Depuis le , les obligations de transparence de l'AI Act européen sont en vigueur. Si votre entreprise utilise un chatbot, un assistant virtuel ou un système de génération de contenu par IA, vous avez des obligations légales précises à respecter.
Ce guide détaille les exigences de l'article 50 du règlement (UE) 2024/1689, identifie ce qui constitue un chatbot au sens de l'AI Act, et propose un plan d'implémentation concret.
L'article 50 : obligations de transparence
« Les fournisseurs veillent à ce que les systèmes d'IA destinés à interagir directement avec des personnes physiques soient conçus et développés de manière que les personnes physiques concernées soient informées qu'elles interagissent avec un système d'IA, sauf si cela ressort clairement des circonstances et du contexte d'utilisation. »
Règlement (UE) 2024/1689 (AI Act), Article 50, paragraphe 1
Cette obligation est entrée en application le , 12 mois après la publication du règlement. Elle s'applique à tous les systèmes d'IA interagissant avec des personnes physiques, indépendamment de leur niveau de risque.
Qu'est-ce qu'un "chatbot" au sens de l'AI Act ?
L'AI Act ne définit pas le terme "chatbot" spécifiquement. L'obligation de transparence de l'article 50 couvre tout système d'IA destiné à interagir directement avec des personnes physiques. Cela inclut :
| Type de système | Exemples | Couvert par l'art. 50 ? |
|---|---|---|
| Chatbot conversationnel | ChatGPT, Mistral Chat, Google Gemini | Oui |
| Assistant client intégré | Intercom, Drift, Zendesk AI | Oui |
| Agent IA interne | Copilot, assistant RH automatisé | Oui |
| Générateur de contenu | Rédaction automatisée, résumés IA | Oui (art. 50§4) |
| Système de recommandation | Suggestions produits, fil d'actualité | Non (pas d'interaction directe) |
| Formulaire classique avec règles | Arbre de décision if/then | Non (pas un système d'IA) |
Les 4 exigences de transparence
1. Informer l'utilisateur de l'interaction avec une IA
L'utilisateur doit savoir qu'il interagit avec un système d'IA avant ou au début de l'interaction. Un simple texte visible suffit : "Ce chat est piloté par une intelligence artificielle" ou "Vous échangez avec un assistant IA".
L'exception "circonstances évidentes" est interprétée restrictivement. Un chatbot intégré dans une page de support client n'est pas "manifestement" identifiable comme IA, même s'il s'appelle "Assistant virtuel".
2. Étiqueter les contenus générés par IA (art. 50§4)
Les contenus texte, image, audio ou vidéo générés par IA doivent être marqués de manière lisible par machine. Cela inclut les watermarks, les métadonnées, et les mentions explicites. Concrètement, si votre chatbot génère des réponses textuelles, ces réponses doivent pouvoir être identifiées comme produites par IA.
3. Déclarer dans vos documents légaux
Votre politique de confidentialité doit mentionner les systèmes d'IA utilisés, leur finalité, et le fournisseur du modèle. Le Legal Builder COCORRIDOR intègre automatiquement les déclarations AI Act dans vos documents légaux.
4. Permettre le refus de l'interaction IA
Si l'utilisateur demande à parler à un humain, vous devez offrir cette possibilité dans un délai raisonnable. L'AI Act ne crée pas explicitement un "droit au refus de l'IA", mais le RGPD (article 22) confère un droit de ne pas être soumis à une décision entièrement automatisée ayant des effets juridiques ou significatifs.
Les sanctions en cas de non-conformité
Le non-respect des obligations de transparence de l'article 50 est sanctionné par :
- Amende maximale : 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial (le plus élevé)
- Autorité compétente en France : la CNIL a été désignée comme autorité nationale de contrôle pour l'AI Act
- Entrée en vigueur des contrôles : les autorités ont commencé les contrôles depuis le
Pour les PME et les startups, le règlement prévoit une proportionnalité des sanctions. Mais l'amende minimale reste dissuasive : la CNIL peut prononcer des avertissements, des injonctions de mise en conformité, ou des sanctions financières dès le premier manquement constaté.
Comment implémenter la transparence
Sur votre site web
Pour un chatbot intégré à votre site, les actions concrètes sont :
- Afficher un bandeau d'identification IA visible dès l'ouverture du chat (texte type : "Cet assistant est alimenté par l'intelligence artificielle Mistral.")
- Inclure une mention dans le premier message du chatbot ("Je suis un assistant IA. Pour parler à un conseiller humain, tapez HUMAIN.")
- Ajouter un attribut technique dans le HTML du widget (
aria-label="chatbot alimenté par IA") pour l'accessibilité et l'étiquetage machine - Mettre à jour votre politique de confidentialité avec une section "Systèmes d'intelligence artificielle" détaillant le fournisseur, la finalité, et les données traitées
Chatbots souverains vs. chatbots US
Au-delà de la transparence, le choix du fournisseur IA impacte votre souveraineté numérique :
| Critère | Chatbot US (OpenAI, Google) | Chatbot souverain (Mistral AI) |
|---|---|---|
| Juridiction | Cloud Act + FISA 702 | Droit français / européen |
| Localisation données | États-Unis | Europe (France) |
| Transfert RGPD | DPF ou SCC nécessaires | Aucun mécanisme requis (intra-UE) |
| Impact score souveraineté | Pénalité forte (type IA, multiplicateur 1.8) | Aucune pénalité |
| Qualité français | Variable | Optimisé pour le français |
Le scan COCORRIDOR détecte automatiquement les systèmes d'IA intégrés à votre site et évalue leur conformité AI Act.
Foire aux questions
Mon chatbot basé sur des règles (pas de machine learning) est-il concerné ?
Non, si votre chatbot fonctionne exclusivement avec des règles prédéfinies (arbre de décision, FAQ statique). L'AI Act définit un système d'IA comme utilisant des techniques d'apprentissage automatique, de logique, ou de méthodes statistiques (article 3). Un simple arbre if/then n'entre pas dans cette définition.
Le RGPD impose-t-il des obligations supplémentaires pour les chatbots IA ?
Oui. Si votre chatbot traite des données personnelles (identité, email, historique de conversation), le RGPD s'applique en complément de l'AI Act. Obligations principales : base légale (article 6), information de la personne concernée (article 13), droit d'accès (article 15), droit à l'effacement (article 17), et registre des traitements (article 30).
Dois-je mentionner le modèle exact utilisé (GPT-4, Mistral Large) ?
L'AI Act n'exige pas de mentionner le modèle exact en interface utilisateur. En revanche, votre documentation technique et votre politique de confidentialité doivent identifier le fournisseur du système d'IA et la finalité d'usage. La bonne pratique est de mentionner "alimenté par Mistral AI" (ou le fournisseur utilisé) de manière visible.
Que risque-t-on si les mentions sont présentes mais peu visibles ?
Le règlement exige une information "claire et accessible". Un texte en gris clair taille 8px en bas d'un widget ne satisfait pas cette exigence. La mention doit être visible sans action supplémentaire de l'utilisateur, dans une taille de texte lisible, et dans la langue de l'interface.