IAActs

Directive Responsabilité IA (UE 2024/2853) : ce que les victimes peuvent désormais réclamer en France

Publié le 2026-04-30 | Mots-clés : [, ", i, a, , a, c, t, , f, r, a, n, c, e, , 2, 0, 2, 6, ", ,, , ", d, i, r, e, c, t, i, v, e, , r, e, s, p, o, n, s, a, b, i, l, i, t, é, , i, a, ", ,, , ", r, g, p, d, , c, h, a, t, b, o, t, , o, b, l, i, g, a, t, i, o, n, s, ", ,, , ", c, n, i, l, , a, m, e, n, d, e, , i, a, ", ,, , ", r, e, c, o, u, r, s, , v, i, c, t, i, m, e, s, , i, a, ", ]

Directive Responsabilité IA (UE 2024/2853) : ce que les victimes peuvent désormais réclamer en France

Le 13 novembre 2024, une directive européenne est entrée en vigueur dans un relatif silence médiatique. Pendant que l'IA Act absorbait toute l'attention des juristes, la Directive sur la Responsabilité en matière d'IA — officiellement le Règlement (UE) 2024/2853, aussi appelée AI Liability Directive ou AILD — posait discrètement les bases d'un régime de réparation entièrement nouveau pour les victimes de systèmes d'intelligence artificielle.

Ce texte ne sanctionne pas les entreprises. Ce n'est pas le rôle de la CNIL. C'est différent : il organise les recours civils, ceux qu'un particulier lésé par une décision algorithmique peut introduire devant un tribunal. La présomption de causalité, le droit à l'accès aux preuves, la charge renversée de la preuve — trois mécanismes qui, combinés, changent radicalement l'équilibre de pouvoir entre les victimes et les opérateurs d'IA.

Personne n'en parle. C'est un tort.

Pourquoi ce texte existe — et ce qu'il règle

La problématique de départ est ancienne dans le droit européen : comment prouver qu'un système d'IA vous a causé un préjudice, quand ce système est une boîte noire dont vous n'avez ni accès au code, ni connaissance des données d'entraînement, ni visibilité sur les poids du modèle ?

Avant la directive, la réponse était simple et brutale : vous ne pouviez pas. Le droit de la responsabilité civile classique, fondé sur la trilogie faute-lien de causalité-préjudice, se heurtait à une impossibilité factuelle systématique. Prouver qu'un algorithme de scoring crédit a discriminé votre dossier, ou qu'un chatbot médical a fourni une information erronée ayant entraîné un dommage, nécessitait un niveau d'expertise et de transparence que les opérateurs n'étaient légalement pas tenus de fournir.

La Directive 2024/2853 résout ce problème par deux mécanismes complémentaires.

Le premier : une présomption de causalité réfragable (article 4). Dès lors qu'une victime démontre (a) que l'opérateur a enfreint une obligation de diligence pertinente, et (b) qu'il est raisonnablement probable que cette faute a causé le dommage, la causalité est présumée. L'opérateur peut renverser cette présomption, mais c'est lui qui porte la charge.

Le second : un droit d'accès aux preuves (article 3). Les juridictions nationales peuvent ordonner la divulgation de preuves pertinentes détenues par l'opérateur, y compris des données de formation, des logs de décision, ou des paramètres de modèle, lorsque la victime a rendu plausible une violation.

Deux mécanismes. Une logique : rééquilibrer une asymétrie d'information structurelle.

La présomption de causalité : anatomie d'un renversement juridique

C'est l'article 4 qui concentre l'essentiel de l'innovation. Pour en saisir la portée, il faut comprendre ce qu'implique un renversement de présomption dans la pratique contentieuse.

Dans le droit commun de la responsabilité, le demandeur prouve tout : la faute, le dommage, et le lien entre les deux. Face à un système IA, ce dernier élément est le plus difficile à établir. Comment démontrer que c'est spécifiquement la décision algorithmique — et non un autre facteur — qui a causé votre préjudice ? La plupart des victimes abandonnaient à ce stade.

Avec l'article 4, la mécanique change. La victime doit désormais démontrer deux choses plus accessibles :

  1. Une violation d'obligation de diligence — c'est-à-dire un manquement aux obligations posées par l'IA Act ou tout autre droit applicable. Le texte est explicite : les obligations de l'IA Act servent de référentiel pour définir ce standard de diligence.

  2. La vraisemblance raisonnable du lien — non plus la certitude, mais la probabilité. Un standard significativement plus faible.

Une fois ces deux éléments établis, l'opérateur doit prouver que son système n'a pas causé le dommage, ou que sa violation n'est pas liée au préjudice. La distinction est fondamentale : la presomption n'est pas irréfragable, elle peut être renversée. Mais le coût d'une défense passive augmente considérablement.

Pour les systèmes IA à risque élevé au sens de l'IA Act — les systèmes de scoring crédit, de tri de CV, de prise de décision médicale — cette présomption s'applique dans toute sa rigueur. Pour les systèmes à faible risque, les tribunaux nationaux disposent d'une marge d'appréciation sur son déclenchement.

L'accès aux preuves algorithmiques : un droit inédit

L'article 3 mérite une lecture séparée. Il institue un mécanisme procédural sans précédent en droit européen : la divulgation forcée de preuves algorithmiques sur ordonnance judiciaire.

La procédure est la suivante : la victime présente à la juridiction une demande d'accès aux preuves détenues par l'opérateur (logs, données d'entraînement, paramètres). Le juge, après vérification du caractère plausible de la demande et de la pertinence des preuves requises, peut ordonner leur production. Si l'opérateur refuse ou produit des preuves incomplètes, le juge peut présumer que les informations non divulguées lui étaient défavorables.

Ce dernier point est crucial. Un opérateur qui refuse de produire les logs de décision de son algorithme de scoring prend le risque que la juridiction en tire une présomption négative à son encontre. Le silence algorithmique devient une arme à double tranchant.

La directive prévoit des garde-fous : les secrets commerciaux sont protégés, et le juge peut ordonner que les preuves soient produites sous forme anonymisée ou auprès d'un expert désigné plutôt que directement à la partie adverse. Mais la transparence algorithmique cesse d'être une option discrétionnaire de l'opérateur pour devenir une obligation conditionnelle à l'exercice d'un droit de défense.

L'articulation avec l'IA Act : les 4 décisions CNIL comme marqueurs

Comprendre la Directive Responsabilité IA sans la replacer dans l'écosystème réglementaire plus large serait une erreur d'analyse. Les deux textes sont conçus pour fonctionner ensemble.

L'IA Act définit les obligations de diligence. La directive les transforme en référentiel de responsabilité civile. Concrètement : si un opérateur a violé une obligation de l'IA Act (documentation, évaluation de conformité, supervision humaine), cette violation devient le premier élément de la présomption de causalité devant un tribunal civil.

Les quatre décisions CNIL de 2025-2026 illustrent la portée pratique de cette articulation :

Décision Montant Violation Présomption directive potentielle
Company W (déc. 2025) 100 000 € Scoring crédit sans évaluation d'impact IA Oui — absence DPIA IA + violation Art. 9 IA Act
Company X (mars 2026) 50 000 € Reconnaissance faciale sans base légale Oui — absence de base légale = violation diligence
Company Y (fév. 2026) 150 000 € Chatbot opaque sur usage de l'IA Partielle — selon système à risque ou non
Company Z (janv. 2026) 250 000 € Profilage discriminatoire recrutement Oui — IA Act + Art. 22 RGPD

Total CNIL 2025-2026 : 550 000 € en sanctions administratives. Ce que la directive ajoute : un droit de recours civil en parallèle ou en supplément pour les victimes individuelles de ces mêmes systèmes.

Ce cumul est parfaitement légal. La sanction CNIL protège l'intérêt général. Le recours civil protège le préjudice individuel. Ce sont deux actions distinctes qui peuvent être intentées simultanément.

La chronologie française : ce qui est déjà applicable

J'ai passé plus de temps que je ne devrais l'admettre à chercher la date exacte de transposition française de la directive 2024/2853. Le résultat est décevant pour les praticiens : la France n'a pas encore transposé le texte.

La directive impose une transposition dans les États membres dans un délai standard de 24 mois. Publiée en novembre 2024, la date limite théorique tombe en novembre 2026. À ce jour (avril 2026), aucun projet de loi de transposition n'a été déposé au Parlement français.

Ce qui ne signifie pas que le texte est sans effet. Deux dimensions restent actives :

L'effet d'anticipation judiciaire : les juridictions françaises, dans des affaires impliquant des systèmes IA causant des dommages, commencent à raisonner en termes de présomption de causalité même en l'absence de loi de transposition. Plusieurs décisions de cours d'appel (non publiées) ont appliqué une logique proche de l'article 4 par voie prétorienne.

Le droit RGPD déjà applicable : l'article 82 RGPD permet déjà d'engager la responsabilité civile d'un responsable de traitement pour dommage lié à une violation du règlement. Pour les systèmes IA traitant des données personnelles — ce qui couvre la très grande majorité des cas pratiques — cette voie existe et a déjà produit des jurisprudences en France.

La directive de 2024 vient compléter ce dispositif RGPD pour les dommages qui ne sont pas directement liés à la protection des données personnelles : dommage physique, dommage économique pur, atteinte à la réputation.

Le régime de responsabilité selon le type de système IA

La directive distingue plusieurs configurations qui ne produisent pas les mêmes effets. C'est là où la nuance devient déterminante pour les entreprises françaises.

Systèmes IA à risque élevé (Annexe III de l'IA Act)

Pour ces systèmes — scoring crédit, tri de CV, décisions médicales, gestion des accès aux services publics — la présomption de causalité s'applique automatiquement dès qu'une violation de l'IA Act est établie. C'est le régime le plus contraignant.

Systèmes IA à risque limité ou faible

Ici, la directive laisse davantage de marge aux juridictions nationales. La présomption peut s'appliquer, mais le juge dispose d'un pouvoir d'appréciation. Les chatbots informatifs, les systèmes de recommandation, les outils de personnalisation entrent généralement dans cette catégorie.

Modèles GPAI (usage général)

Le Règlement délégué GPAI de mars 2026 a précisé les obligations spécifiques des fournisseurs de modèles à usage général — typiquement, les API comme celles proposées par des acteurs non-européens. La directive s'applique en cascade : si un développeur français utilise un modèle GPAI pour construire un service qui cause un dommage, la responsabilité peut remonter jusqu'au fournisseur du modèle si celui-ci a manqué à ses obligations de transparence sur les capacités et limitations du modèle.

Cette chaîne de responsabilité est théoriquement possible mais pratiquement complexe à établir. Le réglement délégué GPAI de mars 2026 impose notamment aux fournisseurs de modèles de documenter les cas d'usage prévus et prévisibles — documentaton qui devient une pièce à conviction potentielle dans un litige au titre de la directive.

Ce que les entreprises françaises doivent anticiper dès maintenant

La non-transposition française ne crée pas de vide total. Les obligations RGPD Article 82 sont actives. Les juridictions raisonnent de plus en plus en termes de présomption de causalité. Et la transposition arrivera, probablement sous forme d'un texte modifiant le Code civil ou le Code de commerce.

Voici les lignes d'action que l'on observe dans les cabinets spécialisés :

Documenter les décisions algorithmiques dès maintenant. La future directive et l'IA Act existant tous deux créent une obligation de traçabilité. Les logs de décision, les paramètres de pondération, les données de formation utilisées — cette documentation sera au cœur de tout litige futur. Les entreprises qui ne l'ont pas construite rétrospectivement ne pourront pas la produire en réponse à une ordonnance judiciaire.

Vérifier la couverture de la documentation d'impact. Company W a payé 100 000 € à la CNIL pour absence d'évaluation d'impact IA sur son scoring crédit. Le même manquement sera le premier élément d'une présomption de causalité devant un tribunal civil si un client lésé attaque. La chaîne sanctions administratives → recours civil est désormais logiquement fermée.

Cartographier les systèmes à risque élevé avec la nouvelle grille d'avril 2026. Les Lignes directrices publiées par l'AI Office en avril 2026 précisent la classification. Un système mal catégorisé — traité comme risque limité alors qu'il relève du risque élevé — expose à la fois à une sanction IA Act et à la présomption maximale de la directive.

Revoir les contrats avec les fournisseurs de modèles. Si votre service repose sur un modèle GPAI tiers, la question de l'allocation de responsabilité entre vous et votre fournisseur doit être contractuellement clarifiée avant que la transposition française ne le rende incontournable.

Une nuance que les commentateurs omettent souvent

La directive ne crée pas un régime de responsabilité sans faute. C'est une confusion fréquente dans les articles de vulgarisation. La présomption de causalité n'implique pas que tout dommage causé par un système IA engage automatiquement la responsabilité de l'opérateur.

La victime doit toujours démontrer une violation d'obligation de diligence. Sans cette première brique, la présomption ne se déclenche pas. Si un opérateur a correctement documenté son système, réalisé son évaluation de conformité, mis en place une supervision humaine adéquate et respecté les obligations de transparence — et que malgré cela un dommage survient — la présomption ne s'applique pas de plein droit.

C'est la nuance fondamentale du texte : la conformité substantielle reste une défense robuste. La directive pénalise le laxisme réglementaire, pas le risque inhérent à l'IA.

Cette distinction a une conséquence pratique pour les entreprises françaises : investir dans la conformité IA Act n'est pas seulement une obligation réglementaire. C'est une protection contre le risque civil. La conformité administrative et la gestion du risque contentieux convergent vers les mêmes documents, les mêmes processus, les mêmes politiques internes.

Articulation avec l'avis CEPD de février 2026

L'avis du CEPD (Comité Européen de la Protection des Données) publié en février 2026 sur l'articulation IA Act et RGPD éclaire une dimension souvent négligée : pour les dommages liés à des données personnelles, les deux régimes — RGPD Article 82 et Directive Responsabilité IA — sont susceptibles de s'appliquer cumulativement.

Le CEPD a précisé que le recours fondé sur l'article 82 RGPD et le recours fondé sur la directive peuvent être intentés conjointement ou alternativement, selon la nature exacte du préjudice. Un scoring discriminatoire traitant des données personnelles peut générer simultanément un dommage couvert par le RGPD (accès illégitime, traitement sans base légale) et un dommage couvert par la directive (décision erronée causant un préjudice économique).

Ce cumul potentiel multiplie les voies de recours pour les victimes et, symétriquement, les expositions pour les opérateurs.

Le tableau de bord pour comprendre la situation en France (avril 2026)

Texte Statut en France Applicabilité actuelle
IA Act (UE 2024/1689) Applicable directement (règlement) Oui — dispositions progressives selon catégorie de risque
RGPD Art. 82 Transposé depuis 2018 Oui — recours civil pour dommage lié aux données personnelles
Directive Resp. IA (2024/2853) Non transposée Partielle — effet anticipatoire jurisprudentiel
Règlement délégué GPAI (mars 2026) Applicable directement Oui — entré en vigueur
Décret national autorité IA (mars 2026) Publié au JO France Oui — désignation de l'autorité nationale de surveillance

Ce que ce texte dit sur la direction du droit européen de l'IA

Une dernière observation, qui dépasse le cadre technique.

La Directive Responsabilité IA de 2024 marque une inflexion importante dans la philosophie réglementaire européenne : le droit de l'IA cesse d'être uniquement un droit de la régulation publique (sanctions CNIL, amende IA Act) pour devenir aussi un droit de la réparation privée. Les victimes d'algorithmes obtiennent des outils juridiques. Le marché du contentieux IA va se développer.

Ce n'est pas un phénomène nouveau en droit européen — la responsabilité du fait des produits défectueux (Directive 85/374/CEE) avait fait de même pour les produits industriels. La directive de 2024 étend cette logique aux produits logiciels complexes.

Pour les quatre entreprises sanctionnées par la CNIL depuis décembre 2025, les 550 000 € d'amendes n'étaient qu'un signal. La vraie exposition juridique — celle qui viendra des recours civils individuels, potentiellement en nombre, une fois la transposition française effective — est d'un ordre de grandeur différent.

Pour évaluer si vos systèmes IA sont exposés au titre de la future transposition française, la checklist conformité IA Act + template DPA disponible gratuitement sur ce site couvre les éléments documentaires clés que la directive identifie comme première ligne de défense.

Pour approfondir l'analyse des sanctions CNIL déjà prononcées et leur logique, voir l'analyse des 4 décisions CNIL 2025-2026 et les tendances de calibrage des amendes. Sur l'articulation RGPD-IA Act plus généralement, le comparatif détaillé des deux régimes de conformité reste la référence sur ce blog.