I. Les exigences de compétence induites par le Règlement Européen sur l’IA.
Le Règlement (UE) 2024/1689 du Parlement européen et du Conseil établissant des règles harmonisées concernant l’intelligence artificielle (dit "AI Act"), adopté en 2024 et dont l’application est progressive, constitue le texte de référence en la matière au niveau européen. Bien qu’il n’institue pas formellement d’obligation de formation per se, il établit un régime de responsabilités et d’exigences techniques et organisationnelles, en particulier pour les systèmes d’IA qualifiés de "à haut risque", qui supposent nécessairement la mise en œuvre de compétences spécifiques et vérifiables au sein des entités concernées.
En effet, les dispositions du Titre III, Chapitre 2, relatives notamment à la mise en place de systèmes de gestion des risques et de la qualité, à la gouvernance des données utilisées pour l’entraînement des modèles, à l’élaboration d’une documentation technique exhaustive, à la mise en œuvre de capacités de traçabilité et de journalisation, à la nécessité d’une supervision humaine appropriée, ainsi qu’au respect d’exigences de précision, de robustesse et de cybersécurité, impliquent, pour leur correcte application, que le personnel préposé à ces tâches dispose des qualifications et de la formation requises. La capacité à démontrer l’existence de ces compétences apparaît ainsi comme un corollaire indispensable à la mise en conformité. De surcroît, les obligations de transparence imposées lors de l’interaction avec certains systèmes d’IA ou lors de l’exposition à des contenus générés artificiellement requièrent également une sensibilisation et une formation adéquates des équipes qui les déploient.
Ces obligations pèsent non seulement sur les équipes techniques chargées du développement, de la validation et de la maintenance des systèmes, mais également sur les fonctions de contrôle interne telles que la conformité et le service juridique, qui doivent en assurer la supervision et l’audit. Elles concernent aussi les opérateurs et superviseurs directs des systèmes, les instances de direction pour l’appréciation des risques stratégiques, ainsi que les directions des ressources humaines pour l’encadrement des usages et la gestion des impacts sociaux.
II. La résonance des obligations de compétence avec le droit Français préexistant.
Antérieurement même à la pleine applicabilité de l’AI Act, diverses branches du droit positif français contiennent des obligations dont la portée se trouve renouvelée ou intensifiée par le déploiement de l’IA.
Le Règlement Général sur la Protection des Données (RGPD) impose déjà, pour les traitements de données personnelles - fréquents en matière d’IA - des diligences spécifiques telles que la protection des données dès la conception et par défaut, la réalisation d’analyses d’impact (AIPD) pour les traitements à risque élevé, ou encore la garantie d’une intervention humaine pour certaines décisions automatisées (Art. 22), qui requièrent une expertise particulière de la part des Délégués à la Protection des Données (DPO) et des équipes impliquées.
Par ailleurs, le Code du travail, à travers l’obligation générale de sécurité de l’employeur (Art. L4121-1), commande de prévenir les risques professionnels, y compris ceux de nature psychosociale ou liés à la surveillance accrue que peuvent induire certains outils d’IA. L’obligation d’adaptation des salariés à l’évolution de leur emploi (Art. L6321-1) impose à l’employeur d’assurer la formation nécessaire lorsque l’IA transforme substantiellement les postes de travail.
En outre, le principe fondamental de non-discrimination trouve une acuité particulière avec l’usage d’algorithmes dans des processus décisionnels critiques (recrutement, octroi de crédit). La prévention des biais discriminatoires algorithmiques devient une composante de la diligence attendue de l’entreprise, nécessitant une sensibilisation et une formation spécifiques des concepteurs et utilisateurs.
III. Appréciation de la nécessité et de la proportionnalité de la formation.
En l’état actuel du droit positif, la détermination du contenu, de la durée et de la fréquence des formations relève d’une approche fondée sur l’appréciation des risques. La nature et le degré de la formation doivent être proportionnés au niveau de risque intrinsèque du système d’IA considéré (tel que catégorisé par l’AI Act ou évalué par une AIPD) et aux fonctions exercées par les personnes concernées. Cette évaluation préalable des besoins constitue une étape essentielle de la démarche de mise en conformité. La traçabilité des actions de formation entreprises (programmes, attestations) représente un élément probatoire déterminant en cas de contrôle par les autorités ou de contentieux. La vélocité de l’évolution technologique commande, enfin, une actualisation régulière des connaissances et compétences.
IV. Conséquences juridiques et financières du défaut de compétence.
Le manquement à ces obligations implicites de compétence en matière d’IA est susceptible d’entraîner des conséquences préjudiciables pour l’entreprise sur plusieurs plans.
D’une part, l’entreprise s’expose à des sanctions administratives pécuniaires potentiellement très lourdes, prévues tant par l’AI Act (plafonds pouvant atteindre 35 millions d’euros ou 7% du chiffre d’affaires annuel mondial) que par le RGPD (jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires).
D’autre part, sa responsabilité civile peut être engagée du fait des dommages causés par un système d’IA défaillant, biaisé ou mal supervisé. Dans certaines hypothèses, notamment en cas de manquement délibéré à des obligations de sécurité ou de non-discrimination, une responsabilité pénale des dirigeants pourrait également être recherchée.
Au-delà des sanctions directes, le défaut de maîtrise des enjeux liés à l’IA peut entraîner une atteinte à la réputation de l’entreprise, des dysfonctionnements opérationnels préjudiciables, ainsi qu’un échec global de la mise en conformité avec les exigences de gouvernance et de documentation de l’AI Act, faute de personnel qualifié pour les mettre en œuvre et les maintenir.
Conclusion.
Il ressort de ce qui précède que, si la législation n’impose pas une obligation de formation expressis verbis et standardisée en matière d’intelligence artificielle, la convergence des exigences techniques et de gouvernance posées par l’AI Act avec les principes et obligations issus du droit commun (protection des données, droit du travail, non-discrimination) crée une nécessité juridique et opérationnelle impérieuse pour les entreprises de s’assurer de la compétence de leur personnel. L’investissement dans la formation et la gestion prévisionnelle des compétences en IA apparaissent dès lors non plus comme une simple faculté, mais comme une composante essentielle de la diligence et de la sécurité juridique des acteurs économiques à l’ère de l’intelligence artificielle.
