Actualités Actualités du moment Agence Régionale de Santé Autorité ou organisme national Clinique Collectivité territoriale Datactu Établissement de santé privé à but non lucratif Établissement public de santé Industriels et laboratoires Ordre professionnel Organisme de recherche Professionnel de la pharmacie Professionnel de santé paramédical Professionnel médical Professionnels du social et du médico-social Raphaël Cavan Startup Université

IA : Priorité au développement, mais à quel prix ?

Article rédigé le 28 mars 2025 par Me Raphaël Cavan

Alors que la France accueillait à Paris, du 6 au 11 février 2025, le Sommet pour l’action sur l’intelligence artificielle (IA), réunissant experts et décideurs pour aborder les enjeux éthiques et défis réglementaires liés à l’IA, la Commission européenne a annoncé, à la suite de cet événement, le retrait de la directive sur la responsabilité en matière d’IA de son programme de travail pour 2025.
Cette décision soulève de vives interrogations qui laissent une zone grise dans la manière dont la responsabilité des acteurs de l’IA sera encadrée, et ce, alors que le cadre juridique actuelle en matière d’IA s’intéresse principalement au développement de l’IA. Alors, faut-il reculer pour mieux avancer ?

À l’occasion de son discours lors du Sommet sur l’IA, le vice-président américain, JD Vance, a critiqué la « surréglementation » européenne en matière d’IA, suggérant de « démanteler » les réglementations européennes dans le secteur technologique.

À la clôture du Sommet, la Commission européenne a publié son programme de travail 2025 au sein duquel ne figure plus la très attendue directive sur la responsabilité en matière d’IA, qui devait avec la directive révisée sur la responsabilité des produits défectueux, former le système global de responsabilité civile liée à l’utilisation de l’IA. Ce retrait est-il une réponse aux critiques de M. Vance ? La Commission européenne justifie cette décision par l’absence d’« accord prévisible » sur la directive.

En cherchant à promouvoir une image d’ouverture au capital et à l’innovation pour le développement de l’IA en Europe, la Commission européenne aurait-elle négligé son objectif initial de renforcer la confiance dans l’usage de l’IA, comme annoncé en septembre 2022 lors de la présentation des deux directives précitées visant à établir un cadre de responsabilité civile en matière d’IA ? On fait le point.

Cet article s’inscrit dans notre série consacrée au cadre juridique européen sur l’IA.

Une Priorité donnée au Développement de l’IA

Depuis l’entrée en vigueur de l’IA Act, le 1^er août 2024, les phases de développement et de déploiement de l’IA ont fait l’objet de nombreuses précisions par des acteurs européens, tels que la Commission européenne et le Bureau sur l’IA ; ou encore par des acteurs nationaux, tels que la Commission Nationale de l’Informatique et des Libertés (« CNIL ») et la publication sur son site internet, le 8 avril 2024, de ses fiches pratiques dédiées à l’IA.

À titre de précision, la CNIL définit dans ses fiches la phase de développement de l’IA comme celle visant à concevoir, développer et entrainer un système d’IA, et la phase de déploiement comme celle visant à mettre en usage le système d’IA sur le marché, et assurer sa maintenance. À noter également que l’amélioration continue du système d’IA à partir des données collectées en temps réel, une fois le système d’IA déployé, est comprise dans la phase de développement.

Au niveau européen

Au niveau européen, la publication des lignes directrices de la Commission européenne sur les pratiques interdites en matière d’intelligence artificielle le 4 février 2025, et la publication le 14 novembre 2024 par le Bureau sur l’IA («AI Office », introduit par l’article 64 de l’IA Act – [ À noter que la numérotation des articles de l’IA Act a été modifiée depuis la rédaction de notre premier article dédié à l’arsenal juridique européen sur l’IA. Ainsi, l’article 56 introduisant le Bureau sur l’IA est devenu dans la version finale du texte l’article 64. ]) du premier projet du Code de bonnes pratiques en matière d’IA d’usage général, sont des initiatives à relever dans le cadre du développement et déploiement de l’IA.

S’agissant des lignes directrices de la Commission européenne relatives aux pratiques interdites en matière d’IA, celles-ci donnent un aperçu des pratiques d’IA jugées inacceptables en raison de leurs risques sur les droits fondamentaux des personnes.

Ces lignes directrices visent à accroître la clarté juridique et à fournir des indications sur l’interprétation de la Commission européenne des interdictions énoncées à l’article 5 de l’IA Act, afin d’en garantir une application cohérente, efficace et uniforme. À titre d’illustration, sont notamment interdites les pratiques :

visant à utiliser des techniques subliminales, manipulatrices ou trompeuses ;
exploitant les vulnérabilités dues à l’âge, au handicap ou à une situation socio-économique spécifique ;
évaluant ou classant les personnes sur la base de leur comportement social ou de caractéristiques personnelles ;
évaluant le risque criminel basé uniquement sur le profilage ou les traits de personnalité ;
etc….

Ces lignes directrices (de 140 pages !) ont vocation à servir de guide pratique pour aider les autorités compétentes chargées de l’application de l’IA Act, ainsi que les fournisseurs et déployeurs de systèmes d’IA, à assurer le respect de leurs obligations.

S’agissant du premier projet du Code de bonnes pratiques en matière d’IA d’usage général réalisé par des experts indépendants sous l’impulsion du Bureau européen de l’intelligence artificielle, ce dernier à vocation à détailler les règles de transparence et de droits d’auteur applicables aux fournisseurs de modèles d’IA à usage général.

Sa version finale est annoncée pour le 1^er mai 2025.

Au niveau national

Au niveau national, la CNIL a publié sur son site internet, le 8 avril 2024, ses premières fiches pratiques dédiées à l’IA.

Ces fiches ont pour objectif d’apporter des clarifications et des recommandations concrètes pour le développement des systèmes d’intelligence artificielle (IA) et la constitution de bases de données utilisées pour leur apprentissage, qui impliquent des données personnelles.

Nous retrouvons notamment des fiches dédiées à la détermination d’une base légale de traitement dans le cadre de la constitution d’une base de données d’apprentissage contenant des données personnelles (fiche 4), ou encore sur la sécurité du développement d’un système d’IA (fiche 12).

Par ailleurs, on peut également relever la publication par la CNIL d’une liste non exhaustive d’outils d’évaluation des systèmes d’IA pour permettre aux concepteurs d’IA d’aller plus loin dans l’évaluation du traitement de données personnelles utilisant des techniques d’IA.

Ainsi, ces différentes initiatives qu’elles soient européennes ou nationales, permettent d’entrevoir la logique réglementaire qui se dessine derrière la mise en œuvre de l’IA Act.

En effet, celle-ci repose sur une approche chronologique dans le cycle de vie d’une IA (phase de développement puis phase de déploiement) qui identifie par la même occasion les différents acteurs susceptibles d’intervenir dans la chaîne de production d’un système d’IA (fabricant, importateur, distributeur, mandataire, développeur, déployeur, opérateur), lesquels connaissent une répartition assez claire de leurs obligations au sein de l’IA Act.

Pour autant, cette approche a, pour le moment, privilégié la phase de développement de l’IA au détriment de celle du déploiement du système d’IA, et notamment en ce qui concerne les droits des personnes concernées par le système d’IA.

Il faut toutefois relever que la CNIL a publié le 7 février 2025 de nouvelles fiches pratiques sur l’IA dédiées aux personnes concernées dont les données personnelles sont collectées à des fins de constitution d’une base de données d’apprentissage du système d’IA, que ce soit avec:

une fiche dédiée à l’information des personnes concernées (fiche 9) ;
et une fiche dédiée à l’exercice de leurs droits (fiche 10).

En revanche, qu’en est-il de l’hypothèse où le système d’IA viendrait causer un dommage à la personne concernée, et ce, quelque soit la phase dans laquelle se situe le système d’IA ? La directive sur la responsabilité en matière d’IA qui a été retiré du programme de travail de la Commission européenne avait justement vocation à répondre en partie à cette problématique.

La responsabilité civile en matière d’IA fragilisée

Lors de notre précédent article dédié à la mise en place de l’arsenal juridique européen sur l’IA (à consulter ici), nous vous présentions le cadre réglementaire européen amené à réguler l’IA dans l’Union européenne, lequel comprend bien évidemment l’IA Act, aujourd’hui en vigueur depuis le 1^er août 2024, et ses deux directives « satellites » destinées à former le système global de la responsabilité civile en matière d’IA.

Ces directives présentées par la Commission européenne en septembre 2022 poursuivaient l’objectif suivant : celui de favoriser la confiance dans l’IA, et les autres technologies numériques, en garantissant une indemnisation effective des victimes en cas de dommage.

Ces directives sont les suivantes :

La Directive sur la responsabilité des produits défectueux, qui couvre la responsabilité sans faute du producteur pour des produits défectueux ;
La Directive relative à l’adoption des règles en matière de responsabilité civile extracontractuelle au domaine de l’IA, qui couvre la réparation des fautes commises par des tiers (dite « Directive sur la responsabilité en matière d’IA »).

Responsabilité IA : les directives européennes

S’agissant de la directive sur la responsabilité des produits défectueux, celle-ci a été révisée après son adoption officielle par la Commission européenne le 23 octobre 2024 et sa publication au Journal Officiel de l’Union européenne (JOUE) le 18 novembre 2024.

Cette Directive existait depuis 1985 (Directive 85/374/CEE du Conseil du 25 juillet 1985), et intègre désormais les logiciels servant de base au système d’une IA dans la notion de « produit », et élargie la notion de « dommage » à la destruction ou la corruption des données.

En outre, le texte prévoit un allégement de la charge de la preuve pour les victimes à travers l’instauration d’une présomption de causalité du dommage causé par le produit défectueux (donc de l’éventuel logiciel servant de base au système d’IA) à travers la mise en place de conditions alternatives parmi lesquelles nous retrouvons notamment :

L’absence de divulgation par le défendeur des éléments de preuve auxquels ce dernier est astreint conformément à l’article 9 de la Directive révisée;
La démonstration de l’absence de conformité du produit aux exigences obligatoires en matière de sécurité des produits prévues par le droit de l’Union européenne ou le droit national ;
Ou encore la démonstration que le dommage ait été causé par un dysfonctionnement manifeste du produit lors d’une utilisation raisonnablement prévisible, ou dans des circonstances ordinaires.

Partant de ce postulat, cela est d’autant plus surprenant que la directive sur la responsabilité en matière d’IA ait donc été retirée du programme de travail 2025 de la Commission européenne, alors que celle-ci avait été présentée au même moment que la proposition de révision de la Directive relative aux produits défectueux, soulignant ainsi leur complémentarité.

Concernant la directive sur la responsabilité en matière d’IA, rappelons que celle-ci avait vocation à harmoniser les règles entre les Etats membres de l’Union européenne (UE) en matière d’action civile en réparation d’un dommage subi par une victime, qui relèverait d’une faute extracontractuelle (à titre d’exemple : un comportement fautif de la part d’une personne intervenant dans la conception de l’IA).

À l’image de la Directive révisée sur les produits défectueux, la Directive écartée par la Commission européenne visait ainsi à alléger la charge de la preuve de la victime par la mise en place d’une présomption réfragable de causalité entre le résultat produit par tout système d’IA (le dommage) et la faute du défendeur (article 4), mais aussi des règles relatives à la divulgation d’éléments de preuve qui s’appliquent uniquement aux systèmes d’IA à haut risque (article 3).

Bien qu’un pas ait été franchi avec la révision de la Directive sur les produits défectueux, en écartant la Directive sur la responsabilité en matière d’IA, l’Union européenne envoie un message politique en contradiction avec son objectif principal visant à donner confiance au grand public dans les outils de l’IA, et fragilise ainsi le système de responsabilité civile qu’il souhaitait mettre en place destiné à accompagner la mise en œuvre de l’IA Act.

N’oublions pas que l’apport de ces Directives en matière de responsabilité était principalement justifié par la complexité technique et scientifique dans les contentieux à venir tendant à obtenir la réparation des dommages causés par les nouvelles technologies.

L’ambitieux cadre juridique européen, qui devait poser les jalons d’une économie numérique européenne capable de s’adapter aux nouvelles technologies, subit donc ici une certaine déconvenue.

La Commission européenne prévoit toutefois d’évaluer si une autre proposition sera présentée ou si un autre type d’approche devrait être choisi. Affaire à suivre, que nous ne manquerons pas de relayer au sein de notre blog.

Raphaël Cavan

Raphaël Cavan a rejoint le Cabinet Houdart & Associés en 2022 tant qu’élève avocat, et exerce aujourd’hui en tant qu'avocat au sein du pôle santé numérique.

L’obtention de son master en droit du numérique auprès de l’université Paris XII (UPEC)et ses différentes expériences professionnelles auprès d’acteurs publics lui ont permis de développer un sens du service public et un intérêt pour les enjeux posés par le numérique aujourd’hui dans le secteur de la santé et de la recherche scientifique.

Il intervient aujourd’hui auprès des établissements de santé privés et publics dans leur mise en conformité à la réglementation en matière de données personnelles, et les conseille sur les questions en lien avec le droit du numérique.