IA et responsabilité des administrateurs : AI Act, compliance pénal et nouveau standard de diligence (2026)

Q: Les administrateurs sont-ils personnellement responsables de l'utilisation de l'IA dans leur entreprise ?

L'AI Act et le projet de loi espagnole sur la gouvernance de l'IA n'établissent pas de responsabilité personnelle directe pour les administrateurs. Les sanctions sont imposées à l'entité. Toutefois, les obligations de diligence et de loyauté des articles 225-226 de la LSC, le compliance pénal (art. 31 bis du Code pénal) et l'obligation de culture IA de l'art. 4 de l'AI Act créent une responsabilité de facto : un administrateur qui omet de mettre en place un système de gouvernance IA adéquat peut être tenu responsable pour violation de l'obligation de surveillance.

Q: Quelles sont les sanctions prévues par l'AI Act ?

Les sanctions atteignent 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial (le montant le plus élevé étant retenu) pour les pratiques interdites. Pour les obligations relatives aux systèmes à haut risque, jusqu'à 15 millions d'euros ou 3 %. Pour les informations incorrectes, jusqu'à 7,5 millions d'euros ou 1,5 %. Les PME et les start-ups peuvent bénéficier de sanctions proportionnellement réduites.

Q: Comment l'article 31 bis du Code pénal engage-t-il la responsabilité des administrateurs pour les infractions pénales liées à l'IA ?

L'article 31 bis du Code pénal espagnol (Código Penal) établit la responsabilité pénale de la personne morale pour les infractions commises par ses représentants légaux ou dirigeants lorsqu'elle ne dispose pas d'un modèle organisationnel et de gestion adéquat (modelo de organización y gestión) comprenant des mesures de surveillance et de contrôle pour prévenir ces infractions. Pour les infractions liées à l'IA, les risques devant être couverts dans le modèle de compliance incluent : les algorithmes de recrutement discriminatoires (art. 314 CP) ; les contenus frauduleux générés par IA présentés comme authentiques aux clients (art. 248 CP) ; les systèmes IA accédant à des données personnelles sans base juridique (art. 197 CP) ; et l'entraînement de modèles IA sur des contenus protégés par le droit d'auteur sans licence (arts. 270-272 CP). Un administrateur n'ayant pas veillé à ce que le modèle de compliance intègre les risques IA s'expose à une responsabilité pénale personnelle pour violation de l'obligation de surveillance au titre de l'art. 31 bis.2 CP.

Q: Quelle est l'intersection entre le RGPD et l'AI Act pour les systèmes à haut risque et comment les entreprises doivent-elles gérer la double conformité ?

Les systèmes d'IA à haut risque qui traitent des données personnelles sont soumis à une double couche réglementaire nécessitant une conformité coordonnée au titre du Règlement général sur la protection des données (RGPD, Règlement (UE) 2016/679) et de l'AI Act (Règlement (UE) 2024/1689). Les principales obligations chevauchantes sont : les Analyses d'impact relatives à la protection des données (AIPD au titre de l'art. 35 RGPD) et les évaluations de conformité AI Act (arts. 9-15 AI Act), qui requièrent toutes deux une analyse des risques préalable au déploiement — à réaliser idéalement dans le cadre d'un processus intégré couvrant les deux réglementations. Les droits de l'art. 22 RGPD (ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé) et l'art. 14 AI Act (surveillance humaine obligatoire pour les systèmes à haut risque) doivent être mis en œuvre de manière cohérente. Les notices d'information doivent être mises à jour pour mentionner le traitement par IA de manière satisfaisante au titre de l'art. 13 RGPD et de l'art. 13 AI Act. Les contrats de traitement des données avec les fournisseurs d'IA doivent clarifier les rôles de responsable du traitement/sous-traitant RGPD parallèlement aux rôles de fournisseur/déployeur AI Act.

Q: Quel programme minimal de gouvernance IA une entreprise doit-elle mettre en place avant août 2026 pour satisfaire aux obligations de l'AI Act ?

Une entreprise agissant en qualité de déployeur de systèmes d'IA tiers doit achever le programme de gouvernance suivant avant le 2 août 2026. Étape 1 : inventaire des IA — recenser tous les outils IA utilisés, en notant le fournisseur, la finalité, les données traitées et toute prise de décision automatisée ayant des effets significatifs sur des personnes. Étape 2 : classification des risques — appliquer les catégories à haut risque de l'Annexe III ; tout système utilisé dans des décisions d'emploi ou de crédit est présumé à haut risque. Étape 3 : vérification du fournisseur — demander la Déclaration de conformité, la synthèse de la documentation technique et les instructions d'utilisation. Étape 4 : mise à jour de l'AIPD pour intégrer les dimensions de risque spécifiques à l'IA. Étape 5 : protocole de surveillance humaine — documenter la procédure de révision humaine pour chaque système à haut risque. Étape 6 : conservation des journaux — au minimum six mois (art. 26.6 AI Act). Étape 7 : culture IA — concevoir et dispenser la formation prévue par l'art. 4 AI Act.

Q: Quel rôle joue l'AESIA dans l'application de l'AI Act en Espagne et comment interagit-elle avec l'AEPD et les superviseurs sectoriels ?

L'Agence espagnole de supervision de l'intelligence artificielle (AESIA), créée par le Décret royal 729/2023 et dont le siège est à La Corogne, est l'autorité nationale compétente désignée pour la supervision générale de l'AI Act. Elle est pleinement opérationnelle depuis août 2025, avec des pouvoirs d'inspection, de sanction et de mesures provisoires. La loi espagnole sur la gouvernance de l'IA distribue la supervision entre plusieurs autorités sectorielles : l'AEPD pour les systèmes biométriques et le traitement de données personnelles ; la Banque d'Espagne pour les systèmes de notation de crédit ; la CNMV pour les marchés de capitaux. Cette structure multi-autorités crée un défi de coordination : un système IA RH utilisé également pour l'évaluation de la solvabilité peut être scruté simultanément par l'AESIA et la Banque d'Espagne.

Le **Règlement (UE) 2024/1689** du Parlement européen et du Conseil, du 13 juin 2024, établissant des règles harmonisées en matière d'intelligence artificielle (AI Act), conjointement avec le **projet de loi espagnole sur l'utilisation responsable et la gouvernance de l'IA** et le cadre existant de compliance pénal, configurent un nouveau standard de diligence pour les administrateurs d'entreprises en matière d'utilisation de systèmes d'intelligence artificielle.

Calendrier AI Act : état des lieux

Date	Étape
1er août 2024	Entrée en vigueur du Règlement
2 février 2025	Pratiques interdites et obligation de culture IA applicables
2 août 2025	Gouvernance, autorités de supervision et obligations GPAI
2 août 2026	Application intégrale : systèmes à haut risque
2 août 2027	Systèmes à haut risque intégrés dans des produits réglementés

Depuis le 2 février 2025, les interdictions de pratiques inacceptables et l’obligation de culture IA (art. 4) sont déjà exécutoires. Toute entreprise utilisant des systèmes d’IA dans l’UE doit se conformer à ces obligations dès aujourd’hui.

La question : l’administrateur est-il personnellement responsable ?

Ce que dit l’AI Act

L’AI Act n’établit pas de responsabilité personnelle directe pour les administrateurs ou dirigeants. Les sanctions sont imposées à l’entité (fournisseur, déployeur ou distributeur du système d’IA) :

Infraction	Amende maximale	% du chiffre d’affaires
Pratiques interdites (art. 5)	35 M€	7 %
Obligations systèmes haut risque (arts. 6-49)	15 M€	3 %
Informations incorrectes	7,5 M€	1,5 %

Pour les PME et les start-ups, le montant ou pourcentage le plus bas s’applique.

Ce que dit le projet de loi espagnole

Le projet de loi espagnole sur l’utilisation responsable et la gouvernance de l’IA (Conseil des ministres, 11 mars 2025) transpose le régime de sanctions de l’AI Act en droit espagnol :

Infractions très graves : 7,5 M€–35 M€ ou 2–7 % du chiffre d’affaires.
Infractions graves : 500 K€–7,5 M€ ou 1–2 %.
Infractions mineures : 6 K€–500 K€ ou 0,5–1 %.

Pour les entités du secteur public : pas d’amende, mais un blâme formel nommant le responsable est émis. Cela identifie personnellement l’administrateur individuel.

Lorsque l’entreprise sanctionnée appartient à un groupe de sociétés, le chiffre d’affaires du groupe est utilisé pour calculer la sanction.

Mais la responsabilité existe par d’autres voies

Un administrateur qui omet de mettre en place une gouvernance IA s’expose à une responsabilité via trois voies convergentes :

Voie 1 : Obligation de diligence et de loyauté (Loi sur les sociétés de capitaux)

Les articles 225 et 226 de la LSC imposent aux administrateurs :

Obligation de diligence : agir avec la diligence d’un chef d’entreprise ordonné, ce qui inclut la mise en place des systèmes de contrôle interne nécessaires pour gérer les risques de l’entreprise.
Obligation de loyauté : agir de bonne foi et dans l’intérêt supérieur de la société.
Protection de la règle du jugement d’affaires (art. 226 LSC) : cette protection ne couvre que les décisions prises avec une information suffisante et une procédure adéquate.

Si la société est sanctionnée pour non-conformité à l’AI Act et qu’il est démontré que le conseil d’administration n’avait mis en place aucun système de gouvernance IA, l’entreprise ou les actionnaires peuvent intenter une action sociale en responsabilité (art. 238 LSC) contre les administrateurs pour les dommages causés.

Voie 2 : Compliance pénal (art. 31 bis CP)

L’article 31 bis du Code pénal établit la responsabilité pénale des personnes morales pour les infractions commises par leurs représentants légaux ou employés en l’absence d’un modèle organisationnel et de gestion incluant des mesures adéquates de surveillance et de contrôle pour prévenir les infractions.

Les systèmes d’IA peuvent être l’instrument par lequel des infractions pénales d’entreprise sont commises :

Discrimination (art. 314 CP) : un algorithme de recrutement qui discrimine sur la base du sexe, de l’âge ou de la race.
Fraude (art. 248 CP) : un système d’IA qui génère des informations trompeuses pour les clients.
Violation du secret (art. 197 CP) : un système d’IA qui accède à des données personnelles sans base juridique.
Infractions à la propriété intellectuelle (arts. 270-272 CP) : entraînement sur des données protégées.

Si l’entreprise ne dispose pas d’un modèle de prévention des délits intégrant les risques IA spécifiques, les administrateurs peuvent engager leur responsabilité pénale pour violation de l’obligation de surveillance au titre de l’art. 31 bis.2 CP.

Voie 3 : Obligation de culture IA (art. 4 AI Act)

L’article 4 de l’AI Act impose aux fournisseurs et déployeurs l’obligation de s’assurer que leur personnel dispose d’un niveau suffisant de culture IA, en tenant compte de leurs connaissances techniques, de leur expérience, de leur formation et du contexte d’utilisation.

Cette obligation incombe directement à l’organisation, mais son respect relève de la responsabilité du conseil d’administration, qui doit :

Identifier les systèmes d’IA utilisés au sein de l’entreprise.
Évaluer le niveau de risque de chaque système.
Concevoir et dispenser une formation adaptée au personnel qui exploite, supervise ou prend des décisions sur la base de systèmes d’IA.
Documenter la conformité.

L’AESIA (Agence espagnole de supervision de l’intelligence artificielle), opérationnelle depuis 2023 et dotée de pleins pouvoirs d’inspection et de sanction depuis août 2025, peut demander cette documentation à tout moment.

Instruction CGPJ 2/2026

Le 28 janvier 2026, la Plénière du Conseil général du pouvoir judiciaire a approuvé l’Instruction 2/2026 sur l’utilisation de systèmes d’intelligence artificielle dans l’activité judiciaire (BOE-A-2026-2205).

Cette instruction est pertinente pour les administrateurs car :

Elle établit un cadre de référence sur la manière dont les tribunaux espagnols évalueront l’utilisation de l’IA.
Elle exige transparence, explicabilité et surveillance humaine dans les décisions judiciaires assistées par l’IA.
Elle crée un précédent de gouvernance que les tribunaux appliqueront par analogie lorsqu’ils évalueront la diligence des administrateurs dans le secteur privé.

Autorités de supervision en Espagne

La loi espagnole sur la gouvernance de l’IA répartit la supervision entre plusieurs autorités :

Autorité	Périmètre
AESIA	Supervision générale, coordination, bac à sable
AEPD	Biométrie, migration, données personnelles
CGPJ	Administration de la justice
Banque d’Espagne	Notation de crédit
CNMV	Marchés de capitaux
DG Assurances	Secteur assurance
Commission électorale centrale	Processus électoraux

Ce que le dirigeant diligent doit faire

Plan minimal de gouvernance IA

Inventaire des systèmes d’IA : recenser tous les systèmes d’IA utilisés, en les classant par niveau de risque (inacceptable, élevé, limité, minimal).
Responsable IA : désigner un responsable de la gouvernance IA ou un comité ayant accès direct au conseil d’administration.
Politique IA interne : adopter une politique définissant les principes d’utilisation, les systèmes autorisés, les interdictions internes et les procédures d’approbation de nouveaux systèmes.
Évaluation d’impact : pour les systèmes à haut risque, documenter l’évaluation de conformité, les données d’entraînement, les biais identifiés et les mesures d’atténuation.
Formation (culture IA) : concevoir et dispenser des programmes de formation au personnel qui exploite, supervise ou prend des décisions sur la base de systèmes d’IA.
Surveillance humaine : s’assurer que chaque décision importante assistée par IA fait l’objet d’une surveillance humaine effective — et non purement formelle.
Procédure d’incident : mettre en place un canal de signalement interne pour les incidents ou défaillances de systèmes d’IA, connecté au système de compliance.
Audit périodique : réviser annuellement l’inventaire, la politique et les formations, en les actualisant au fil des évolutions réglementaires et technologiques.

Intégration dans le modèle de compliance existant

Le plan de gouvernance IA ne doit pas être un document autonome mais doit être intégré dans le modèle de prévention des délits (art. 31 bis CP) et dans le système de compliance global de l’entreprise :

Mettre à jour la cartographie des risques pour inclure les risques IA spécifiques.
Intégrer les contrôles IA dans le programme d’audit interne.
Ajouter l’IA comme sujet de formation obligatoire dans le plan de compliance.
Inclure les incidents IA dans le canal d’alertes (Loi 2/2023).

Matrice d’interaction RGPD + AI Act pour les systèmes à haut risque

L’intersection du RGPD et de l’AI Act crée une double couche réglementaire qui doit être gérée de manière coordonnée :

Exigence	RGPD	AI Act (systèmes à haut risque)	Action conjointe requise
Évaluation d’impact	AIPD (art. 35 RGPD)	Évaluation de conformité (arts. 9-15 AI Act)	Processus intégré couvrant les deux cadres
Droit à l’explication	Ne pas faire l’objet d’une décision automatisée (art. 22 RGPD)	Surveillance humaine obligatoire (art. 14 AI Act)	Le système doit permettre une révision humaine documentée
Transparence	Information aux personnes concernées sur le traitement automatisé	Notice d’interaction IA (art. 13 AI Act)	Mettre à jour les mentions légales et politiques de confidentialité
Tenue de registres	Registre des activités de traitement (art. 30 RGPD)	Journaux d’activité du système (art. 12 AI Act)	Registre unifié avec traçabilité complète
Base juridique pour l’IA	Art. 6 RGPD (intérêt légitime ou consentement pour l’entraînement)	Pas d’obligation de base juridique spécifique dans l’AI Act	Documenter la base juridique des données d’entraînement
Responsabilité	Responsable du traitement (art. 4 RGPD)	Fournisseur + déployeur (définitions AI Act)	Clarifier les rôles dans les contrats avec les fournisseurs d’IA

Conclusion : responsabilité de facto, non de jure

L’AI Act ne mentionne pas explicitement que les administrateurs sont personnellement responsables. Mais l’effet combiné de :

Sanctions substantielles au niveau de l’entité (jusqu’à 35 M€ ou 7 % du CA)
Obligations de diligence au titre de la LSC (arts. 225-226)
Compliance pénal (art. 31 bis CP)
Obligation de culture IA (art. 4 AI Act)
AESIA dotée de pleins pouvoirs d’inspection
Instruction CGPJ 2/2026 comme précédent judiciaire

Crée un standard de diligence qui, s’il n’est pas respecté, expose l’administrateur à une responsabilité civile (action sociale en responsabilité, art. 238 LSC), à une responsabilité pénale (art. 31 bis CP) et à un préjudice réputationnel.

Le message est clair : la gouvernance IA n’est plus une recommandation technique — c’est une obligation découlant de l’obligation de diligence de l’administrateur.

BMC conseille les entreprises et leurs conseils d’administration sur la mise en place de systèmes de gouvernance IA conformes à l’AI Act et au cadre de compliance espagnol. En savoir plus sur nos services de conformité AI Act.

AI-Act compliance AI-governance directors liability

← Retour aux publications

Conseil

Évaluation et analyse

Transformation

Gouvernance et transmission

Stratégie fiscale

Conformité

Régimes spéciaux

Patrimoine et contentieux

Droit commercial et des sociétés

Procédures collectives et restructuration

Social et conformité

Contentieux et résolution

Cybersécurité

Données et IA

Finance et reporting

Services sociétaires

Croissance

Risques et résilience

Articles et analyses

Rapports et livres blancs

Outils

Industries

Calendrier AI Act : état des lieux

La question : l’administrateur est-il personnellement responsable ?

Ce que dit l’AI Act

Ce que dit le projet de loi espagnole

Mais la responsabilité existe par d’autres voies

Voie 1 : Obligation de diligence et de loyauté (Loi sur les sociétés de capitaux)

Voie 2 : Compliance pénal (art. 31 bis CP)

Voie 3 : Obligation de culture IA (art. 4 AI Act)

Instruction CGPJ 2/2026

Autorités de supervision en Espagne

Ce que le dirigeant diligent doit faire

Plan minimal de gouvernance IA

Intégration dans le modèle de compliance existant

Matrice d’interaction RGPD + AI Act pour les systèmes à haut risque

Conclusion : responsabilité de facto, non de jure

Services associés

Conformité à l'AI Act européen

Conformité fiscale

Articles associés

AI Act : Obligations relatives aux systèmes à haut risque

RDL 8/2026 : mesures urgence marché locatif | BMC

RDL 6/2026 : compensations au titre de la Loi de Mémoire Démocratique

Vous souhaitez en savoir plus ?