Contactez-nous

      L’enjeu n’est pas seulement de se conformer à l’IA, mais de structurer l’entreprise pour en tirer toute la valeur

      Interview de Julie Bellesort, avocate, associée chez KPMG Avocats, co-head IP/IT/ Compliance.

      Publié le 16 juin 2026

      Quels sont aujourd’hui les principaux enjeux juridiques de l’intelligence artificielle dans votre métier d’avocate ?

      Julie Bellesort : Les enjeux juridiques de l’intelligence artificielle sont à la fois multiples et étroitement imbriqués  ; ils peuvent toutefois être structurés autour de quatre grandes priorités.

      1. L'entraînement des modèles d'intelligence artificielle

      L’entraînement des systèmes d’intelligence artificielle – qu’il soit ponctuel et/ou continu – nécessite le plus souvent l’utilisation d’importants volumes de donnée et d’information pouvant comporter bien entendu des données à caractère personnel, mais aussi des données protégées par des droits de tiers par exemple.

      Cet enjeu juridique et opérationnel doit être examiné à plusieurs niveaux : en amont, lors de l’intégration de modèles d’IA pré‑entraînés développés par des tiers par exemple, mais également lors de la mise en œuvre d’entraînements complémentaires par l’entreprise, qu’ils soient ponctuels ou continus.

      Les principaux points à prendre en compte sont :

      • La propriété intellectuelle et le droit applicable aux contenus

        L’entreprise doit s’assurer qu’elle dispose des droits nécessaires pour utiliser les données à des fins d’entraînement, ainsi que pour réutiliser, dans un cadre juridique sécurisé, les contenus générés par le modèle d’intelligence artificielle, qu’il s’agisse de texte, de code ou de créations produites par un système génératif. Le risque de contrefaçon au regard du droit intellectuel applicable n’est pas théorique.

      • La confidentialité

        La confidentialité et le cas échéant la protection du secret des affaires sont également centrales. Elles impliquent de garantir la protection du patrimoine informationnel de l’entreprise, tout en maîtrisant les risques résultant des engagements de confidentialité souscrits à l’égard de tiers. Les résultats générés par l’IA ne doivent pas conduire à une mise en péril de ces exigences. L’étiquetage des données peut s’avérer être un exercice crucial pour surmonter cette difficulté.

      • La protection des données à caractère personnel

        Le cadre européen issu du RGPD n’empêche pas l’innovation en matière d’intelligence artificielle. Cependant, il pose un cadre. Par exemple, si l’entreprise souhaite réutiliser des données aux fins d’entrainement et que cette finalité n’était pas prévue au moment de la collecte, il est nécessaire de vérifier et documenter la compatibilité avec l’objectif initial grâce à un test de compatibilité. Dans les autres cas, la base légale de l’intérêt légitime est souvent mobilisée, mais elle doit être rigoureusement documentée. En tout état de cause, les personnes concernées doivent être informées de l’utilisation de leurs données.

       2. La mise en conformité avec l’AI Act

      Il impose aux entreprises de procéder à une double qualification. Elles doivent, en premier lieu, qualifier leurs rôles ainsi que ceux des autres parties prenantes (par exemple, les fournisseurs de modèles d’IA). Cette étape est déterminante pour identifier les acteurs d’un projet soumis à des obligations de conformité (fournisseur, déployeur, etc.), lesquelles varient ensuite en fonction de la classification des systèmes d’IA (IA à haut risque, chatbots, systèmes de génération de contenus, etc.).

      Cette dernière qualification des risques suppose un important travail de recensement. Or, aujourd’hui, les initiatives sont encore très souvent dispersées au sein des organisations. Cela rend nécessaire la mise en place d’une gouvernance centralisée, capable de recenser les usages et de garantir leur conformité en amont du déploiement. C’est tout l’enjeu de la « compliance by design » : intégrer les exigences réglementaires dès la conception des projets en tenant compte de la prolifération normative qui entraîne une multiplication de qualifications juridiques cumulatives (exemple, RGPD, Data Act, DSA, NIS2, etc).

      3. La cybersécurité

      Les systèmes d’IA manipulent des volumes importants de données, souvent sensibles. Il est donc essentiel de protéger les flux d’information et l’utilisation de chaque système et outil d’intelligence artificielle. Si le risque zéro n’existe pas, la maîtrise des responsabilités et des architectures permet de réduire significativement l’exposition.

      4. La contractualisation

      Cet enjeu se situe au carrefour de l’ensemble des problématiques précédemment évoquées.

      Bien que traités ici en dernier, les enjeux contractuels peuvent intervenir en pratique très en amont d’un projet, notamment lors de la conclusion d’un contrat de développement d’un outil d’IA. Il est donc essentiel que ces contrats traduisent les qualifications juridiques appropriées ainsi que les exigences applicables en matière de conformité et de traitement des données, au regard de leur nature. En pratique, une multitude de questions se posent et doivent être tranchées en fonction des cas d’usage, notamment : la répartition des responsabilités en matière de traitement des données (constitution de la base de données, entraînement, etc.) et au titre des systèmes d’IA (fournisseur, déployeur, etc.), les conditions de réutilisation des données, leur sécurité et confidentialité, l’origine des données d’entraînement et les garanties fournies à leur sujet, etc.

      Quelle est votre conviction sur l’évolution de l’IA dans les entreprises ?

      J. B. : La conformité et la gouvernance sont des prérequis indispensables à une adoption maîtrisée de l’IA. Mais, au-delà de ces dimensions, ma conviction est que la réussite de l’intelligence artificielle repose avant tout sur une transformation profonde des organisations.

      Aujourd’hui, de nombreuses entreprises développent des cas d’usage de manière isolée, en silo. Chaque direction expérimente, sans vision d’ensemble. Cette approche atteint rapidement ses limites. L’IA ne peut pas être pensée comme une succession d’initiatives locales. Elle doit s’inscrire dans une logique transverse et structurée, au service de l’ensemble des métiers et des fonctions.

      Prenons l’exemple de l’évaluation des tiers. Ce sujet mobilise les fonctions achats, juridiques, conformité, mais aussi les équipes opérationnelles. Il implique des exigences réglementaires fortes — RGPD, devoir de vigilance, loi Sapin II — et engage directement la responsabilité de l’entreprise. L’enjeu est donc de bâtir un dispositif partagé, cohérent et piloté à l’échelle de l’organisation. C’est la même chose pour l’intelligence artificielle : sa valeur ne réside pas dans l’accumulation d’expérimentations, mais dans sa capacité à structurer et améliorer des processus transverses.

      Pouvez-vous partager un exemple concret chez un de vos clients ?

      J. B. : Un cas emblématique concerne un acteur du secteur de l’assurance souhaitant développer des agents d’intelligence artificielle pour automatiser le traitement des demandes clients : remboursements, gestion des contrats, détection de fraude.

      Ce projet reposait sur l’exploitation de données particulièrement sensibles, notamment des données de santé. Or, dans sa configuration initiale, l’entreprise qui intervenait en tant que sous-traitant, ne disposait pas des droits nécessaires pour exploiter ces données à des fins d’entraînement pour son propre compte. La difficulté était donc juridique, mais elle bloquait le projet opérationnel. La solution a consisté à accompagner notre client vers une redéfinition de sa stratégie en qualifiant différemment son rôle vis-à-vis de l’ensemble de ses clients au regard du RGPD du fait de son haut degré d’autonomie, il est apparu pertinent de passer d’un statut de sous-traitant à celui de responsable de traitement, pour certaines activités spécifiques. Cette évolution a permis de sécuriser juridiquement l’usage des données sans avoir à recourir à une autorisation spécifique et de rendre possible le développement des agents IA.

      Ce cas illustre un point clé : la structuration juridique ne se limite pas à gérer le risque, elle peut aussi débloquer la création de valeur.

      Comment évaluez-vous la maturité des entreprises en matière d’intelligence artificielle ?

      J. B. : Sur le plan réglementaire, les entreprises ne sont pas nécessairement en retard : le calendrier révisé de l’AI Act – en cours d’adoption – devrait laisser davantage de temps pour se préparer, notamment pour les systèmes d’IA à haut risque, soumis aux exigences les plus strictes.

      Ce répit ne doit toutefois pas masquer l’urgence de certaines échéances : des obligations clés, notamment pour les chatbots et autres outils d’intelligence artificielle génératif produisant du contenu, entreront en application dans le cadre européen dès le 2 août prochain.

      Sur le plan organisationnel et opérationnel, la maturité reste encore limitée. Le principal défi n’est pas tant de se mettre en conformité juridique que de repenser les modes de fonctionnement pour intégrer l’IA à grande échelle.

      Cela suppose :

      • une gouvernance claire,
      • une vision stratégique,
      • et une capacité à opérer de manière transversale.

      C’est sur ce terrain que se jouera la véritable différenciation entre les entreprises.

      Contact : 

      Julie Bellesort,

      Associée, co-head IP/IT/ Compliance

      KPMG Avocats

      Aller plus loin

      radio RADIO KPMG

      Les grandes innovations décryptées par les experts KPMG et leurs invités.

      ON AIR ► IA de modération : des précautions sont à prendre ! - Chronique de Julie Bellesort

      En savoir plus

      notes ARTICLE

      Le point de vue Xavier Niffle, associé Digital Audit et Innovation chez KPMG en France.
      Lire l'article

      Restez informés des dernières actualités de KPMG en vous abonnant dès maintenant à nos communications personnalisées.

      KPMG. Make the Difference.