Votre entreprise utilise l'API de ChatGPT : qui est responsable des réponses de l'IA ?

Intelligence artificielle
Written By Antoine Lefort

Un cas concret pour comprendre

En 2022, un passager canadien consulte le site web d'Air Canada pour réserver un vol à l'occasion des funérailles de sa grand-mère. Le chatbot de la compagnie, alimenté par un modèle d'IA, lui indique qu'il peut bénéficier d'une réduction tarifaire liée au deuil, et l'invite à demander un remboursement partiel après son vol. Le passager achète son billet, voyage, puis demande le remboursement promis. Air Canada refuse, au motif que le tarif deuil n'existe pas sous la forme décrite par le chatbot. L'entreprise soutient devant le tribunal que le chatbot est une « entité distincte » dont elle ne saurait être tenue responsable.

Le tribunal ne l'a pas entendu de cette manière et a condamné Air Canada à rembourser le passager, en soulignant la nécessité pour les entreprises de mieux former et contrôler leurs outils d'intelligence artificielle.

Cette affaire, jugée en Colombie-Britannique, n'est pas directement transposable en droit français. Mais elle illustre avec une clarté redoutable la question centrale que doivent se poser toutes les entreprises qui déploient des outils d'IA en contact avec le public : qui est responsable des sorties de l'IA ?

Le cadre européen : fournisseur et déployeur, deux statuts, deux responsabilités

Le règlement européen sur l'intelligence artificielle (règlement UE 2024/1689, dit AI Act), applicable progressivement depuis le 1er août 2024, structure la répartition des responsabilités autour de deux statuts distincts.

Le fournisseur est l'entité qui développe et met sur le marché un système d'IA. OpenAI, Anthropic, Mistral, Google sont des fournisseurs de modèles d'IA à usage général (GPAI). Ils sont soumis à des obligations de documentation technique, de transparence et de respect du droit d'auteur depuis le 2 août 2025.

Le déployeur est l'entité qui utilise un système d'IA dans un contexte professionnel. Une entreprise utilisant un outil d'IA tiers en contexte professionnel est déployeur au sens de l'AI Act. Elle doit respecter les instructions du fournisseur, informer les utilisateurs finaux de l'usage de l'IA, assurer un contrôle humain sur les décisions significatives et former ses équipes à la maîtrise de l'IA. aiacto

La distinction est décisive. L'entreprise qui intègre l'API de ChatGPT dans son site web pour gérer la relation client ne devient pas fournisseur du modèle. Mais elle est déployeuse du système, et c'est à ce titre qu'elle porte la responsabilité de ce que l'IA dit à ses clients.

Attention à la requalification en fournisseur

La frontière entre déployeur et fournisseur n'est pas étanche. Si votre entreprise ré-entraîne (fine-tune) un modèle open-source pour un usage à haut risque, elle peut être requalifiée comme fournisseur et endosser une responsabilité légale complète. Sigma Informatique

Cette requalification emporte des conséquences considérables :

  • documentation technique,

  • évaluation de conformité,

  • marquage CE pour les systèmes à haut risque,

  • traçabilité des données d'entraînement,

  • gestion des risques.

Une entreprise qui pensait simplement « adapter » un modèle existant peut se retrouver soumise aux obligations les plus lourdes du règlement.

Le droit français : un cadre de responsabilité déjà opérant

Sans même attendre l'application complète de l'AI Act, le droit français offre d'ores et déjà plusieurs fondements de responsabilité.

En droit français, les entreprises sont responsables à l'égard des consommateurs des informations fausses, trompeuses ou erronées qu'elles véhiculent. Elles peuvent donc être condamnées au titre de pratiques commerciales trompeuses si leur chatbot fait état d'informations trompeuses qui causent un préjudice à un consommateur.

Au-delà du droit de la consommation, la responsabilité contractuelle (article 1231-1 du Code civil) peut être engagée lorsque le chatbot fournit à un client une information erronée dans le cadre d'une relation contractuelle (conseil inadapté, engagement tarifaire incorrect, indication de délai fausse). La responsabilité du fait des choses (article 1242, alinéa 1er du Code civil) pourrait également être mobilisée, le chatbot étant analysé comme une « chose » dont l'entreprise a la garde.

Le RGPD : une couche supplémentaire

Le RGPD s'applique pleinement aux traitements de données personnelles opérés par les systèmes d'IA. La CNIL est particulièrement vigilante sur le principe d'exactitude : si un chatbot génère une information fausse concernant une personne réelle (client ou salarié), c'est une violation de l'article 5 du RGPD.

Les modèles d'IA générative étant structurellement sujets aux hallucinations, c'est-à-dire à la production d'informations fausses mais formulées avec assurance, le risque de violation du principe d'exactitude est particulièrement élevé dès lors que le système traite des données personnelles.

La directive produits défectueux : un régime de responsabilité sans faute en approche

La directive (UE) 2024/2853 sur la responsabilité du fait des produits défectueux, adoptée le 23 octobre 2024 et applicable aux produits mis sur le marché à compter du 9 décembre 2026, modernise les règles de responsabilité pour les produits à l'ère numérique en étendant la notion de « produit » aux logiciels et aux systèmes d'IA. Le texte prévoit un allègement de la charge de la preuve pour les victimes dans les cas complexes impliquant des technologies innovantes. Mathias AvocatsMathias Avocats

En revanche, la proposition de directive sur la responsabilité civile extracontractuelle spécifiquement dédiée à l'IA (COM/2022/496) a été retirée par la Commission européenne en février 2025, laissant un vide juridique partiel dans le cadre réglementaire européen de l'IA. Sans harmonisation européenne sur la responsabilité pour faute en matière d'IA, chaque État membre appliquera ses propres règles nationales, avec le risque d'une fragmentation juridique. DDG

Que faire concrètement ?

Pour une entreprise qui déploie un chatbot ou tout autre système d'IA en contact avec ses clients, plusieurs mesures de sécurisation s'imposent.

Premièrement, informer les utilisateurs qu'ils interagissent avec une IA. Cette obligation de transparence, prévue à l'article 50 de l'AI Act, sera pleinement applicable au 2 novembre 2026. Rien n'empêche de l'anticiper dès maintenant.

Deuxièmement, mettre en place un contrôle humain effectif. Les sorties de l'IA doivent être supervisées, en particulier lorsqu'elles portent sur des engagements contractuels, des informations tarifaires, des données personnelles ou des conseils susceptibles d'influencer une décision du client.

Troisièmement, documenter les limites du système. Le chatbot doit être programmé pour signaler ses propres limites, renvoyer vers un interlocuteur humain lorsque la question dépasse son périmètre, et ne jamais prendre d'engagement au nom de l'entreprise sans validation.

Quatrièmement, rédiger une charte IA interne encadrant les usages autorisés, les types de données pouvant être traités, et les responsabilités de chaque intervenant.

Cinquièmement, sécuriser les relations contractuelles avec le fournisseur de l'API (conditions d'utilisation, garanties, répartition des responsabilités, clauses de conformité AI Act et RGPD).

Le mot de la fin

L'IA ne supprime pas la responsabilité. Elle la déplace, la complexifie et, dans certains cas, l'aggrave. Le fait d'utiliser un modèle développé par un tiers ne transfère pas la responsabilité au fournisseur de l'API. L'entreprise qui met un outil d'IA entre les mains de ses clients reste, en droit français comme en droit européen, responsable de ce que cet outil produit.

La sécurité juridique, ici comme en urbanisme, se construit en amont.

Antoine Lefort
Previous

Régularisation d'un permis de construire : le terrain est devenu inconstructible, le projet peut-il survivre ?
Next

Loi Huwart du 26 novembre 2025 : ce qui change concrètement pour le contentieux de l'urbanisme