Je cherche des sources sur les risques de l'IA dans la sécurité des entreprises.

Bonjour,

Vous menez actuellement une recherche sur le cadre juridique lié aux risques de l'Intelligence Artificielle (IA) pour la sécurité des entreprises, sous l'angle du RGPD (règlement général sur la protection des données), du Secret des affaires ou de la responsabilité pénale/civile. 

Vous cherchez ainsi des sources (jurisprudence, textes, doctrine récente, articles de journaux, etc.) sur trois cas de figures : l'IA offensive (espionnage industriel, ingénierie sociale, deepfakes, attaques ciblées), le "Shadow AI" (fuite de données confidentielles lorsque les salariés utilisent des IA génératives pour leur travail quotidien) et l'intégration logicielle (responsabilité juridique liée aux fuites de données via des modules d'IA tiers intégrés dans les outils d'entreprise).

Les cyberattaques font partie du quotidien des entreprises et peuvent avoir des impacts lourds (indisponibilité ou destruction des données, immobilisation des machines informatiques ou industrielles, atteinte à la réputation de la société, etc.) pouvant aller dans le pire cas jusqu’à la cessation d’activité. Plusieurs acteurs clés privés et publics sont ainsi mobiliser pour lutter contre les cybermenaces de tout ordre :

- Le groupement d'intérêt public Cybermalveillance, aussi connue sous le nom de Acyma, aide les entreprises à mieux comprendre ces cybermenaces, à s'y préparer et à les assister en cas de problème. À l’occasion de la publication de son rapport d’activité, le GIP Acyma montre que 15 % des entreprises ont rencontré une cybermenace sur l'année 2024.

- L’Agence nationale de la sécurité des systèmes d’information (ANSSI) est l’autorité nationale en matière de cybersécurité et de cyberdéfense en France. Son action s’inscrit dans le cadre des missions régaliennes de l’État, au service d’un objectif général de politique publique de sécurité et de résilience des administrations, de l’économie et de la société dans son ensemble.

- La DGE (Direction Générale des Entreprises) travaille dans un cadre interministériel, avec l'ANSSI, le GIP Acyma, l'initiative France Num, ou encore les chambres de commerce et d'industrie ou de métiers et d'artisanat, qui toutes ont un rôle à jouer pour aider les entreprises à s'approprier les questions de cybersécurité. Ainsi la DGE accompagne les entreprises dans le mise en œuvre de la directive dite NIS2 de l'Union européenne (directive Network and Information System Security) visant à protéger le patrimoine informationnel des entreprises. 

Aussi nous vous invitons à consulter les ressources sur la cybersécurité publiées par ces différents acteurs :

Panorama de la cybermenace 2023 (ANSSI, 2023)

Memento de cybersécurité à l'attention des PME-TPE (Cybermalveillance.gouv.fr, 2024)

Améliorer la cybersécurité de sa TPE PME : comment s’y prendre ? (France Num, 6 oct. 2025)

La cybersécurité (DGE, 22 oct. 2025)

Si l'IA est un outil majeur pour les entreprises, elle possède également des failles et des risques multiples : les deepfakes, le hameçonage ciblé, les logiciels malveillants polymorphes, la fuite de données confidentielles ou sensibles fournies à un Chatbot par des salariés, la fuite de données à caractère personnelles que les entreprises doivent protéger dans le cadre du RGPD.

Avec le "deep learning" (l'apprentissage profond), les attaques sont plus convaincantes que jamais comme avec les « deepfakes » (une technique de synthèse qui repose sur l’IA et reproduit des modèles de comportement humain) ou le hameçonnage ciblé. L’IA est également mise à profit pour perfectionner les logiciels malveillants en recourant au chiffrement pour masquer leur code, par exemple, rendant la menace difficilement détectable. Les attaquants utilisent même l’IA pour créer des logiciels malveillants « polymorphes » qui modifient en permanence leur code source et réussissent à tromper les logiciels de protection. Les attaques passent au travers des filtres de sécurité classiques. En principe, ces nouvelles menaces devraient être neutralisées grâce à des mécanismes de détection avancée et d’analyse en temps réel du système informatique. En réalité, pour des raisons de coûts, de mise en œuvre, ces dispositifs sont hors de portée pour la majeure partie des petites structures.

Enjeu crucial dans l’ère de l’IA, en particulier avec l’utilisation d’outils publics comme ChatGPT, la protection des données est un point primordial pour les entreprises. En utilisant des outils d’IA générative, les collaborateurs peuvent être tentés de le nourrir avec des données confidentielles pour obtenir un résultat plus précis. Un autre risque concernant l’exploitation des données, en particulier à caractère personnel, est celui de la fuite. Une entreprise qui utilise des données personnelles dans le cadre de son activité est garante de leur sécurisation, selon le RGPD. Il faut donc faire preuve de la plus grande vigilance quant aux fuites de données personnelles. L’utilisation malveillante de ces données grâce à une IA est un risque qu’il faut anticiper et prévenir afin de ne pas être tenu responsable, au regard du RGPD.

Source : L'IA : un enjeu de cybersécurité pour les entreprises (CCI Paris Île-de-France)

Les cybermenaces liées à l'IA peuvent donc engager la responsabilité de l'entreprise ou de son dirigeant dans le cadre de fuite, destruction et vol de données. Dans ce contexte, la politique de sécurité informatique est cruciale pour toute entreprise. Aujourd’hui, la législation tend de plus en plus à vouloir responsabiliser les acteurs économiques. Ainsi, il incombe aux entreprises de se mettre en conformité avec la loi, notamment lorsqu’elles ont une activité sensible pour leurs clients ou co-contractants :

La sécurité des systèmes d’information prend naissance dans l’adoption le 6 juillet 2016 et la transposition en France le 26 février 2018 de la directive « Sécurité des Réseaux et Communication » dite directive NIS 1. Cette directive exige la mise en place d’un niveau élevé de sécurité des réseaux d’information commun à tous les pays de l’Union Européenne. 

Une nouvelle directive NIS 2 déjà adoptée par l’Union Européenne, doit être transposée en France avant octobre 2024. Cette nouvelle directive devrait concerner plus de 10 000 entreprises françaises de toutes tailles, de la PME aux grandes entreprises. Ces structures devront alors se conformer à certaines mesures essentielles de sécurité informatique et ce, sur la totalité de leur système d’information. 

La protection face aux cybermenaces ne s’arrête pas à ces textes, elle doit aussi s’exprimer dans les accords commerciaux de la société : contrats informatiques, d’assistance, de cloud, d’intégration… Notons enfin qu’il est recommandé pour une structure de prendre une assurance cybersécurité à la hauteur du risque qui plane sur celle-ci. Comme rappelé précédemment, une attaque peut être coûteuse et il est important d’avoir conscience du risque inhérent à l’activité pour négocier au mieux une police d’assurance.

Source : Cybersécurité des entreprises : quelles réglementations ?  (CCI Île-de-France)

L'ANSSI, en tant qu'autorité nationale en matière de cybersécurité et de cyberdéfense, pilote la transposition en droit national de la directive NSI et assure sa mise en œuvre. La transposition de la directive a démarré par une phase de préparation du projet de loi, qui a été présenté en Conseil des Ministres le 15 octobre 2024. Vous pouvez consulter le dossier législatif contenant le projet de loi sur le site Légifrance : Projet de Loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité (PRMD2412608L), dernière modification : 24 mars 2025.

Le blog de la plateforme numérique Hunted (agence de recrutement pour les entreprises) a publié : Réglementation et IA en entreprise : ce que vous devez savoir (25 avril 2025) :

Le règlement européen sur l’IA, dit « AI Act », a commencé à entrer en vigueur en février 2025. Son objectif : encadrer les usages à risque, protéger les droits fondamentaux, et responsabiliser les entreprises.

En parallèle, des obligations issues du RGPD, du droit du travail ou encore du dialogue social s’appliquent déjà. L’IA ne peut être utilisée sans précautions. Gouvernance, transparence, éthique, conformité : voici ce que vous devez savoir pour déployer des solutions d’IA de manière responsable.

Dès lors qu’un système d’IA traite des données personnelles, le RGPD s’applique. Cela implique notamment :

- L’obligation d’informer les personnes concernées (salariés, candidats, clients) sur le traitement de leurs données ;
- La nécessité d’obtenir un consentement explicite si la finalité du traitement change ;
- La mise en place de mesures de sécurité appropriées pour protéger les données (pseudonymisation, traçabilité, limitation de conservation…).

Le règlement IA renforce ce cadre en imposant davantage de transparence sur les systèmes dits « à haut risque ». C’est notamment le cas des IA utilisées pour le recrutement, l’évaluation des collaborateurs ou l’accès à un service public.

L’IA et la non-discrimination
L’IA n’est pas neutre : elle reproduit les biais présents dans les données avec lesquelles elle a été entraînée. En entreprise, cela peut avoir des conséquences graves en matière d’égalité de traitement, notamment lors du recrutement ou des promotions.

Des dérives ont déjà été documentées : exclusion de CV féminins, surreprésentation de certains prénoms, notation sociale implicite… Pour limiter ces risques, il est essentiel de choisir des outils audités et validés, d’évaluer leur impact sur les droits fondamentaux et, bien sûr, de conserver une supervision humaine à chaque étape clé.

AI Act : le règlement européen sur l’intelligence artificielle

Le règlement européen sur l’IA (UE 2024/1689) classe les systèmes d’IA en quatre niveaux de risque. Ceux jugés « inacceptables » sont interdits depuis le 2 février 2025 : manipulation subliminale, notation sociale, reconnaissance d’émotions au travail…

Dès 2026, les IA « à haut risque » seront soumises à des obligations strictes : évaluation de conformité, documentation détaillée, enregistrement dans un registre européen, contrôle humain permanent.

Des bacs à sable réglementaires verront également le jour à cette date pour permettre aux entreprises, en particulier les PME, de tester leurs outils en conditions réelles, sous supervision. Ce cadre sécurisé offre plus de souplesse pour innover tout en restant dans les clous de la réglementation.

Cadrage des outils de recrutement
L’IA peut faciliter le tri des candidatures, automatiser les entretiens, ou prédire la performance future. Mais ces usages sont encadrés. L’article 22 du RGPD garantit le droit à ne pas faire l’objet d’une décision entièrement automatisée. Concrètement, cela signifie que :

Les candidats doivent être informés si l’IA intervient dans le processus ;
Une vérification humaine doit pouvoir intervenir à chaque étape critique ;
L’entreprise doit être en mesure d’expliquer les critères retenus.

L'accompagnement des collaborateurs face à l’IA
Introduire l’IA sans former les équipes est un pari risqué. Toute solution IA qui modifie les conditions de travail doit faire l’objet d’une consultation des représentants du personnel. Le Code du travail impose également une obligation d’adaptation des salariés à leur poste. Ainsi, les entreprises doivent sensibiliser les collaborateurs aux usages de l’IA, organiser des formations ciblées, et fournir des ressources pédagogiques claires. L’accompagnement est un levier de performance… mais aussi de prévention des risques juridiques et humains.

Contrôle et audit
Pour rester conforme, un système d’IA doit être audité régulièrement. Cela concerne aussi bien la performance que les biais ou la sécurité des données.

Les entreprises doivent donc mettre en place :

Un processus d’évaluation des outils utilisés ;
Des audits internes ou externes ;
Une supervision régulière des résultats et des anomalies détectées.
Dans le cadre du règlement IA, des obligations de traçabilité et de transparence s’appliqueront aussi aux sous-traitants ou éditeurs.

[...]

À partir de 2025, le règlement IA impose aux entreprises de former leur personnel à l’IA « dans la mesure du possible ».

[...]
Les autorités compétentes (CNIL, Défenseur des droits, DGCCRF) peuvent être saisies en cas de non-respect [des lois en vigeur].

La loi du 3 mars 2022 n°2022-309 instaure l’obligation de réaliser un audit de cybersécurité pour les grandes plateformes numériques à compter du 1er octobre 2023. Cette nouvelle obligation concerne les grandes plateformes numériques utilisées par le grand public dont l’activité exercée dépasse un ou plusieurs seuils qui seront définis par décret :

Les entreprises concernées par cette nouvelle obligation devront : 

effectuer le diagnostic de cybersécurité par des prestataires d'audit qualifiés et agréés par l’ANSSI (Agence nationale de la sécurité des systèmes d’information) ;

présenter le résultat de l’audit de cybersécurité au consommateur de façon lisible, claire et compréhensible, accompagné d’un cyber score en couleurs prenant en compte les différents niveaux de sécurité du site. 
 

L’entreprise concernée par cet audit de cybersécurité et qui manque à ses obligations sera passible d’une amende administrative prononcée par la direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) dont le montant ne peut excéder :

75 000 € pour une personne physique ;
375 000 € pour une personne morale.

Source : Plateformes en ligne : la réalisation d'un audit de cybersécurité (CCI Île-de-France, 22 avril 2022)

Le nouveau règlement général sur la protection des données (RGPD) a modifié les principes de la loi informatique et libertés (Loi 78-17 du 6 janvier 1978) et est entré en vigueur le 25 mai 2018. Il s'applique aux traitements de données à caractère personnel au travers de bases de données. Ce nouveau règlement européen renforce le contrôle par les citoyens de l’utilisation qui peut être faite de leurs données personnelles tout en permettant aux professionnels de développer leurs activités numériques au sein de l’Union européenne. 

En cas de méconnaissance de la législation relative au traitement des données personnelles, le CNIL peut prononcer des mesures allant de la mise en demandeur de RT à l’amende administrative d’un montant de 20 millions d’euros ou 4 % du chiffre d’affaires. Ces sanctions peuvent être rendues publiques.

A titre d’exemple, la CNIL a requis : 

une amende de 50 millions €  à Google ;
des sanctions régulières pour violation des obligations de sécurité informatique et protection des données personnelles, d’un montant oscillant entre 30 000 à 400 000 euros.  
Important : Les procédures de mise en demeure et de sanctions ont été récemment modifiées et renforcées.

Ces nouvelles règles permettent à la  CNIL de sanctionner plus rapidement des petits manquements au RGPD ou à la loi informatique et liberté et d’adapter les mesures en fonction de la gravité du manquement constaté.

Concernant la procédure de mise en demeure, la CNIL peut désormais: 

effectuer un simple rappel des obligations incombant au RT ; 
enjoindre le mis en demeure de fournir des éléments demandés par la CNIL sous peine d’une injonction sous astreinte de 100 euros maximum par jour de retard. 
Concernant la nouvelle procédure simplifiée de sanctions, la CNIL peut désormais prononcer une amende pouvant atteindre jusqu’à 20 000 euros pour les affaires de faible gravité.

Les entreprises doivent donc redoubler de vigilance quant à la protection des données personnelles collectées. 

[...]
Par ailleurs, la CNIL effectue des contrôles réguliers de respect de la législation relative aux données personnelles auprès de l’ensemble des entreprises qui traitent de ce type de données.

Source : Le Règlement général sur la protection des données (RGPD) : de quoi parle-t-on ? (CCI Île-de-France, 12 mai 2022)

Vous pouvez lire aussi Le règlement général sur la protection des données (RGPD), mode d’emploi (Bercy infos entreprise, 7 août 2025)

Concernant l'"IA Act", vous pouvez lire le règlement publié au Journal Officiel de l'Union européenne (JOUE). Ce Réglement européen pour l'IA (RIA) propose une approche fondée sur les risques en classant les systèmes d’IA en quatre niveaux. Par ailleurs, le RIA encadre aussi une nouvelle catégorie de modèles dits à usage général, notamment dans le domaine de l’IA générative. Pour cette catégorie, le RIA prévoit plusieurs niveaux d’obligation, allant de mesures de transparence et de documentation minimales (article 53) à une évaluation approfondie et la mise en place de mesures d’atténuation des risques systémiques que certains de ces modèles pourraient comporter, notamment en raison de leur puissance : risques d’accidents majeurs, d’utilisation à mauvais escient pour lancer des cyberattaques, la propagation de biais préjudiciables (relatifs à l’appartenance ethnique ou au genre par exemple) et aux effets discriminatoires à l’encontre de certaines personnes, etc. Le RIA ne remplace pas les exigences du RGPD mais a pour but de les compléter en posant les conditions requises pour développer et déployer des systèmes d’IA de confiance. 

La loi européenne sur l'IA stipule que toutes les parties impliquées dans l'application du règlement doivent respecter la confidentialité des informations et des données qu'elles obtiennent. Cela inclut la protection des droits de propriété intellectuelle et des secrets commerciaux. Lire à ce sujet l'article 78 Confidentialité de l'IA Act.

La responsabilité civile et pénale des entreprises qui utilisent l’IA est un sujet complexe :

Selon le principe général de responsabilité, toute personne qui cause un dommage à autrui est tenue de le réparer. Cependant, appliquer ce principe aux situations impliquant l’IA est loin d’être simple. Par exemple, si un système d’IA commet une erreur qui cause un dommage, qui est responsable ? Est-ce l’entreprise qui a utilisé le système d’IA, le développeur de l’IA, ou l’IA elle-même ? En l’état actuel de la législation, il est probable que la responsabilité incombe à l’entreprise qui a utilisé l’IA, à condition qu’il puisse être prouvé qu’elle a fait preuve de négligence ou qu’elle a commis une faute.

[...]

La responsabilité pénale liée à l’usage de l’IA est une autre question délicate. En théorie, une entreprise pourrait être tenue responsable pénalement si elle utilise une IA d’une manière qui enfreint la loi, comme par exemple en utilisant une IA pour commettre une fraude. Cependant, il peut être difficile de prouver l’intention criminelle, qui est un élément clé de la responsabilité pénale, dans le cas de l’IA. Par ailleurs, la question se pose de savoir si les dirigeants de l’entreprise peuvent être tenus personnellement responsables des actions de l’IA, ce qui soulève des questions de responsabilité des dirigeants et de corporate governance.

Source : Le droit des affaires à l’ère de l’IA : implications juridiques de l’intelligence artificielle dans les affaires (Village de la Justice, 15 mai 2023)

En conclusion, l'article IA et entreprises : les nouveaux pièges juridiques qui menacent en 2025 (Par Maître KAYEMBE, Avocat, publié le 24/08/2025) résume bien les risques juridiques liés à l'IA, encourus par les entreprises :

L'IA est un levier de compétitivité évident, mais chaque usage peut exposer l'entreprise à un risque juridique.

Le premier concerne la conformité au règlement (UE) 2024/1689, dit AI Act. Les systèmes d'IA " à haut risque " (finance, santé, recrutement, infrastructures critiques) sont soumis à des obligations lourdes : documentation technique, gestion des risques, traçabilité, supervision humaine et robustesse des algorithmes. À défaut, l'entreprise s'expose à des sanctions financières qui pourront atteindre des millions d'euros.

Vient ensuite le terrain glissant de la responsabilité civile et pénale. Si une IA cause un dommage – erreur de diagnostic médical, décision discriminatoire en matière d'embauche, accident industriel – la responsabilité de l'entreprise pourra être recherchée. Le droit européen prépare d'ailleurs une directive facilitant la preuve pour les victimes : en cas de manquement au devoir de vigilance, le lien de causalité entre l'usage de l'IA et le dommage pourra être présumé. Les dirigeants devront donc démontrer qu'ils ont correctement surveillé, encadré et paramétré leurs outils.

La conformité RGPD constitue un autre champ de vigilance. L'IA manipule souvent des données personnelles, et l'article 22 du règlement consacre le droit de ne pas faire l'objet d'une décision exclusivement automatisée produisant des effets juridiques. L'entreprise devra donc intégrer une intervention humaine et garantir aux personnes concernées la possibilité de contester la décision. Enfin, la cybersécurité devient incontournable : une faille dans un système d'IA peut entraîner non seulement des pertes financières mais aussi une mise en cause de la responsabilité de l'entreprise.

Le site Lefebvre Dalloz propose les ressources suivantes :

Autres ressources Web susceptibles de vous intéresser :

L'intelligence artificielle au travail. Accompagner et sécuriser les initiatives collaborateurs (FERGUSON, Yann, 06/2025. En ligne : Rapport et synthèse)

Shadow IA en entreprise : menace invisible pour l’IA ACT et le business (Rémy Bozonnet sur le site Adequacy.com)

Concernant la législation européenne et mondiale :

Parcourir le paysage législatif en matière d'IA (Site DNV) 

Et des documents issus de nos collections :

Droit de l'intelligence artificielle [Livre] : cadre juridique, enjeux, AI act, responsabilité, éthique, SIA / Sabine Marcellin, 2025

Intelligence artificielle, le cadre juridique européen de l'IA [Livre] : l'analyse de l'acte sur l'IA et des régulations connexes : 19 fiches pour décrypter le corpus juridique le plus ambitieux en matière d'IA, de ses enjeux aux principales règles applicables / Aurélie Banck, 2024

Droit de l'intelligence artificielle [Livre] / Lêmy Godefroy, 2025

Quand l'intelligence artificielle révolutionne la droit [Livre] : opportunités et défis / Jean-Michel Rodriguez, 2025

Guide de l'IA en entreprise [Livre] : manuel de survie pour les PME / Luc Truntzlet, Jean-François Deldon ; préface par Matthieu Heslouin, 2024

Comprendre l'intelligence artificielle [Livre] : concepts, usages et enjeux / sous la coordination de Vincent Guigue et Laure Soulier, 2025

Peut-on manager l'IA ? [Livre] : comment bien travailler avec l'intelligence artificielle / Roland Robeveille, Michelle Veyssière, 2024

Guide pratique de l'intelligence artificielle dans l'entreprise [Livre] : après ChatGPT : créer de la valeur, augmenter la performance / Stéphane Roder ; préface de Luc Julia ; avec la collaboration de Côme Chatagnon, 2024

Bonnes poursuites dans vos recherches !