Restez au courant des dernières actualités de Gevers en vous inscrivant à notre newsletter.
L’intelligence artificielle (« IA ») est souvent associée au progrès, à la croissance et aux améliorations technologiques. Elle a le potentiel de transformer les entreprises, mais que se passe-t-il si quelque chose tourne mal ? Qui est responsable si quelque chose ne va pas avec un système d’IA ? Le système d’IA lui-même doit-il être tenu responsable de ses résultats ? Ou faut-il se tourner vers le producteur du système, voire l’utilisateur ?
Dans cet article, nous examinerons (i) le cadre actuel de la responsabilité en matière d’IA dans l’Union européenne, (ii) la nouvelle proposition de règlement européen sur l’IA, et (iii) l’importance des accords.
1. Cadre juridique actuel dans l’UE
Comme pour de nombreuses technologies, le contraste est grand entre le développement rapide des systèmes d’IA et le processus plutôt lent de création d’un cadre juridique qui régit l’IA.
Actuellement, il n’existe pas de régime de responsabilité spécifique à l’IA dans l’UE. Par conséquent, dans la plupart des États membres de l’UE, la responsabilité de l’IA est régie par le droit de la responsabilité civile. Cependant, le droit de la responsabilité civile est largement non harmonisé, à l’exception de la responsabilité des fabricants de produits défectueux, qui est régie par la directive 85/374/CE relative à la responsabilité du fait des produits défectueux*.
Bien que la plupart des régimes de responsabilité des États membres de l’UE offrent une protection de base aux personnes blessées ou lésées dont les pertes sont causées par le fonctionnement de l’IA, l’attribution de la responsabilité peut être inadéquate ou inefficace.
2. Nouvelle proposition de règlement de l’UE établissant des règles harmonisées pour l’IA
Le législateur européen a reconnu ces lacunes et a depuis pris une 2017série d’initiatives**. Dans le cadre de ce processus, le Parlement européen et le Conseil européen ont adopté le 21 avril une proposition de règlement établissant des règles harmonisées en matière d’IA (la « loi sur l’intelligence artificielle » ou « LAI »). 2021.
Ce règlement vise à réglementer l’utilisation de l’IA en fonction du niveau de risque qu’elle représente pour les droits fondamentaux de l’homme et la sécurité. L’AIA introduit un « régime de sécurité des produits » affiné, articulé autour d’un ensemble de quatre catégories de risques :
(i) un « risque inacceptable », comme les systèmes d’identification biométrique à distance en direct dans des zones accessibles au public à des fins d’application de la loi, comme la reconnaissance faciale ;
(ii) un « risque élevé », comme les systèmes destinés au recrutement ou à des fins médicales ;
(iii) un « risque limité ou faible », comme les chatbots qui présentent certains risques de manipulation ;
(iv) un « risque minimal ou nul », comme les jeux vidéo avec IA ou les filtres anti-spam.
Des règles spécifiques s’appliquent à chaque niveau de risque :
(i) Les systèmes d’IA qui présentent un « risque inacceptable » seront interdits dans l’UE, car ils sont considérés comme une violation des droits fondamentaux et peuvent causer des dommages graves ;
(ii) Les systèmes d’IA à « haut risque » sont soumis à des exigences strictes, telles que :
la mise en oeuvre d’un système de gestion des risques consistant en un processus itératif continu tout au long du cycle de vie du système d’IA ; et
l’intégration des capacités d’archivage dans le système d’IA.
(iii) Les systèmes d’IA qui présentent un « risque limité ou faible » sont soit soumis à des exigences de transparence, telles que certaines obligations de divulgation aux personnes physiques qui interagissent avec un système d’IA, soit ne sont pas du tout réglementés.
(iv) Les systèmes d’IA qui comportent « un risque minimal ou nul » sont autorisés sans restriction. Toutefois, la Commission européenne encourage les parties prenantes à élaborer des codes de conduite pour ces systèmes d’IA à faible risque.
Par conséquent, la nouvelle proposition introduit un tout nouvel ensemble d’obligations légales pour les fournisseurs, les utilisateurs, les fabricants, les importateurs et les distributeurs de systèmes d’IA. Les parties prenantes des systèmes d’IA devront donc développer des outils de conformité pour s’assurer que leurs systèmes répondent aux exigences légales, qui sont dans une certaine mesure similaires à celles imposées par le règlement général sur la protection des données (RGPD).
L’AIA est une première étape législative visant à créer un meilleur cadre pour l’IA. Elle poursuit le double objectif (i) d’aborder les risques posés par des systèmes d’IA spécifiques et (ii) de promouvoir l’acceptation de l’IA. Il s’agit donc de s’assurer que les systèmes d’IA sont sûrs et respectent la législation existante de l’Union en matière de droits fondamentaux et de valeurs. Cependant, elle ne répond pas à notre question fondamentale : qui est responsable si quelque chose ne va pas avec un système d’IA ?
La réponse à cette question est attendue prochainement : dans son » Plan coordonné sur l’IA » de 2021, la Commission européenne proposera de nouvelles mesures européennes pour adapter le cadre de responsabilité aux défis des nouvelles technologies, dont l’IA, dans le courant de l’année 2022*.
Le groupe d’experts désigné par la CE pour préparer l’EAI a déjà donné des indications intéressantes sur la répartition des responsabilités** :
Un fabricant d’un système d’IA devrait être responsable des dommages causés par les défauts de ses produits, même si le défaut est causé par des modifications apportées au produit sous le contrôle du fabricant après la mise sur le marché du produit.
L’exploitant d’un système d’IA qui présente un risque accru de préjudice pour autrui, par exemple les robots guidés par l’IA dans les lieux publics, devrait avoir une responsabilité stricte pour les dommages résultant de son fonctionnement.
Un prestataire de services fournissant le cadre technique a un degré de contrôle plus élevé que le propriétaire ou l’utilisateur d’un produit ou d’un service réel équipé d’IA. Il faut en tenir compte pour déterminer qui exploite principalement la technologie.
Une personne qui utilise une technologie qui ne présente pas un risque accru de préjudice pour autrui devrait néanmoins être tenue de respecter les obligations de sélection, d’exploitation, de surveillance et de maintenance de la technologie utilisée de manière appropriée. S’il ne respecte pas ces obligations, il devrait être responsable du non-respect des règles s’il est fautif. En outre, une personne utilisant une technologie avec un certain degré d’autonomie ne devrait pas être moins responsable des dommages qui en résultent que si ces dommages avaient été causés par un assistant humain.
En outre, la CE a déjà précisé dans son rapport sur la responsabilité en matière d’intelligence artificielle et d’autres technologies numériques émergentes*** qu’il n’est actuellement pas nécessaire de donner à l’IA une personnalité juridique pour la rendre responsable.
3. Importance d’accords clairs
Bien que l’AIA et les travaux législatifs préparatoires au niveau de l’UE constituent un bon point de départ pour clarifier certaines questions de responsabilité liées aux systèmes d’IA, certaines questions restent actuellement non résolues au niveau du droit civil et peuvent continuer à donner lieu à des discussions entre les parties coopérant au développement et à l’utilisation des systèmes d’IA.
C’est là que les contrats peuvent être utiles. Tant qu’il n’y a pas de cadre juridique clair ou de jurisprudence, il est crucial pour les parties aux projets AI de définir correctement leurs responsabilités mutuelles dans un contrat, afin d’éviter les discussions sur la responsabilité.
L’équipe de GEVERS AI se fera un plaisir de vous aider à rédiger de tels accords et de répondre à toutes vos questions. Veuillez nous contacter à l’adresse mailbox.contracts@gevers.eu ou contactez directement l’un de nos avocats spécialisés.