DMA, DSA, AI Act : un socle commun de réglementation pour les services numériques
Pour un Chief Legal Officer, la combinaison DMA, DSA et AI Act réglementation forme désormais un bloc normatif unique. Ce bloc articule un nouveau régime de régulation des services numériques, des plateformes numériques et des systèmes d’intelligence artificielle, avec des obligations qui se répondent et se renforcent mutuellement. Il ne s’agit plus seulement de conformité technique, mais d’un véritable repositionnement stratégique des entreprises qui opèrent des services en ligne, des plateformes en ligne ou des moteurs de recherche à grande échelle.
Le Digital Services Act, ou DSA, encadre les services numériques et les plateformes numériques en ligne en imposant une gestion structurée des contenus illicites et une modération de contenu proportionnée aux risques. Ce règlement sur les services numériques impose aux fournisseurs de services et aux grandes plateformes numériques des obligations de transparence, de gestion des risques systémiques et de protection des droits fondamentaux des utilisateurs, notamment en matière de sécurité et de protection des données personnelles. En parallèle, le Digital Markets Act cible les grandes plateformes numériques structurantes, ces numériques plateformes qui agrègent des millions d’utilisateurs et contrôlent l’accès aux marchés, en imposant un règlement des services et des pratiques pour limiter les effets de verrouillage.
L’AI Act vient compléter ce triptyque en introduisant un régime de réglementation par niveau de risque pour les systèmes d’intelligence artificielle, avec un accent particulier sur les systèmes à haut risque listés à l’annexe III. La Commission européenne, déjà au cœur de la mise en place du DSA et du DMA, devient l’architecte d’ensemble de cette législation des services numériques et de cette nouvelle législation des services d’IA, en articulant le Data Act et l’AI Act autour de la circulation des données et de la sécurité. Pour un directeur juridique, la question n’est plus de savoir si l’entreprise est concernée, mais comment articuler dans un même cadre de gouvernance le règlement sur les services numériques, le Data Act, le DMA et l’AI Act réglementation.
Cartographier l’IA au-delà de la DSI : inventaire, shadow IT et services en ligne
La première urgence pour préparer l’échéance des systèmes à haut risque consiste à établir un inventaire exhaustif des systèmes d’intelligence artificielle utilisés dans les services numériques de l’entreprise. Cet inventaire doit couvrir les solutions développées en interne, les services en ligne fournis par des tiers, les plateformes numériques intégrées dans les processus métiers et les moteurs de recherche internes ou externes utilisés pour traiter des données utilisateurs. Sans cette vision consolidée, impossible de relier concrètement DMA, DSA et AI Act réglementation à la réalité opérationnelle des services et des plateformes en ligne.
La difficulté majeure tient aux usages non déclarés, souvent portés par les métiers via des services en ligne ou des plateformes en ligne SaaS, qui manipulent des données personnelles ou des données utilisateurs sans validation de la DSI. Pour les identifier, le Chief Legal Officer doit travailler avec la direction financière et la direction des achats pour analyser les dépenses liées aux services numériques, aux fournisseurs de services cloud et aux licences de plateformes numériques, en croisant ces informations avec les registres de traitement de données et les cartographies de protection des données. Cette approche permet de repérer les services d’IA intégrés dans des outils de modération de contenu, de scoring, de recrutement ou de gestion de la relation client, qui peuvent relever des systèmes à haut risque au sens de l’AI Act et interagir avec les obligations du DSA en matière de contenus illicites.
Un second levier consiste à exploiter les journaux techniques et les logs d’accès pour identifier les appels à des API d’intelligence artificielle, des services act d’IA ou des plateformes numériques externes, y compris lorsque ces services sont utilisés à partir de simples comptes en ligne individuels. Cette analyse doit être rapprochée des flux de données personnelles, des données utilisateurs et des données issues du Data Act pour qualifier les risques de sécurité, de protection des données et de respect des droits fondamentaux. Dans cette phase, les enseignements tirés des projets de conformité DSA sur la traçabilité de la modération de contenu et la gestion des contenus illicites peuvent être réutilisés pour structurer la gouvernance des données et des services numériques d’IA, en cohérence avec les bonnes pratiques de pilotage financier détaillées dans l’analyse sur la maîtrise des enjeux fiscaux et comptables par les directions juridiques.
Qualifier les risques : de l’usage inadmissible au risque minimal dans l’écosystème numérique
Une fois l’inventaire réalisé, la cartographie doit classer chaque système d’intelligence artificielle selon les catégories de l’AI Act : usage inadmissible, haut risque, risque limité ou risque minimal. Cette qualification ne peut pas être purement théorique, elle doit intégrer le contexte d’utilisation dans les services numériques de l’entreprise, la nature des données personnelles traitées, le volume de données utilisateurs et l’exposition potentielle des droits fondamentaux. Les systèmes d’IA utilisés dans des plateformes numériques ou des services en ligne à destination de millions d’utilisateurs appellent une vigilance renforcée, surtout lorsqu’ils interagissent avec des obligations DSA de modération de contenu ou de gestion de contenus illicites.
Les systèmes à usage inadmissible, par exemple ceux qui exploitent des données personnelles sensibles pour manipuler le comportement des utilisateurs ou porter atteinte à leurs droits fondamentaux, doivent être identifiés et écartés sans ambiguïté. Les systèmes à haut risque, notamment ceux qui interviennent dans l’accès à l’emploi, au crédit, aux services publics ou dans des fonctions de sécurité, nécessitent une analyse détaillée des données, des modèles et des processus de décision, en articulation avec la législation des services numériques et le règlement sur les services numériques. Pour ces systèmes, la cartographie doit préciser les liens avec les obligations de transparence du DSA, les exigences de sécurité des données du Data Act et les contraintes de non discrimination imposées par la Commission européenne dans l’ensemble de la législation des services.
Les systèmes à risque limité ou minimal, par exemple des outils d’assistance rédactionnelle ou de recommandation de contenu dans des services en ligne, ne doivent pas être négligés pour autant, car ils peuvent avoir un impact réputationnel significatif en cas de dérive. Le Chief Legal Officer doit définir des critères clairs pour distinguer les cas où un simple avertissement aux utilisateurs suffit de ceux où une évaluation d’impact sur la protection des données et les droits fondamentaux s’impose. Dans cette démarche, les exigences de transparence du DSA sur la publicité ciblée, la modération de contenu et la gestion des contenus illicites offrent un référentiel utile pour structurer les notices d’information, les politiques de confidentialité et les chartes d’utilisation des services numériques d’IA, en cohérence avec les obligations de conformité anticorruption analysées dans l’étude sur les enjeux de l’article 17 de la loi Sapin II.
Matrice de responsabilités et cinq livrables de conformité pour un système à haut risque
La solidité d’une cartographie AI Act se mesure à la clarté de la matrice de responsabilités entre fournisseur, déployeur, importateur et distributeur de systèmes d’intelligence artificielle. Dans un environnement où les services numériques reposent sur des chaînes de valeur complexes, une même plateforme numérique peut cumuler plusieurs rôles, par exemple fournisseur de services d’IA pour des entreprises clientes et déployeur de ces mêmes services en ligne auprès de ses propres utilisateurs. Le Chief Legal Officer doit donc documenter précisément, pour chaque système à haut risque, qui assume les obligations de conformité, qui gère la protection des données et qui répond devant la Commission européenne en cas de manquement.
Pour chaque système à haut risque, cinq livrables de conformité doivent être prêts à être présentés au Comex et, le cas échéant, à la Commission européenne ou aux autorités nationales compétentes. D’abord, un dossier de système de gestion des risques, décrivant les scénarios d’usage, les risques pour les droits fondamentaux, la sécurité des données et la protection des données personnelles, en lien avec les exigences du DSA et du règlement sur les services numériques. Ensuite, une documentation technique complète, incluant les jeux de données d’entraînement, les mécanismes de gouvernance des données utilisateurs, les mesures de sécurité et les interfaces avec les autres services numériques, notamment les plateformes en ligne et les moteurs de recherche internes.
Troisièmement, un dispositif de contrôle humain documenté, précisant les points de décision où l’humain conserve la main, les procédures d’escalade et les limites imposées à l’automatisation, en cohérence avec les obligations de modération de contenu et de traitement des contenus illicites prévues par le DSA. Quatrièmement, un registre d’inscription dans la base européenne des systèmes d’IA à haut risque, avec les références de marquage CE et les informations requises par l’AI Act réglementation et le Data Act. Enfin, un plan de surveillance post mise en place, détaillant la collecte de retours des utilisateurs, la gestion des incidents, l’ajustement des modèles et la coordination avec les fournisseurs de services tiers, afin de garantir une conformité continue dans un environnement de services numériques en évolution permanente.
Éviter les erreurs coûteuses : documentation, supervision humaine et articulation avec DMA et DSA
Les sanctions prévues par l’AI Act pour les violations les plus graves, qui peuvent atteindre des montants très élevés ou un pourcentage significatif du chiffre d’affaires mondial, imposent une rigueur absolue dans la mise en place de la conformité. Les erreurs les plus coûteuses observées dans les premiers projets tiennent souvent à une mauvaise qualification du niveau de risque, à une documentation lacunaire et à un défaut de supervision humaine effective sur des systèmes d’intelligence artificielle déployés à grande échelle. Dans un environnement où les services numériques, les plateformes numériques et les services en ligne sont déjà soumis aux exigences du DSA et du DMA, ces erreurs peuvent cumuler les risques de sanctions, de contentieux et d’atteinte à la réputation.
Une erreur fréquente consiste à sous estimer l’impact d’un système d’IA intégré dans une plateforme numérique de service client ou dans un moteur de recherche interne, au motif qu’il ne serait pas directement décisionnel. En réalité, ces systèmes traitent souvent des volumes importants de données utilisateurs et de données personnelles, influencent la manière dont les utilisateurs perçoivent les contenus et peuvent générer des biais ou des discriminations contraires aux droits fondamentaux, ce qui les rapproche des systèmes à haut risque au sens de l’AI Act réglementation. Une autre erreur récurrente est de considérer que la conformité DSA sur la modération de contenu et la gestion des contenus illicites suffirait à couvrir les exigences spécifiques de l’AI Act, alors que ce dernier impose des obligations propres sur la qualité des données, la transparence des modèles et la gouvernance des risques.
Pour sécuriser la position de l’entreprise, le Chief Legal Officer doit porter une vision intégrée de la législation des services numériques, du règlement sur les services numériques, du Data Act et de l’AI Act, en s’appuyant sur une gouvernance juridique renforcée au niveau du Comex. Cette approche rejoint la transformation du rôle du directeur juridique décrite dans l’analyse sur le passage du gardien de la conformité au partenaire de décision stratégique, disponible dans l’étude sur le General Counsel comme partenaire stratégique. En articulant DMA, DSA et AI Act réglementation autour d’une cartographie des risques IA robuste, défendable et alignée sur les attentes de la Commission européenne, le Chief Legal Officer peut transformer une contrainte réglementaire en avantage compétitif durable pour l’entreprise.
FAQ sur DMA, DSA, AI Act et cartographie des risques IA
Comment articuler concrètement DMA, DSA et AI Act dans une même gouvernance ?
La clé consiste à construire un référentiel unique des services numériques, des plateformes numériques et des systèmes d’intelligence artificielle, puis à y rattacher les obligations spécifiques de chaque texte. Le DSA structure la gestion des contenus illicites, la modération de contenu et la transparence vis à vis des utilisateurs, tandis que le DMA encadre les pratiques des grandes plateformes numériques structurantes. L’AI Act vient se greffer sur ces fondations en imposant une classification par niveau de risque, des exigences de gouvernance des données et des obligations de contrôle humain, que la Commission européenne supervisera dans le cadre plus large de la législation des services numériques.
Quels sont les critères pratiques pour identifier un système d’IA à haut risque ?
Un système d’IA est à haut risque lorsqu’il figure dans l’annexe III de l’AI Act et qu’il est utilisé dans des domaines sensibles comme l’emploi, le crédit, l’éducation, les services publics ou la sécurité. En pratique, il faut analyser le rôle effectif du système dans la prise de décision, la nature des données personnelles et des données utilisateurs traitées, ainsi que l’impact potentiel sur les droits fondamentaux. Les systèmes intégrés dans des services en ligne ou des plateformes numériques qui conditionnent l’accès à des droits ou à des services essentiels doivent être examinés avec une attention particulière, en articulation avec les exigences du DSA et du Data Act.
Comment traiter les outils d’IA générative utilisés par les équipes métiers ?
Les outils d’IA générative utilisés en libre service par les équipes métiers relèvent souvent de la catégorie des risques limités, mais ils peuvent entraîner des risques élevés en matière de protection des données et de sécurité. Il est indispensable de recenser ces services en ligne, de vérifier les conditions contractuelles des fournisseurs de services, de contrôler les flux de données personnelles et de données utilisateurs, puis de définir des règles d’usage claires. Une politique interne doit préciser quels types de contenus peuvent être soumis à ces outils, comment éviter les fuites de données et comment informer les utilisateurs finaux lorsque des contenus générés par l’IA sont intégrés dans des services numériques ou des plateformes en ligne.
Quel rôle spécifique pour le Chief Legal Officer dans la cartographie des risques IA ?
Le Chief Legal Officer doit piloter la cartographie des risques IA comme un projet de transformation réglementaire transverse, en lien étroit avec la DSI, la direction des risques, la conformité et les métiers. Son rôle est de garantir la cohérence entre DMA, DSA, AI Act réglementation, Data Act et règlement sur les services numériques, en veillant à la protection des droits fondamentaux, à la sécurité des données et à la robustesse de la documentation. Il lui revient aussi de porter la matrice de responsabilités devant le Comex, de s’assurer que les cinq livrables de conformité pour chaque système à haut risque sont opérationnels et de dialoguer avec la Commission européenne ou les autorités nationales en cas de contrôle.
Comment anticiper les évolutions futures de la réglementation européenne sur l’IA ?
La meilleure anticipation consiste à bâtir une gouvernance des données et des services numériques suffisamment robuste pour absorber les ajustements futurs de l’AI Act, du Data Act et de la législation des services numériques. En structurant dès maintenant des processus de revue régulière des systèmes d’intelligence artificielle, des audits de protection des données et des évaluations d’impact sur les droits fondamentaux, l’entreprise se donne une capacité d’adaptation durable. Le dialogue continu avec les associations professionnelles, les autorités de contrôle et la Commission européenne permettra d’ajuster la cartographie des risques IA au fil des nouvelles lignes directrices, sans remettre en cause l’architecture globale de conformité.