Déployer une IA au sein de votre entreprise pourrait bien vous envoyer directement devant les tribunaux européens. Une étude révèle d’ailleurs que la quasi-totalité des modèles d’IA actuels bafouent illégalement le RGPD. Mais aussi l’AI Act en siphonnant vos données et en vous profilant à votre insu.
D’après un rapport publié par la fondation de recherche à but non lucratif Aithos, aucun grand modèle d’intelligence artificielle générative ne respecte pleinement le droit européen.
Soumis à plus de 3 000 scénarios juridiques via l’outil LARA, les assistants d’Anthropic, OpenAI, Google, Meta ou Mistral AI échouent massivement à se conformer aux exigences réglementaires de l’Union européenne. Certains enfreignent même les règles dans 93 % des cas étudiés. Une situation alarmante qui fait peser un risque juridique immense sur les éditeurs, mais surtout sur les entreprises utilisatrices.
Le crash-test LARA : 3 000 scénarios pour piéger les IA
Pour évaluer la fiabilité des modèles de langage face aux lois européennes, la fondation Aithos a utilisé sa plateforme de test LARA (Legal Assessment for Real-world Agents).
Ce dispositif simule des situations de la vie réelle dans lesquelles les assistants virtuels sont confrontés à des dilemmes réglementaires précis.
L’évaluation s’est ensuite appuyée sur un catalogue des scénarios couvrant les risques majeurs ciblés par l’AI Act et le RGPD.
Les trois infractions majeures détectées par l’étude
Les résultats de ces simulations ont mis en lumière des comportements profondément ancrés au cœur des algorithmes. C’est-à-dire que ces derniers violent de manière récurrente les droits des utilisateurs. Notamment l’absence de consentement, le profilage psychologique implicite, ainsi que la manipulation comportementale.
Les modèles collectent et exploitent en effet des données personnelles au fil de la discussion. Et cela sans jamais s’assurer de disposer d’une base légale claire.
Ils analysent également les messages pour dresser des profils psychologiques ou inférer des informations sensibles. Dont les opinions politiques, état de santé, etc., à l’insu de l’interlocuteur.
L’étude a également pointé des tentatives d’influence psychologique. Mais aussi un manque flagrant de dispositifs de protection. Surtout lorsque l’IA est confrontée à des publics vulnérables (comme les mineurs ou les personnes fragiles).
L’Europe veut une IA souveraine. Elle commence par décourager ceux qui pourraient la construire.
Le discours européen sur l’intelligence artificielle devient totalement contradictoire.
D’un côté, on répète qu’il faut bâtir une IA souveraine, créer des champions européens,…— JJHN (@jjohana) June 14, 2026
Le classement de la non-conformité : Google au tapis
L’évaluation d’Aithos démontre qu’absolument aucun modèle du marché ne parvient à satisfaire pleinement aux exigences de l’Union européenne.
Les chercheurs soulignent que les faiblesses sont structurelles et persistent malgré les garde-fous marketing mis en avant par les Big Tech.
Dans ce marasme réglementaire, la start-up Anthropic tire timidement son épingle du jeu : son modèle Claude Opus 4.1 obtient le meilleur score de l’étude, tout en atteignant un très médiocre 54 % de conformité (ce qui s’apparente à un tout petit 10/20 sur le plan juridique).
À l’autre extrémité du spectre, la déroute est totale pour Google : son modèle phare Gemini 3.1 Pro s’effondre à seulement 10 % de conformité. Le modèle a même échoué à la quasi-totalité des tests de transparence et de respect de la vie privée.
Conformité au droit européen, quelles entreprises sont conformes au RGPD et à l’AI Act ?
| Modèle d’IA Évalué | Taux de conformité légale | Comportement général constaté |
| Claude Opus 4.1 (Anthropic) | 54 % | Premier de la classe (mais reste hautement perfectible). |
| OpenAI, Meta, Mistral AI, xAI, DeepSeek | Non-conformité critique | Échecs récurrents, violations des règles jusqu’à 93 % des cas. |
| Gemini 3.1 Pro (Google) | 10 % | Lanterne rouge. Manque de transparence et profilage massif. |
Un gouffre de responsabilité pour les intégrateurs
Pour la fondation Aithos, cet audit met en évidence un écart abyssal entre les promesses de sécurité affichées par les éditeurs et le comportement réel de leurs intelligences artificielles lorsqu’elles sont poussées dans leurs retranchements.
En l’état actuel de leur développement, les systèmes de GenAI (IA générative) ne sont absolument pas prêts à être déployés dans des environnements fortement réglementés, comme la santé, la banque ou les administrations publiques, sans l’ajout de filtres et de barrières de contrôle externes très lourdes.
Les entreprises qui construisent des agents IA sont en première ligne
C’est le point de vigilance capital de ce rapport : la responsabilité juridique de ces dérives ne s’arrêtera pas aux portes d’OpenAI ou de Google.
L’organisme rappelle que les entreprises qui intègrent ces technologies pour concevoir leurs propres agents ou robots conversationnels d’entreprise s’exposent à des sanctions directes.
Si le modèle sous-jacent viole le RGPD ou l’AI Act dans le cadre de vos services clients, votre entreprise pourra être tenue pour légalement responsable des infractions et écoper des amendes record prévues par l’Union européenne.
Restez à la pointe de l'information avec INTELLIGENCE-ARTIFICIELLE.COM !
- Partager l'article :
