Face à la montée en puissance de l’intelligence artificielle, le droit pénal n’a pas attendu pour répondre. Tout d’abord, il est important d’évacuer un fantasme : on ne condamne pas une intelligence artificielle. Le droit français repose sur un principe simple, posé à l’article 121-1 du code pénal : on n’est responsable que de son propre fait. Or, un système automatisé n’a pas de personnalité juridique. Il n’est pas un sujet de droit, il n’a pas de « capacité pénale » – et il ne peut donc pas être l’auteur d’une infraction. Aussi sophistiqué soit-il, l’algorithme reste un outil, comme l’étaient hier un véhicule ou un logiciel.
Cependant, ce que réprime le législateur, c’est l’usage que les individus font de cet outil. L’exemple récent le plus parlant est celui des « deepfakes » : la loi sanctionne la diffusion d’un contenu généré par un traitement algorithmique reproduisant l’image ou la voix d’une personne sans son consentement. Dans ce cas, ce n’est pas l’IA qu’on punit, c’est la main humaine derrière elle. La responsabilité va donc se reporter sur une personne : physique ou morale.
Pour l’entreprise, c’est l’article 121-2 du code pénal qui s’applique. Une société peut être condamnée pénalement pour les infractions commises pour son compte, par ses organes ou ses représentants, c’est-à-dire ceux qui expriment sa volonté (le président, le directeur général, le gérant) ou qui agissent en son nom, y compris le titulaire d’une délégation de pouvoirs. Autrement dit, la responsabilité de la personne morale est une responsabilité qui suppose d’identifier la personne physique à l’origine de la décision. Et les deux responsabilités, celle de la société et celle du dirigeant, peuvent parfaitement se cumuler.
Déléguer le pouvoir, oui mais vraiment !
Beaucoup de dirigeants croient se mettre à l’abri en signant une délégation de pouvoirs. Le mécanisme est réel et utile : en confiant à un collaborateur, dans un domaine précis, les pouvoirs de commandement correspondants, le dirigeant transfère lui bel et bien la responsabilité pénale des infractions commises dans ce périmètre. Toutefois, il convient de faire attention à deux pièges. Premièrement, la délégation ne protège que le dirigeant, jamais l’entreprise. Autrement dit, le délégataire reste un « représentant » au sens de la loi. La société, elle, demeure exposée. La délégation déplace le risque à l’intérieur de l’entreprise, mais ne l’efface pas pour autant.
Quant au second écueil à éviter – et c’est là que l’IA change la donne : pour être valable, la délégation suppose que le délégataire dispose réellement de l’autorité, de la compétence et des moyens nécessaires. Confier la supervision d’un système d’IA à un manager, par exemple, qui n’en comprend ni le fonctionnement ni les limites, sans lui donner les ressources techniques pour l’auditer, le surveiller ou l’arrêter, c’est signer une délégation de papier que le juge écartera sans hésiter. Ce n’est pas une vue de l’esprit : le règlement européen sur l’IA, qui entre en vigueur progressivement, exige précisément (en son article 14) que la personne chargée du contrôle humain d’un système d’IA à haut risque en comprenne le système, sache en saisir les capacités et les limites, et enfin puisse en interrompre le fonctionnement.
Le vrai danger ? Déployer sans gouvernance
Quand un dommage résulte d’un traitement automatisé, il est rare qu’on puisse démontrer une intention de nuire. Le risque pénal du dirigeant se situe donc d’abord sur le terrain de la faute non intentionnelle : l’imprudence, la négligence, le manquement aux diligences normales (article 121-3 du code pénal). L’argument « c’est la machine qui a décidé toute seule » ne tient pas, car tous les paramètres du système : les données qui l’ont entraîné, son périmètre d’usage, ses garde-fous relèvent de choix humains. Le dirigeant est donc en position d’anticiper les risques – et tenu de le faire.
C’est pourquoi déployer une IA sans audit, sans dispositif de contrôle et sans supervision humaine formalisée peut s’analyser en une faute. Lorsque le risque était prévisible et qu’aucune mesure sérieuse n’a été prise, la négligence devient caractérisable. Le terrain le plus sensible est celui des atteintes aux personnes : accident du travail impliquant un dispositif robotisé, incident causé par un système de décision automatisé, dommage corporel lié à une IA mal maîtrisée. Quand le dirigeant n’est pas l’auteur direct du dommage, sa responsabilité suppose une faute qualifiée, une violation manifestement délibérée d’une règle de sécurité, ou encore une faute caractérisée exposant autrui à un risque grave qu’il ne pouvait ignorer. Et c’est souvent l’absence d’audit et de supervision qui révèle cette faute : elle prouve que le danger était identifiable, mais qu’on n’a rien fait.
4 réflexes pour réduire l’exposition pénale
La logique de défense est toujours la même : démontrer que l’entreprise a identifié les risques et pris des mesures concrètes pour les maîtriser. Voici quatre leviers complémentaires.
1. Une supervision humaine tracée. Les décisions sensibles doivent pouvoir être vérifiées ou validées par un humain. Les opérations du système doivent être enregistrées (les fameux logs), les interventions documentées, et un mécanisme d’arrêt d’urgence prévu. C’est ce qui permet de corriger une erreur avant qu’elle ne produise ses effets – et, en cas de contentieux, de prouver sa diligence.
2. Une cartographie des risques suivie d’actions. Identifier et documenter les risques en amont du déploiement est indispensable (analyses d’impact, gestion des risques au sens du règlement IA).
3. Des délégations de pouvoirs réelles. À condition que le délégataire comprenne vraiment le système et dispose des moyens de le contrôler. Sans formation ni ressources, la délégation est inopérante.
4. La formation des équipes. Ceux qui utilisent ou supervisent l’IA doivent être formés à son fonctionnement, à ses limites et à ses effets possibles sur les personnes. Cela réduit le risque d’erreur humaine et démontre que l’entreprise a mis à disposition les compétences nécessaires.
A noter que la supervision tracée et la cartographie protègent d’abord l’entreprise, tandis que la délégation et la formation protègent le dirigeant. Les deux étages sont nécessaires.
Le cas qui inquiète : l’algorithme de recrutement discriminant
C’est la question qui inquiète le plus les directions : si un outil de recrutement écarte des candidats en raison de leur sexe ou de leur origine, l’entreprise risque-t-elle des poursuites pénales pour discrimination ? Et le dirigeant, à titre personnel ? D’abord, le contexte : un outil qui analyse, filtre ou évalue des candidatures est classé « à haut risque » par le règlement européen sur l’IA, qui y voit un terrain privilégié de reproduction des discriminations. Obligations renforcées, donc, en matière de qualité des données, de traçabilité et de contrôle humain. Sur le plan pénal, tout se joue sur un mot : l’intention. La discrimination, aux articles 225-1 et 225-2 du code pénal, est une infraction intentionnelle.
En cela, il existe deux scénarios radicalement différents. Face à un biais purement involontaire, le risque n’est en principe pas pénal mais il se déplace ailleurs – et il est bien réel : sanctions administratives au titre du règlement européen, contrôle de l’inspection du travail, saisine du Défenseur des droits, responsabilité civile et encadrement des décisions automatisées par l’article 22 du RGPD. Dès que l’intention apparaît, en revanche, l’entreprise et le dirigeant basculent dans le droit pénal classique de la discrimination.
Pour conclure, le vrai risque pénal n’est pas l’intelligence artificielle elle-même : c’est l’absence de gouvernance. Un dirigeant qui déploie un système puissant sans organiser sa supervision ne fait pas un pari technologique : il prend un risque juridique. La bonne nouvelle, c’est que ce risque se pilote, à condition de s’y mettre avant l’incident, et non après. A ce jour, aucune décision n’a condamné un dirigeant au pénal pour l’usage fautif d’une IA. Le raisonnement reste prospectif. Mais le règlement européen, en fixant des obligations précises de gestion des risques (article 9), de contrôle humain (article 14) et de surveillance (article 26), est en train de dessiner le standard de comportement auquel les dirigeants seront comparés. Le retard pris aujourd’hui se paiera peut-être devant le juge demain.
Pour aller plus loin
Salariés et leaders augmentés ? Trouver sa place avec l’IA
Plusieurs publicités récentes présentent l'IA sous les traits d'humains, aimables, patients, facilement accessibles, toujours disponibles et qui savent répondre à tout ! Que ce soit pour mettre en garde contre des dérives possibles d'un recours aveugle à l'IA ou pour vanter les mérites d'un logiciel augmenté par elle qui agirait comme le ferait un « nouveau collaborateur », l'effet induit est le même : une comparaison implicite s'installe pour les collaborateurs et dirigeants, suivie d'une question : « Quelle place prendre à côté de l'IA et comment ne pas se comparer à cette IA surdouée qui pourrait tout ? »
16 mars 2026
IA : pourquoi continuer à recruter des juniors est un choix stratégique
Alors que l’adoption de l’IA pousse des entreprises à réduire l’embauche de profils juniors, ce choix pourrait fragiliser durablement leurs compétences internes. Miser sur les jeunes talents, au contraire, devient un véritable levier de performance, de transmission et d’innovation.
29 décembre 2025
