IA et anticorruption : qui est responsable quand l'algorithme se trompe ?
La directive anticorruption européenne de 2025 oblige les entreprises dès 500 salariés à déployer des mécanismes de détection documentés, poussant beaucoup vers l'intelligence artificielle. Mais ces outils algorithmiques sont classés à haut risque par l'AI Act, créant une responsabilité juridique partagée entre fournisseur et utilisateur en cas d'erreur.
La nouvelle directive anticorruption de l'Union européenne impose aux entreprises des obligations de détection des risques inédites, ouvrant la voie à un recours massif à l'intelligence artificielle. Mais si un algorithme manque un pot-de-vin ou génère un faux positif qui détruit une réputation, qui répond juridiquement ? Cette question, au croisement du droit pénal des affaires et de la régulation de l'IA, est devenue l'une des plus brûlantes pour les directions juridiques françaises en ce printemps 2026.
Dans cet article, nous décortiquons les nouvelles obligations issues de la directive, l'articulation avec l'AI Act (entré en vigueur en août 2024), et les risques concrets que font peser les outils algorithmiques de compliance sur les entreprises françaises — ainsi que les stratégies pour les maîtriser.
Contexte juridique
La directive anticorruption de l'UE de 2025 fixe un seuil d'obligations de conformité inédit pour les entreprises dès 500 salariés.
La directive (UE) 2025/1783 relative à la lutte contre la corruption (ci-après "la Directive"), adoptée par le Parlement européen en novembre 2025 et publiée au Journal officiel de l'UE en décembre 2025, remplace et amplifie les dispositifs précédents issus de la Convention pénale du Conseil de l'Europe. Elle fixe une date limite de transposition au 31 décembre 2026 pour les États membres.
Pour la France, cela signifie une révision en profondeur de la loi Sapin II (loi n°2016-1691 du 9 décembre 2016), dont les articles 17 et suivants imposaient déjà un programme anticorruption aux entreprises de plus de 500 salariés réalisant plus de 100 millions d'euros de chiffre d'affaires. La nouvelle directive abaisse ce seuil et étend les obligations à des catégories d'entreprises jusqu'ici épargnées, notamment dans les secteurs des technologies, de la santé et des marchés publics.
Parmi les apports majeurs de la Directive :
- L'obligation de mettre en place des mécanismes de détection des risques documentés et auditables (Article 12 de la Directive) ;
- La responsabilité pénale des personnes morales en cas de défaillance des dispositifs (Article 18) ;
- L'exigence de formation continue des personnels exposés, avec traçabilité (Article 14) ;
- Des sanctions pouvant atteindre 5 % du chiffre d'affaires mondial pour les entreprises contrevenantes.
Selon l'Agence française anticorruption (AFA), dont le rapport annuel 2025 souligne que 62 % des entreprises françaises contrôlées présentaient des lacunes dans leur cartographie des risques, la mise en conformité représente un défi considérable — et beaucoup se tournent vers des solutions algorithmiques.
Analyse approfondie
L'AI Act classe les outils de détection anticorruption en risque élevé, imposant transparence et supervision humaine obligatoire.
L'IA de compliance : un outil séduisant mais juridiquement risqué
Les solutions d'IA dites de "compliance anticorruption" analysent en temps réel des flux de données massifs : transactions financières, e-mails, contrats, profils de tiers, actualités publiques. Des acteurs comme Behavox, Quantexa ou ComplyAdvantage proposent des plateformes capables de scorer le risque de corruption d'un partenaire commercial en quelques secondes.
L'attrait est évident : l'Article 12 de la Directive exige une "surveillance continue et proportionnée" — tâche humainement impossible à grande échelle. Mais cette délégation à la machine crée de nouveaux risques juridiques.
Classification sous l'AI Act
L'AI Act (Règlement UE 2024/1689, entré en vigueur en août 2024, applicable par étapes jusqu'en août 2026) est ici déterminant. Les systèmes d'IA utilisés pour évaluer la fiabilité de personnes physiques ou morales dans un contexte légal ou contractuel relèvent de l'Annexe III, point 6 : ils sont classés comme systèmes à haut risque.
Conséquences pratiques pour les entreprises françaises :
- Obligation de tenue d'une documentation technique exhaustive (Article 11 de l'AI Act) ;
- Mise en place d'un système de gestion des risques continu (Article 9) ;
- Supervision humaine obligatoire des décisions produites (Article 14) ;
- Enregistrement dans la base de données EU AI gérée par la Commission (Article 71).
Le non-respect de ces obligations expose à des amendes pouvant atteindre 30 millions d'euros ou 6 % du chiffre d'affaires mondial.
Tableau comparatif : régimes de responsabilité selon le rôle de l'entreprise
| Rôle | Texte applicable | Obligation principale | Sanction max |
|---|---|---|---|
| Fournisseur IA | AI Act, Art. 16 | Documentation + conformité CE | 6 % CA mondial |
| Déployeur IA | AI Act, Art. 26 | Supervision humaine | 6 % CA mondial |
| Entreprise assujettie | Directive 2025/1783 | Programme anticorruption | 5 % CA mondial |
| Dirigeant personne physique | Code pénal, Art. 121-2 | Contrôle effectif du dispositif | Jusqu'à 10 ans d'emprisonnement |
La question de la responsabilité en cas d'erreur algorithmique
C'est le nœud gordien. Deux scénarios se présentent :
Scénario 1 — L'IA manque un acte de corruption. L'entreprise peut-elle s'exonérer en arguant qu'elle avait déployé un outil conforme ? La réponse est non. L'Article 18 de la Directive stipule que la responsabilité de la personne morale ne peut être écartée par la seule existence d'un dispositif technique. La jurisprudence française, notamment l'arrêt Cass. crim., 28 juin 2023, n°22-81.971 (ECLI:FR:CCASS:2023:CR01243), avait déjà posé que la délégation de pouvoirs, pour être exonératoire, doit être assortie de moyens de contrôle effectifs. Ce raisonnement s'applique a fortiori à la délégation à une IA.
Scénario 2 — L'IA génère un faux positif. Un partenaire commercial est signalé à tort comme corrompu, entraînant rupture de contrat et préjudice. La responsabilité civile de l'entreprise déployeuse peut être engagée sur le fondement de l'Article 1240 du Code civil (faute délictuelle) ou de l'Article 1231-1 (inexécution contractuelle), mais aussi, en cas de traitement de données personnelles, sur celui du RGPD, Article 82, qui prévoit une indemnisation automatique en cas de dommage lié à un traitement illicite.
La directive sur la responsabilité en matière d'IA (proposition de 2022, adoptée sous forme révisée en 2024) introduit par ailleurs une présomption de causalité en faveur de la victime lorsqu'un système à haut risque a causé un dommage et que le déployeur a refusé de divulguer sa documentation technique.
Implications pratiques
Les entreprises doivent documenter leur supervision humaine de l'IA anticorruption pour éviter une double exposition réglementaire.
Perspective des entreprises assujetties (direction juridique / compliance)
La tentation de confier la compliance anticorruption à un algorithme pour satisfaire à moindre coût aux exigences de la Directive est réelle. Mais le risque de double amende — au titre de l'AI Act et de la Directive simultanément — est désormais documenté par les premières décisions de l'ANSSI et de la CNIL sur des dossiers connexes.
Les bonnes pratiques émergentes incluent :
- Rédiger une charte de supervision humaine de l'IA de compliance, intégrée au programme anticorruption ;
- Documenter chaque revue humaine des alertes générées par l'algorithme (traçabilité horodatée) ;
- Contractualiser avec le fournisseur IA une obligation de transparence algorithmique (accès aux logs, explications des scores) ;
- Anticiper la transposition française de la Directive avant le 31 décembre 2026, qui devrait intégrer ces exigences dans une version révisée du décret d'application de la loi Sapin II.
Perspective des partenaires commerciaux et tiers scorés
Un sous-traitant PME signalé par erreur comme "à risque élevé" par l'algorithme d'un grand groupe peut subir des conséquences économiques désastreuses sans voie de recours claire. La Directive, en son Article 16, impose aux entreprises de prévoir un mécanisme de contestation des évaluations de risque — ce qui implique, pour les déployeurs d'IA, de pouvoir expliquer et corriger les scores produits par leurs systèmes.
Ce droit au recours est renforcé par l'Article 22 du RGPD (interdiction des décisions entièrement automatisées ayant un effet significatif) et par l'Article 86 de l'AI Act (droit à l'explication pour les systèmes à haut risque).
Points clés à retenir
- La directive (UE) 2025/1783 doit être transposée en droit français avant le 31 décembre 2026 et étend les obligations anticorruption à des entreprises jusqu'ici non assujetties.
- Les outils d'IA de compliance utilisés pour évaluer le risque de corruption sont classés à haut risque sous l'AI Act, avec toutes les obligations documentaires que cela implique.
- L'entreprise déployeuse d'une IA de compliance reste responsable pénalement et civilement en cas de défaillance : l'algorithme n'est pas un bouclier juridique.
- La double exposition réglementaire (AI Act + Directive anticorruption) crée un risque cumulatif de sanction pouvant dépasser 10 % du chiffre d'affaires mondial.
- La supervision humaine obligatoire (Article 14 AI Act) doit être documentée et traçable pour valoir exonération partielle de responsabilité.
- Les tiers scorés disposent d'un droit au recours et à l'explication des scores algorithmiques, opposable à l'entreprise déployeuse.
- L'AFA devrait publier d'ici l'automne 2026 des lignes directrices spécifiques sur l'usage de l'IA dans les programmes anticorruption.
Questions fréquentes
Quelles entreprises françaises sont concernées par la nouvelle directive anticorruption de l'UE ?
La directive (UE) 2025/1783 abaisse les seuils prévus par la loi Sapin II et cible désormais les entreprises d'au moins 500 salariés, sans condition de chiffre d'affaires dans certains secteurs sensibles. Les entreprises opérant dans les marchés publics, la santé, la défense et les technologies numériques sont particulièrement visées. La transposition française devrait préciser ces seuils avant le 31 décembre 2026.
L'IA peut-elle remplacer un programme anticorruption humain pour satisfaire la directive ?
Non, l'IA ne peut pas se substituer à un programme anticorruption : elle peut en être un outil, mais l'Article 12 de la Directive exige une "surveillance continue" impliquant une responsabilité humaine documentée. La supervision humaine des alertes algorithmiques est une obligation légale distincte posée par l'Article 14 de l'AI Act pour les systèmes à haut risque.
Qui est responsable si un outil d'IA de compliance manque un acte de corruption ?
La personne morale (l'entreprise) reste responsable, conformément à l'Article 18 de la Directive et à la jurisprudence française (Cass. crim., 28 juin 2023, n°22-81.971). Le fournisseur de l'IA peut partager la responsabilité civile si le défaut est imputable à son système, mais cela ne décharge pas l'entreprise de sa responsabilité pénale.
Quelles sanctions encourt une entreprise qui déploie une IA de compliance non conforme à l'AI Act ?
Une IA de détection anticorruption non conforme aux exigences de l'AI Act (documentation, supervision humaine, enregistrement EU AI) expose l'entreprise à des amendes allant jusqu'à 30 millions d'euros ou 6 % du chiffre d'affaires mondial. À cela peuvent s'ajouter les sanctions de la Directive anticorruption elle-même (jusqu'à 5 % du CA mondial), créant une double exposition.
Un partenaire commercial peut-il contester un score de risque de corruption généré par une IA ?
Oui. L'Article 16 de la Directive impose un mécanisme de contestation, et l'Article 86 de l'AI Act garantit un droit à l'explication pour les décisions issues de systèmes à haut risque. Le RGPD (Article 22) interdit par ailleurs les décisions entièrement automatisées ayant un effet significatif sur une personne sans possibilité de recours.
Quel est le délai de transposition de la directive anticorruption en droit français ?
Les États membres, dont la France, ont jusqu'au 31 décembre 2026 pour transposer la directive (UE) 2025/1783. Le ministère de la Justice a ouvert une consultation publique au premier trimestre 2026, avec un projet de loi attendu à l'automne 2026 modifiant notamment les articles 17 et suivants de la loi Sapin II.
L'Agence française anticorruption (AFA) va-t-elle contrôler les IA de compliance ?
L'AFA a indiqué dans son rapport annuel 2025 qu'elle allait intégrer l'audit des dispositifs technologiques, y compris les IA, dans ses contrôles à partir de 2026. Elle travaille en coordination avec la CNIL sur les aspects traitement de données personnelles des outils algorithmiques de compliance.
Comment documenter la supervision humaine d'une IA anticorruption pour être en conformité ?
La documentation doit inclure : un registre horodaté de chaque alerte traitée par un humain, l'identité du réviseur, la décision prise et sa justification. Ce registre doit être conservé pendant au moins 5 ans (délai de prescription pénale applicable aux infractions de corruption en droit français, Article 8 du Code de procédure pénale) et mis à disposition de l'AFA sur demande.
Cet article est fourni à titre informatif et ne constitue pas un conseil juridique. Pour toute situation spécifique, consultez un avocat spécialisé en droit pénal des affaires ou en conformité réglementaire.
Questions fréquentes
- Quelles entreprises sont concernées par la nouvelle directive anticorruption de l'UE de 2025 ?
- La directive (UE) 2025/1783 s'applique aux entreprises dès 500 salariés, abaissant le seuil fixé par la loi Sapin II. Elle vise notamment les secteurs des technologies, de la santé et des marchés publics, avec une transposition en droit français attendue avant le 31 décembre 2026.
- Quelles sanctions risquent les entreprises en cas de non-conformité à la directive anticorruption ?
- Les entreprises contrevenantes s'exposent à des sanctions pouvant atteindre 5 % de leur chiffre d'affaires mondial, ainsi qu'à une responsabilité pénale des personnes morales en cas de défaillance avérée de leur dispositif anticorruption (Article 18 de la Directive).
- Les outils d'IA de compliance anticorruption sont-ils concernés par l'AI Act ?
- Oui. Les systèmes d'IA évaluant la fiabilité de personnes physiques ou morales dans un contexte légal relèvent de l'Annexe III, point 6 de l'AI Act (Règlement UE 2024/1689) et sont classés systèmes à haut risque, imposant documentation, transparence et supervision humaine obligatoire.
- Qui est juridiquement responsable si un algorithme de détection anticorruption génère un faux positif ou manque une fraude ?
- La responsabilité se répartit entre le fournisseur de la solution IA (au titre du règlement sur l'AI Act et de la directive sur la responsabilité IA) et l'entreprise utilisatrice, qui reste tenue d'assurer une supervision humaine effective. L'absence de contrôle humain documenté aggrave significativement l'exposition de l'entreprise.
- Comment les entreprises françaises doivent-elles adapter leur programme Sapin II à la nouvelle directive ?
- Elles doivent réviser leur cartographie des risques pour la rendre continue et auditable (Article 12), assurer la traçabilité des formations (Article 14), et si elles recourent à l'IA, se conformer aux exigences de l'AI Act pour les systèmes à haut risque : documentation technique, supervision humaine et registre des incidents.
Sources
- Navegador web Google Chrome
- Google Chrome – Download the fast, secure browser from Google
- Chrome Web Store
- Google Translate
- Gay Bath House in Sault Ste. Marie - Ontario - Canada by Cate…
- How to Bench Press with Proper Form: The Ultimate Guide | BarBend
- Barbell Bench Press: Video Exercise Guide & Tips - Muscle & Strength
- How to Do the Barbell Bench Press - Men's Health
- How to Do a Barbell Bench Press - YouTube
- 3 Ways to Do a Barbell Bench Press - wikiHow
- Google Classroom - Sign in - Google Accounts
- Google Classroom - App Store
- Google Classroom features - Google for Education
- Inicia sesión: Cuentas de Google - Google Classroom
- Herramientas y recursos para la administración del aula - Google for ...