Les obligations légales liées à l’utilisation de l’IA générative par les salariés en entreprise en 2024
En 2024, l’usage de l’intelligence artificielle générative en milieu professionnel est en pleine expansion. Des outils comme ChatGPT, MidJourney ou DALL·E sont de plus en plus utilisés par les salariés pour automatiser des tâches, assister la rédaction de contenus ou encore générer des visuels. Mais cette utilisation soulève de nombreuses questions juridiques. Quelles sont les obligations légales pour les entreprises et leurs salariés en France et dans l’Union européenne ? Cet article fait le point sur les principaux cadres réglementaires à connaître.
Les enjeux de l’IA générative dans le monde du travail
L’intelligence artificielle générative permet de produire du contenu de manière autonome ou semi-autonome : textes, images, codes, vidéos… Son intégration en entreprise offre des gains significatifs en productivité. Pourtant, elle soulève aussi des risques : erreurs de fond, génération de contenus protégés par le droit d’auteur, divulgation d’informations confidentielles, ou encore biais algorithmiques.
Face à ces défis, il devient impératif de comprendre le cadre réglementaire qui s’impose aux entreprises et à leurs salariés lorsqu’ils utilisent ces outils pour exécuter leurs missions.
Le cadre législatif européen : le Règlement IA
À l’échelle de l’Union européenne, la principale avancée réglementaire est le Règlement sur l’intelligence artificielle, ou AI Act, qui devrait entrer en vigueur courant 2024. Même si toutes ses dispositions ne s’appliqueront pas immédiatement, ce texte encadre strictement l’utilisation des systèmes d’IA selon un système de niveaux de risques.
Les outils d’IA générative comme ChatGPT ou Bard sont classés parmi les systèmes d’IA à « risques limités » ou « risques spécifiques », notamment du fait de leur capacité à interagir avec les humains et à générer des contenus autonomes. Le Règlement impose à ce titre :
- Une transparence sur le caractère génératif de l’outil (la personne doit savoir que le contenu a été produit par une IA) ;
- Des règles d’information sur les données utilisées pour entraîner la technologie ;
- Des obligations de sécurité et d’absence de comportements discriminatoires ou biaisés.
Pour les employeurs, cela signifie qu’ils devront veiller à ce que les outils déployés en interne soient conformes à ces exigences et informer clairement les salariés de leur fonctionnement.
L’obligation de loyauté du salarié et les limites à l’usage personnel de l’IA
En droit du travail français, le salarié est tenu par une obligation de loyauté envers son employeur. L’introduction d’outils d’IA tiers par un salarié dans son environnement de travail, sans autorisation ou sans encadrement, peut poser problème.
Par exemple, l’utilisation d’un modèle IA dans la rédaction de documents confidentiels ou soumis à des clauses de non-divulgation peut entraîner des fuites d’informations sensibles, ce qui constitue une faute professionnelle. D’autre part, si le salarié utilise une IA pour générer un travail dont il ne contrôle ni le fond ni la forme, il engage sa responsabilité en cas de contenu erroné ou discriminatoire.
Les entreprises ont donc tout intérêt à formaliser une politique d’usage des IA génératives, précisant :
- Quels outils peuvent être utilisés ;
- Dans quelles conditions et pour quel usage ;
- Comment garantir le respect de la confidentialité des données internes.
Protection des données personnelles et RGPD
Un des grands enjeux liés à l’usage de l’IA générative concerne le respect du Règlement général sur la protection des données (RGPD). De nombreuses IA génératives traitent des données introduites par l’utilisateur pour produire des réponses, parfois en les conservant.
En entreprise, les salariés peuvent donc, involontairement, transmettre des informations personnelles sur des clients, des collègues ou des tiers à des outils tiers hébergés à l’étranger, ce qui constitue un risque juridique majeur.
À ce titre, le responsable de traitement – généralement l’employeur – doit veiller à :
- Informer les salariés sur les risques liés au traitement des données ;
- Mettre en place des mesures techniques et organisationnelles adéquates ;
- Contrôler les transferts éventuels de données hors de l’Union européenne.
Certains fournisseurs d’IA proposent des versions « entreprise » sous des conditions plus strictes de confidentialité, ce qui peut constituer une solution adaptée pour les structures soucieuses de la conformité RGPD.
Droits d’auteur et création assistée par IA
En France, comme dans le reste de l’Europe, seuls les humains peuvent être titulaires de droits d’auteur. Les contenus générés entièrement par une IA ne bénéficient donc pas de protection spécifique au titre du droit d’auteur, sauf si l’humain a réalisé un travail créatif suffisant en amont ou en aval.
Dans le cadre professionnel, cela signifie que :
- Les créations générées par un salarié à l’aide d’un outil d’IA générative sont généralement la propriété de l’employeur, si elles ont été produites dans le cadre de ses missions ;
- Si le salarié utilise des contenus générés par des IA sans vérification, il peut engager sa responsabilité en cas de contrefaçon ou d’atteinte à des droits de tiers ;
- Les contributions de l’IA ne peuvent pas être déposées ou protégées en tant qu’œuvre originale.
Les services juridiques doivent donc être vigilants sur les pratiques internes liées à la création de contenus assistée par intelligence artificielle.
La responsabilité en cas de préjudice causé par l’IA utilisée par un salarié
L’un des points les plus sensibles du droit est la question de la responsabilité. En cas de préjudice causé par un contenu généré par IA sur initiative d’un salarié, plusieurs hypothèses sont envisageables :
- Si l’employeur a validé ou imposé l’utilisation de l’outil : il engage sa propre responsabilité, notamment sur le fondement de l’article 1242 du Code civil (responsabilité du fait d’autrui) ;
- Si le salarié a agi hors de ses fonctions ou à des fins personnelles en utilisant l’outil : il peut voir sa responsabilité engagée à titre personnel (faute lourde ou détournement d’usage) ;
- Si le manque d’encadrement ou de formation est en cause : l’entreprise peut être tenue pour négligence dans le déploiement de ses outils technologiques.
Un cadre clair et documenté, incluant des formations juridiques et éthiques à destination des salariés, permet de limiter les risques et formaliser une responsabilité partagée.
Mettre en place une politique interne claire sur l’usage de l’IA
Afin de respecter les obligations légales liées à l’utilisation d’IA générative par les salariés, il est fortement conseillé aux entreprises de rédiger une politique interne ou une charte d’usage spécifique. Celle-ci doit intégrer les points suivants :
- Les outils autorisés et certifiés par l’entreprise ;
- Les usages permis et les limites à respecter ;
- Les processus de validation des contenus générés ;
- Les précautions en matière de données personnelles et confidentialité ;
- Les sanctions éventuelles en cas de non-respect de la politique.
Cette politique doit s’accompagner de formations régulières, adaptées aux différents services (marketing, RH, juridique, informatique…), afin de prévenir les usages abusifs tout en encourageant une utilisation éthique et légale de ces technologies émergentes.
En 2024, les enjeux de l’intelligence artificielle en entreprise se situent à la croisée de la technologie, du droit et de l’éthique. L’adoption d’un cadre clair, en conformité avec la réglementation française et européenne, est désormais indispensable pour garantir la sécurité juridique des organisations et de leurs collaborateurs.