Notre arsenal juridique est-il suffisant pour faire face aux enjeux de l’IA ?

Publié le 19/02/2024
Notre arsenal juridique est-il suffisant pour faire face aux enjeux de l’IA ?
Diego/AdobeStock

Dans un monde dans lequel le déploiement de l’intelligence artificielle (IA) est déjà une réalité tangible, se pose la question de l’adaptation de notre arsenal juridique pour faire face aux enjeux créés par ces nouvelles technologies. Formulée en termes aussi généraux, la réponse ne peut vraisemblablement être que négative. Pour autant, qu’en est-il du droit de la responsabilité civile ?

Le 9 décembre dernier, le Conseil de l’Union européenne et le Parlement européen annonçaient avoir trouvé un accord sur les grands principes d’une « loi intelligence artificielle » (« AI Act ») posant les bases d’une future régulation, à l’image du règlement général sur la protection des données. À peine trouvé, cet accord est déjà critiqué, notamment par ceux qui considèrent qu’il risquerait de brider l’innovation dans un domaine en constante évolution et dans lequel certains de nos concurrents internationaux auraient plusieurs longueurs d’avance.

En outre, cette réforme ne sera pas en vigueur avant 2026.

En parallèle de l’AI Act, d’autres projets sont en discussion au niveau des instances européennes, ce qui pourrait laisser à penser que le droit positif ne permet pas de répondre aux enjeux actuels. Néanmoins, les règles du Code civil permettent d’appréhender bon nombre de cas nouveaux, pour peu qu’on se réfère aux principes éthiques élaborés en matière d’IA et que ces règles soient appliquées avec subtilité. Restera la question des preuves dont l’accès, davantage que les règles de responsabilité, est l’enjeu crucial.

Enjeux en termes d’identification des responsables. L’irruption des usages de l’IA dans des domaines les plus variés crée nécessairement de nouveaux risques de responsabilité civile (en même temps d’ailleurs qu’elle en réduit d’autres, par une certaine fiabilité supérieure aux capacités humaines qu’elle est susceptible d’apporter dans certains domaines). Or, l’IA induit un éclatement potentiel des responsabilités entre les différents professionnels (concepteur des modèles fondamentaux, concepteur de l’IA spécifique, professionnel en faisant un usage dans son activité, vendeur, utilisateur, etc.), en particulier pour certaines IA susceptibles d’acquérir un certain degré d’autonomie échappant à leurs créateurs (on parle alors d’IA forte et d’apprentissage profond). Par la force des choses, l’IA agissant de manière autonome sera confrontée à des situations qui n’ont pas été envisagées par son concepteur. Selon son degré de sophistication et d’évolution, il sera également difficile de tracer l’origine d’une décision ou d’une action.

L’arsenal juridique existant permettra de régler facilement certaines erreurs induites par un excès de confiance dans la fiabilité de la technologie, tel cet avocat américain dont la presse a rapporté qu’il aurait fait référence dans ses écritures à des jurisprudences inventées par une IA sans vérifier leur existence.

En revanche, lorsque les techniques se seront fiabilisées, comment appréciera-t-on, par exemple, la responsabilité d’un diagnostic médical ?

L’expérience a également montré que certaines IA peuvent être influencées par les biais inconscients de leurs créateurs, ce qui peut produire des effets discriminatoires non souhaités et à grande échelle lors de leur déploiement. Les concepteurs pourront-ils être blâmés pour un effet qu’ils n’ont pas voulu et qu’ils ne contrôlent plus ?

Plus spectaculaire, au cours de l’année 2023, la presse s’est également fait l’écho d’une simulation (virtuelle) par l’US Air Force d’un drone piloté par IA au cours de laquelle la machine aurait tué son opérateur humain. L’existence de cette simulation a été démentie par l’armée américaine tout en admettant que l’hypothèse de travail était « plausible »1. Si cette information en a perdu sa dimension sensationnelle, elle ne touche pas moins du doigt le revers des innovations apportées par l’IA. Si une machine intelligente échappe à son créateur, est-ce que l’utilisateur final doit en porter seul le risque ?

Le Parlement européen est allé jusqu’à proposer de doter certains robots les plus sophistiqués d’une personnalité juridique2. Ces derniers seraient, de ce fait, responsables de leurs actes et pourraient même être dotés d’une couverture d’assurance. Sans exonérer nécessairement les professionnels de la chaîne de conception/production/déploiement, cette approche aurait le mérite d’une certaine simplicité. Pour autant, ces projets sont loin de voir le jour.

De manière plus prosaïque, en parallèle de l’AI Act qui met en place un régime de gouvernance et de conformité visant certains systèmes d’IA identifiés comme étant à « haut risques », la Commission européenne envisage plusieurs pistes d’instauration de règles spéciales de responsabilité créant un régime spécifique de responsabilité. Cela passe tout d’abord par la réforme de la directive sur la responsabilité pour les produits défectueux3 qui instaure une responsabilité sans faute pour les dommages causés par les produits.

En l’état, cette réforme verrait notamment une extension de la notion de produits aux logiciels et solutions d’IA ainsi que leurs mises à jour et elle considérerait une vulnérabilité cyber comme un défaut du produit.

Pour mémoire, au niveau de la directive et à la différence des règles de transpositions françaises des précédentes directives sur la responsabilité des produits, le régime de responsabilité sans faute ne bénéficie qu’aux consommateurs. Il existe également un projet plus général de directive sur la responsabilité liée à l’IA qui renvoie à de nombreux concepts présents dans l’AI Act (par exemple les notions de « système d’IA à risque élevé », « fournisseur », « utilisateur »…) et instaurant notamment des règles de présomption réfragable de causalité. Ces règles de présomption de causalité seraient plus ou moins strictes selon la classification de l’IA concernée au regard du droit européen (essentiellement selon que l’IA est qualifiée de high risk AI ou non).

Ces deux projets de directive prévoient respectivement des règles pour faciliter l’accès aux preuves. En effet, la crainte est que la complexité des systèmes d’IA et des intervenants ne rende la mise en œuvre de la responsabilité illusoire.

Cela étant, si le travail législatif sur la directive sur la responsabilité pour les produits défectueux semble un peu plus avancé, les deux projets de directive ne sont pas prêts à entrer en vigueur.

Est-ce à dire que, dans l’intervalle, l’arsenal juridique existant est démuni ?

Les principes éthiques comme possible source d’une « faute ». Face aux défis posés par l’IA, divers organismes nationaux, européens et internationaux ont travaillé sur des principes éthiques. Ces principes éthiques ont potentiellement vocation à définir les standards de comportement qui seront attendus des professionnels et à l’aune desquels leur responsabilité civile pourrait être appréciée en application des règles de responsabilité civile de droit commun et en particulier celle édictée par l’article 1240 du Code civil. De fait, ces travaux de réflexions éthiques ont très clairement guidé les projets de réformes évoqués plus haut.

Ainsi, on peut se référer au rapport publié par la Commission nationale de l’informatique et des libertés (CNIL) en décembre 2017 : « Comment permettre à l’Homme de garder la main ? Les enjeux éthiques des algorithmes et de l’intelligence artificielle »4, synthétisant le débat public qu’elle avait animé dans le cadre de la mission de réflexion éthique confiée par la loi pour une République numérique. Ce rapport mettait d’abord en avant deux « principes fondateurs » : un « principe de loyauté » et un « principe de vigilance ». S’agissant du principe de loyauté, il veut que tout algorithme soit « loyal » envers ses utilisateurs, quels qu’ils soient et quelles que soient les données concernées. Concrètement, cela revient à placer l’homme au centre et rappeler que l’IA ne doit rester qu’un moyen au service de buts socialement légitimes. Quant au principe de vigilance, il tient compte de la nature évolutive de la technologie, de la complexité de son déploiement et des acteurs impliqués et impose essentiellement de ne pas se concentrer sur le seul usage innovant recherché mais à prendre en considération les différents impacts de l’IA.

Sans refuser les progrès que l’IA est indéniablement susceptible d’apporter, ces principes éthiques invitent à garder toujours à l’esprit la potentialité que l’IA s’écarte de ce principe de loyauté, autrement dit qu’elle soit susceptible de générer des effets indésirables tant pour ses utilisateurs que pour son environnement. C’est l’enjeu des « dérives de modèles » que la CNIL décrit dans son glossaire de l’IA comme « la perte d’adéquation entre un modèle et la tâche qu’il doit accomplir. Cette dérive peut résulter d’un réapprentissage du modèle ou d’une évolution de l’environnement dans lequel il s’applique (domaine d’emploi) »5.

La vigilance doit donc s’exercer d’abord en amont : tout professionnel se doit d’anticiper les dérives possibles de l’IA qu’il développe ou qu’il exploite. Ce principe se retrouve au centre des nouvelles règles de conformité que le projet d’AI Act envisage d’imposer aux professionnels en lien avec la conception, l’exploitation et la distribution des IA dites à « risques élevés ». Le projet actuel prévoit ainsi la nécessité de réaliser une étude d’impact sur les droits fondamentaux et une étude de conformité. On peut supposer que les autres professionnels maniant des IA non considérées comme à « risques élevés » ne seront pas pour autant dispensés de tout devoir d’anticipation précisément parce qu’il découle des principes éthiques, même si l’ampleur de ce devoir sera nécessairement plus limitée et proportionnée aux enjeux et aux moyens des professionnels concernés. On peut alors imaginer un « devoir de vigilance » consacré au même titre que le devoir d’information ou de conseil comme source de responsabilité dont les contours resteraient à définir au cas par cas.

En outre, même s’il est probablement illusoire (y compris pour une IA) de prédire toutes les dérives possibles, il reste au professionnel la possibilité de surveiller la survenance de telles dérives. Là encore le projet d’AI Act prévoit des obligations continues de contrôle de la qualité des données et de suivi des effets. Au professionnel de se doter des bons outils de mesure et de définir les bons « critères d’arrêt ». S’agissant de la mise en œuvre de ces principes, le projet d’AI Act exige une supervision humaine.

À cet égard, au cœur des différentes règles éthiques se trouve l’impératif de résilience en cas de dérive de modèle, autrement dit, l’obligation de reprendre la main et de se substituer à l’IA. En effet, si on considère que l’humain doit rester au centre et surveiller les dérives de l’IA, cela implique qu’il soit en mesure de se passer de la machine s’il constate que cette dernière dysfonctionne au regard des impératifs éthiques dans le cadre desquels elle était censée opérer. Cependant, cette dernière exigence éthique semble la plus difficile à réaliser à terme. Pour reprendre un exemple dans le registre médical, comment imaginer qu’un professionnel de soin puisse efficacement se substituer à une machine qui l’aura remplacé et lui aura fait perdre la pratique ?

À défaut d’apporter une réponse simple à cette question, les règles du Code civil laisseront la latitude requise pour une application adaptée aux circonstances de chaque espèce lorsqu’elles se présenteront à la justice.

Risques cyber. Au-delà des dérives de modèles inhérentes que l’on vient d’évoquer, les IA sont hautement dépendantes de la robustesse des systèmes informatiques qui les font fonctionner et de la qualité des données de toute nature avec lesquelles elles interagissent. Ayant dit cela, on mesure leur vulnérabilité aux risques d’attaques malveillantes de toutes sortes. Si, pendant un temps, les cyberattaques étaient plutôt perçues comme une fatalité contre laquelle on était démuni, la maturité des opérateurs a progressé et les obligations de sécurisation des systèmes d’information se sont considérablement renforcées, notamment sous l’impulsion des règles de protection des données personnelles. Parmi les risques que les professionnels ont l’obligation d’anticiper figurent divers types d’attaques tels que les attaques par empoisonnement de données lors de la phase d’entraînement d’une IA, les attaques par exemple contradictoires, les exfiltrations de modèles, etc.

Sans attendre la directive sur la responsabilité pour les produits défectueux, définissant un défaut de cybersécurité comme un « défaut », les carences dans les mesures de sécurité informatiques élémentaires sont déjà une source de responsabilité.

Promotion de l’innovation et accès aux preuves. En définitive, sans que l’on sache précisément les contours que prendra la responsabilité de droit commun, on peut tout de même considérer que ses règles offrent des solutions pour appréhender les situations inédites pouvant être produites par une IA. Il n’en demeure pas moins que si on laisse aux juges la mission de « réagir » aux cas qui se présentent à eux, armés des seuls principes éthiques présentés plus haut, le risque existe aussi qu’ils retiennent une approche indemnitaire trop systématique qui pourrait nuire à l’innovation. De ce point de vue, l’instauration de règles nouvelles au travers des projets de directives en cours de discussion peut tempérer ce risque (même s’il n’y est actuellement nullement question que ces règles se substituent au droit commun).

En outre, face à la complexité des systèmes d’IA, le partage des responsabilités ne sera pas nécessairement juste et justifié. À cet égard, une partie des travaux législatifs vise à imposer des règles de transparence, d’intelligibilité et de traçabilité. Ces règles sont d’ailleurs de celles qui provoquent le plus de débats car certains professionnels les disent impossibles à respecter dans leur activité. C’est aussi l’objet des nouvelles règles aménageant l’accès aux preuves. Or, davantage que la réforme des règles de responsabilité, c’est sur cette question de l’accès aux preuves que l’arsenal juridique actuel demeure sans doute le plus vulnérable. Il est heureux de constater qu’il s’agit d’une préoccupation du législateur européen dans les deux projets de directives.

Notes de bas de pages

  • 1.
    Reuters, « Simulation of AI drone killing its human operator was hypothetical, Air Force says », 8 juin 2023 : https://lext.so/JLT2po.
  • 2.
    European Parliament resolution of 16 February 2017 with recommendations to the Commission on Civil Law Rules on Robotics (2015/2103(INL).
  • 3.
    PE et Cons. UE, dir. n° 2022/0302, 28 sept. 2022.
  • 4.
    CNIL, Comment permettre à l’Homme de garder la main ? Les enjeux éthiques des algorithmes et de l’intelligence artificielle, déc. 2017 : https://lext.so/QJZfi2.
  • 5.
    CNIL, glossaire, IA : https://lext.so/7NSnAo.
Plan