« Dans l’IA, le droit ne doit pas être un frein » – Entretien avec Arnaud Touati

Dans le paysage ô combien complexe de l’intelligence artificielle et du droit des nouvelles technologies, Arnaud Touati s’impose comme une figure incontournable. Co-fondateur du cabinet Hashtag Avocats, il accompagne startups, scale-ups et entreprises établies dans la jungle réglementaire de l’IA, des crypto-actifs et de la propriété intellectuelle. Sa philosophie : le droit ne doit pas être un frein, mais un accélérateur d’innovation intégré dès la conception des produits. Nous sommes ravis de l’avoir en interview sur Caption aujourd’hui pour parler d’un secteur en pleine mutation.

Peux-tu te présenter à nos lecteurs ? Et nous partager ton parcours ?

Je suis Arnaud Touati, avocat et co-fondateur du cabinet Hashtag Avocats. J’accompagne depuis plusieurs années des startups, des scale-ups et des entreprises établies sur les sujets liés à l’intelligence artificielle, aux crypto-actifs, à la propriété intellectuelle et au droit des nouvelles technologies. Mon parcours a commencé en cabinet d’affaires classique, mais j’ai rapidement choisi de fonder ma propre structure afin de proposer une approche différente : le droit ne doit pas être un frein, il doit être intégré dans la conception des produits et dans la roadmap des entreprises. Mon objectif est toujours le même : sécuriser juridiquement les projets technologiques tout en permettant aux entrepreneurs d’avancer vite et de manière structurée.

Tu accompagnes depuis plusieurs années des entreprises dans leurs projets liés à l’IA. Quelles sont selon toi les principales erreurs juridiques commises par les sociétés qui utilisent l’IA aujourd’hui ?

La première erreur tient à la gestion des données. Beaucoup d’entreprises considèrent encore qu’une donnée accessible est une donnée libre de droits, ce qui est totalement faux. L’absence d’audit des jeux de données, qu’il s’agisse de droits d’auteur, de droits voisins, de protection des bases de données, de secrets d’affaires ou encore de données personnelles, expose à des risques majeurs.

Viennent ensuite des contrats incomplets avec les prestataires ou les fournisseurs de solutions IA, qui ne prévoient pas de clauses précises sur la provenance et la traçabilité des données, ni sur la gestion des biais et des risques de sécurité.

Une autre erreur fréquente est de déployer l’IA en interne sans véritable gouvernance, sans politique d’usage, sans registre des systèmes utilisés et sans supervision humaine.

Les communications marketing sont également problématiques lorsque les entreprises prétendent disposer de systèmes « certifiés conformes » ou « sans biais », alors qu’aucune telle garantie n’existe réellement et que cela peut être requalifié en pratique commerciale trompeuse.

Enfin, les équipes juridiques sont souvent intégrées trop tard dans le processus, après le développement du produit ou du POC, ce qui oblige à tout reprendre à grands frais.

Beaucoup d’entreprises considèrent encore qu’une donnée accessible est une donnée libre de droits, ce qui est totalement faux.

L’AI Act a été adopté par l’Union européenne. Quels changements concrets va-t-il entraîner pour les entreprises utilisant ou développant des technologies d’IA ? Et dans quels délais ?

L’AI Act est entré en vigueur le 1er août 2024 et déploie ses effets par étapes. Depuis février 2025, certaines pratiques considérées comme présentant un risque inacceptable sont interdites et les obligations générales de sensibilisation à l’IA s’appliquent déjà. Les modèles à usage général, y compris les IA génératives, sont soumis à des obligations de transparence, de respect du droit d’auteur et de gestion des risques systémiques depuis août 2025.

Les systèmes considérés comme « à haut risque » verront leurs obligations entrer en application à partir d’août 2026, avec une extension jusqu’à août 2027 pour certains produits déjà couverts par d’autres réglementations européennes.

Concrètement, les entreprises devront désormais cartographier leurs cas d’usage, déterminer si elles interviennent en qualité de fournisseur, de déployeur ou d’importateur, mettre en place des registres, documenter leurs sources de données et leurs évaluations de risques, organiser une surveillance post-commercialisation et prévoir des procédures de déclaration d’incidents.

Les entreprises qui développent ou intègrent des IA génératives devront en outre assurer une transparence renforcée sur les conditions d’entraînement, la conformité au droit d’auteur et la mise en place de mesures correctives en cas de risque systémique.

L’essor des IA génératives, comme ChatGPT, soulève des questions autour du droit d’auteur, des droits voisins, voire du plagiat. Comment les entreprises qui les intègrent dans leur modèle économique peuvent-elles se protéger juridiquement ?

La protection passe d’abord par une analyse approfondie de la chaîne de données utilisées pour entraîner et affiner les modèles. Les entreprises doivent veiller à ce que leurs datasets ne soient pas entachés de violations de droits d’auteur ou de droits voisins et consigner précisément leurs sources. Il est essentiel de négocier des contrats solides avec les fournisseurs de solutions d’IA, qui prévoient des clauses de conformité en matière de droit d’auteur, d’information sur les retraits de contenus protégés et de traçabilité des outputs. Des mécanismes techniques comme le filtrage, les tests de robustesse et les outils de détection des contenus contrefaisants doivent être intégrés.

Sur le plan interne, la distinction entre un usage purement exploratoire et une diffusion publique doit être bien marquée, avec des processus de validation humaine systématique avant publication.

Il est également recommandé de mettre en place des systèmes de preuve et de traçabilité comme le hachage ou le watermarking, afin de démontrer la provenance des contenus générés. Enfin, la question des droits doit être réglée en amont avec les collaborateurs et partenaires : qui est titulaire des créations, quel est l’apport humain, et comment indemniser en cas de revendication ? Certaines entreprises vont jusqu’à compléter leur protection par des assurances spécifiques couvrant les risques de contrefaçon liés à l’IA.

Est-ce qu’un jour une IA pourra juridiquement être responsable, ou porter une personnalité juridique propre, comme une société ? Ou est-ce une fausse piste ?

À ce stade, la reconnaissance d’une personnalité juridique autonome pour une IA relève davantage du débat philosophique et académique que du droit positif. Le droit européen actuel s’attache à répartir les responsabilités entre les acteurs humains et les personnes morales qui conçoivent, fournissent ou exploitent les systèmes d’IA. L’AI Act va dans ce sens en définissant des obligations claires pour les différents rôles, plutôt que d’envisager une responsabilité propre de la machine. En pratique, ce qui compte, c’est d’identifier qui prend les décisions, qui contrôle l’outil et qui en bénéficie, car ce sont ces acteurs qui resteront juridiquement responsables.

Quels sont, selon toi, les secteurs où les enjeux juridiques autour de l’IA seront les plus importants dans les prochaines années ?

Certains secteurs sont particulièrement exposés. Le domaine de la santé et des medtechs, en raison du caractère hautement sensible des données et des enjeux de sécurité des patients, sera au cœur des préoccupations. La finance et l’assurance connaîtront également une forte intensité réglementaire, notamment en matière de scoring, de lutte contre la fraude et de lutte contre les discriminations. L’éducation, les ressources humaines et les systèmes d’évaluation devront répondre à des exigences élevées de transparence et d’équité. L’industrie, la robotique et l’IoT poseront des questions de sûreté et de responsabilité produit. Les médias et la création verront se multiplier les litiges liés au droit d’auteur, aux deepfakes et à la publicité. Enfin, le secteur public et la sécurité intérieure devront encadrer avec une vigilance extrême les usages sensibles de l’IA, notamment en matière de surveillance et de reconnaissance biométrique.

Pour un chef d’entreprise qui ne vient pas du monde tech mais veut s’impliquer dans un projet IA, quel serait votre conseil numéro 1 en matière de gouvernance et de stratégie légale ?

Mon conseil principal serait de commencer par une cartographie simple et actionnable. Il faut identifier les cas d’usage, comprendre les données utilisées, leur origine et leur statut juridique, déterminer le rôle exact de l’entreprise au regard de l’AI Act et du RGPD, mettre en place un contrôle humain là où il est indispensable et prévoir dès le départ un cadre contractuel adapté avec les partenaires et les clients. Cette cartographie, même sur une seule page, est un outil stratégique qui guidera les décisions techniques, juridiques et budgétaires. Elle évite de découvrir trop tard des problèmes qui auraient pu être anticipés.

En tant qu’investisseur dans l’IA, comment peut-on évaluer la « compliance readiness » d’une startup en matière d’IA et de RGPD ? Quels signaux faibles ou red flags doivent alerter ?

Un investisseur doit regarder si la startup dispose d’un véritable registre de ses systèmes d’IA, d’une cartographie claire de ses données, d’une étude d’impact sur la protection des données quand ils sont nécessaires, d’une gouvernance identifiée et de contrats solides encadrant la propriété intellectuelle et la répartition des responsabilités.

Il doit aussi vérifier que la jeune pousse a anticipé un plan réaliste de mise en conformité avec l’AI Act et qu’elle dispose de mécanismes de suivi comme des logs d’entraînement ou d’inférence et des procédures de gestion des incidents.

À l’inverse, certains signaux doivent immédiatement alerter : une dépendance totale à des données collectées sans preuve de provenance, l’absence de DPO ou de conseil privacy malgré des traitements sensibles, des promesses marketing irréalistes comme « IA sans biais » ou « conformité garantie », une dépendance excessive à un fournisseur opaque sans droit d’audit ni plan de sortie, ou encore l’absence de revue humaine dans des domaines où elle est indispensable.

Plus globalement, l’absence de budget ou de stratégie dédiée à la conformité est un red flag majeur : une startup qui n’anticipe pas cet aspect prend un risque existentiel.