les biais doivent notamment être identifiés et traités – un point particulièrement critique dans les évaluations de solvabilité.
Compétence en matière d'IA (art. 4)
Depuis le 2 février 2025, tous les fournisseurs et déployeurs de systèmes d'IA doivent s'assurer que leur personnel dispose d'une compétence suffisante en matière d'IA. Haufe souligne que cela nécessite des concepts de formation adaptés aux différents groupes cibles.
La BaFin en tant qu'autorité de surveillance du secteur financier
L'Autorité fédérale de surveillance financière (Bundesanstalt für Finanzdienstleistungsaufsicht, BaFin) a publié en décembre 2025 des orientations sur les risques TIC liés à l'utilisation de l'IA. Celles-ci traitent des risques liés à l'utilisation de l'IA dans les entreprises financières réglementées et clarifient les attentes de l'autorité de surveillance.
Points clés des orientations de la BaFin :
- Explicabilité : les modèles d'IA doivent être aussi compréhensibles que possible
- Contrôle des biais : les distorsions systématiques doivent être identifiées et traitées
- Gouvernance : des responsabilités claires pour l'utilisation de l'IA doivent être définies
- Risques d'externalisation : lors de l'utilisation de services d'IA externes, les exigences prudentielles habituelles en matière d'externalisation s'appliquent
La BaFin sera très probablement l'autorité de surveillance du marché pour les systèmes d'IA à haut risque dans le secteur financier.
La loi allemande de mise en œuvre : KI-MIG
L'Allemagne a approuvé le 11 février 2026 le projet de loi sur la surveillance du marché de l'IA et la promotion de l'innovation (KI-MIG). Cette loi transpose les exigences du règlement européen sur l'IA en droit allemand et établit les structures de surveillance nationales. L'Agence fédérale des réseaux (Bundesnetzagentur) est désignée comme centre de coordination et de compétence central.
Calendrier : quand les choses deviennent-elles sérieuses ?
La mise en œuvre de l'AI Act s'effectue par étapes :
| Date | Étape |
|---|---|
| 1er août 2024 | Entrée en vigueur du règlement |
| 2 février 2025 | Pratiques d'IA interdites (art. 5) et obligation de compétence IA (art. 4) |
| 2 août 2025 | Obligations pour les modèles d'IA à usage général (GPAI) |
| 2 février 2026 | La Commission européenne publie des lignes directrices sur la classification haut risque |
| 2 août 2026 | Application complète des exigences relatives au haut risque (annexe III) |
Cela signifie qu'à partir d'août 2026, toutes les entreprises qui déploient ou fournissent des systèmes d'IA à haut risque devront satisfaire à l'ensemble des exigences de conformité. Le temps de préparation est d'ores et déjà limité.
Sanctions : que risque-t-on en cas de non-conformité ?
L'AI Act prévoit des amendes considérables :
- Jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial pour les pratiques d'IA interdites
- Jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires annuel pour les violations des obligations relatives au haut risque
- Jusqu'à 7,5 millions d'euros ou 1 % du chiffre d'affaires annuel pour la fourniture d'informations inexactes aux autorités
Pour les cabinets d'avocats et les prestataires financiers de taille moyenne, ces montants peuvent représenter une menace existentielle.
Mesures pratiques pour les cabinets d'avocats et les entreprises financières
Au vu de l'échéance approchante d'août 2026, les mesures suivantes sont recommandées :
1. Réaliser un inventaire : Identifiez tous les systèmes d'IA dans votre organisation – des logiciels d'examen de contrats aux chatbots en passant par les modèles de scoring. Vérifiez au regard de l'art. 6 et de l'annexe III s'ils sont classés comme étant à haut risque.
2. Mettre en place la gestion des risques : Établissez un système documenté de gestion des risques pour toutes les applications d'IA à haut risque. Cela comprend l'évaluation des risques, les mesures d'atténuation et les révisions régulières.
3. Mettre en œuvre des processus de transparence : Assurez-vous que les personnes concernées – clients, employés – sont informées de l'utilisation de l'IA.
4. Former à la compétence IA : Développez des concepts de formation pour tous les collaborateurs travaillant avec des systèmes d'IA. Cette obligation est en vigueur depuis février 2025.
5. Auditer les fournisseurs : Si vous utilisez des systèmes d'IA de fournisseurs tiers, assurez-vous qu'ils répondent aux exigences de l'AI Act. Demandez les déclarations de conformité et la documentation technique correspondantes.
6. Créer des structures de gouvernance : Désignez des responsables de l'utilisation de l'IA dans votre organisation et établissez des processus clairs de surveillance et de documentation.
Conclusion : percevoir la réglementation comme une opportunité
Le règlement européen sur l'IA confronte les cabinets d'avocats et les entreprises financières à des défis de conformité considérables. Mais ceux qui prennent la réglementation au sérieux dès maintenant peuvent en faire un avantage concurrentiel : les clients font confiance aux entreprises qui peuvent démontrer une utilisation responsable de l'IA. L'examen structuré des risques liés à l'IA renforce également la gouvernance interne et la qualité des propres services.
Chez compleneo, nous vous accompagnons dans la mise en œuvre du règlement sur l'IA dans votre cabinet ou votre entreprise financière – de l'inventaire à l'évaluation des risques jusqu'à la mise en place des structures de conformité requises. Contactez-nous.
