Comment la compliance et l’éthique doivent désormais guider l’usage de l’IA en entreprise

Entre promesses de prévention et nouveaux risques, l’IA bouscule les cadres existants. L’UE mise sur une approche par les risques, mais la question reste entière : relève-t-elle de la compliance ou seulement de l’éthique de l’entreprise ?

Si la compliance se définit comme l’ensemble des pratiques permettant à une entreprise d’anticiper les risques et de prévenir les atteintes, et couvre un périmètre large – droit des affaires, protection des données, conflits d’intérêts, obligations environnementales et sociales… -, l’éthique, quant à elle, dépasse le cadre légal pour traduire une intention humaniste fondée sur la notion du bien. Elle se manifeste par la définition de règles de conduite, l’usage de moyens permettant leur application, et par la capacité de l’entreprise à assumer les conséquences de ses décisions.

Compliance et éthique : le prisme du devoir de vigilance

Afin d’éviter toute abstraction, cette analyse s’appuie sur un terrain concret : le devoir de vigilance. Issu de la logique de la RSE, il illustre une zone de rencontre entre contrainte juridique et exigence morale.

Certes, il revêt un caractère obligatoire, mais sa dynamique profonde procède d’une interpellation éthique : la norme apparaît ici comme la traduction d’une exigence morale préalable. La pression exercée par les parties prenantes contribue à renforcer cette dynamique : elle pousse l’entreprise à adapter ses décisions, non seulement pour se conformer à la loi, mais aussi pour répondre aux attentes éthiques de la société.

Pilier des dispositifs de compliance, le devoir de vigilance participe à la prévention des risques juridiques mais peut aussi constituer un levier de réputation, un facteur d’innovation sociale et environnementale, voire un élément d’attractivité en matière de marque employeur. En ce sens, il s’inscrit dans une démarche fondamentalement éthique.

D’un point de vue juridique, le devoir de vigilance est une obligation de moyens. Cependant, les actions menées par certaines ONG tendent à la rapprocher d’une obligation de résultat, laissant au juge le soin d’évaluer si l’entreprise a fait ce qui était nécessaire. Dans ce contexte, il devient essentiel d’examiner l’intention de l’entreprise, ce qui fait naturellement entrer la question dans le champ de l’éthique.

La loi du 27 mars 2017 relative au devoir de vigilance des sociétés mères et des entreprises donneuses d’ordre concerne les groupes de plus de 5 000 salariés (siège en France) ou plus de 10 000 salariés (siège en France ou étranger), mais a un effet d’entrainement important puisqu’il impose une vigilance sur toute la chaine de valeur.

Elle impose la mise en œuvre d’un plan de vigilance (art. L.225-102-4, I° Code com.). La norme de comportement induite pour l’entreprise nécessite une réflexion préalable des dirigeants, à l’aune de leur propre conception de ce qui est éthique ou non.

Pour se conformer au devoir de vigilance, une cartographie des risques permet de réduire l’exposition aux risques. L’objectif n’est pas d’éliminer le risque, mais d’identifier les zones où il est insuffisamment maîtrisé afin de permettre à l’entreprise d’arbitrer entre réduction, encadrement ou acceptation du risque.

La démarche se déroule en plusieurs étapes. La première consiste à recenser les zones de manifestation du risque. La deuxième vise à évaluer le risque brut puis à identifier les leviers pour le réduire. Enfin, l’entreprise estime le risque net résiduel, une fois ces mesures prises, afin d’alimenter ses plans d’action.

Quand l’IA met la responsabilité des entreprises à l’épreuve

Lorsqu’une entreprise utilise un système d’IA, elle est responsable de ses erreurs. En droit, la responsabilité ne peut être attachée qu’à une personne physique ou morale. Or l’IA ne dispose aujourd’hui d’aucune personnalité juridique et ne peut donc être tenue responsable de ses décisions.

En 2024, le règlement européen dit « AI Act » a posé le premier cadre de régulation de l’IA. Il classe les systèmes d’IA selon leur niveau de risque sans toutefois créer de régime spécifique de responsabilité civile. Les dommages liés à l’IA restent donc soumis aux règles classiques de responsabilité.

Pour encadrer l’usage de l’IA, l’entreprise s’appuie sur un organe interne : le compliance officer, chargé de veiller au respect des normes applicables et de s’assurer que les outils tels que les systèmes d’IA sont utilisés de manière sécurisée.

À plus long terme, certains débats émergent sur l’éventuelle reconnaissance d’un statut juridique spécifique pour les systèmes autonomes. Dans une résolution de 2017, le Parlement européen a ainsi évoqué un éventuel statut de « personne électronique » pour les robots les plus sophistiqués. Toutefois, cette hypothèse reste, à ce stade, une réflexion prospective.

Dans l’immédiat, l’IA ne relève ni seulement de la compliance ni seulement de l’éthique : elle exige les deux, un cadre juridique clair et une gouvernance capable d’en assumer les choix.