L’arsenal juridique européen sur l’IA arrive en 2023 !

Article rédigé le 22 janvier 2023 par Me Laurence Huin et Raphaël Cavan

ChatGPT, l’intelligence artificielle développée par la fondation OpenAI, est le porte étendard de cette nouvelle génération d’intelligence artificielle qui bouscule les usages personnels et professionnels des outils informatiques du quotidien, mais également la manière de penser la société. Sa prochaine version contiendra 100 trillions de paramètres, là où celle actuelle n’en possède « que » 175 millions …, de quoi donner le vertige sur le potentiel derrière cette technologie, qui suscite déjà une grande effervescence en ce début d’année, comme en témoigne Microsoft qui souhaite intégrer ce nouveau modèle de langage dans ses services de chatbot pour son moteur de recherche Bing.C’est dans ce contexte que l’UE a fait le choix de réguler l’IA au travers d’un règlement et de deux directives.

L’Intelligence artificielle (IA) est indéniablement la technologie au cœur des enjeux économiques, politiques et sociaux des sociétés modernes.

Consciente de son caractère disruptif, la Commission européenne entend se positionner sur le sujet avec une proposition de règlement publiée le 21 avril 2021 (« Artificial Intelligence Act » ou « IA Act ») imposant aux opérateurs économiques dans le secteur de l’IA un ensemble d’obligations préventives applicable dès la conception d’une IA.

Deux directives présentées en septembre 2022 s’ajoutent aux mesures préventives prévues par cette proposition, et viennent former un système global de responsabilité civile afin de favoriser la confiance dans l’IA (et d’autres technologies numériques) en garantissant une indemnisation effective des victimes en cas de dommage : la directive sur les produits défectueux et celle sur la responsabilité en matière d’IA.

Cet article est le premier d’une série consacrée au cadre juridique européen de l’IA.

L’Intelligence Artificielle Act

L’IA Act est une proposition de règlement européen dont l’objectif est de poser les « exigences minimales nécessaires pour répondre aux risques et aux problèmes liés à l’IA ».

Le projet de règlement s’inscrit dans la stratégie numérique de l’Union européenne, et a pour objectif la mise en place d’un marché unique européen compétitif, innovant et accessible pour le développement d’applications d’IA dans le respect des droits fondamentaux des personnes et valeurs de l’Union européenne.

Le projet de règlement s’inscrit dans la même logique que la réglementation générale sur la protection des données personnelles (RGPD). Tout d’abord, en termes de champ d’application, en ce que cette proposition de règlement vise les fournisseurs d’IA et les utilisateurs situés sur le sol européen, mais également ceux situés dans des pays tiers qui utiliseraient les résultats générés par une IA dans l’UE (Article 2).

La comparaison se poursuit avec la mise en place d’un système de sanctions basé sur le chiffre d’affaires annuel mondial allant de 2% à 6% de celui-ci selon l’infraction commise (Article 71), mais également avec des obligations de transparence et de suivi qui s’imposent aux acteurs économiques intervenant dans la fourniture d’une IA (principe d’accountability).

Sur le fond, le projet de règlement impose des mesures préventives aux opérateurs économiques proportionnelles par rapport au niveau de risque susceptible d’être créé par l’IA allant de minimal ou faible, à élevé, ou encore inacceptable. En fonction du risque, des exigences légales supplémentaires sont imposées aux opérateurs économiques, notamment en matière de gouvernance des données, de documentation, de contrôle humain, de transparence, et de sécurité du système.

On rappellera que le niveau inacceptable est défini par le projet de règlement comme relevant des pratiques interdites, notamment les techniques de manipulation de la population, ou encore la mise en place de systèmes de notation sociale alors que les IA présentant un niveau de risque élevé sont des IA intervenant notamment dans le domaine de la santé, la sécurité, ou encore ayant une influence sur les droits fondamentaux des personnes.

Le projet de règlement laisse tout de même une marge de manœuvre aux Etats membres quant au choix de l’autorité de contrôle chargée de veiller au respect du prochain règlement. En France, la CNIL semble être la candidate idéale pour endosser ce rôle selon le Conseil d’Etat, dans son étude publiée le 30 août 2022, en raison de « la très forte adhérence entre la régulation des systèmes d’IA [à venir] et celle des données, en particulier des données à caractère personnel ».

La Directive sur la responsabilité en matière d’IA

Les dispositions de ce projet de nouvelle directive visent à harmoniser les règles entre les Etats membres de l’UE en matière d’action civiles en réparation d’un dommage subi par la victime, qui relèverait d’une faute extracontractuelle (par exemple d’un comportement fautif de la part d’une personne intervenant dans la conception de l’IA).

Cette proposition couvre les actions en responsabilité engagées au niveau national et fondées principalement sur la faute d’un tiers de manière à prévoir une indemnisation pour tout type de dommage et tout type de victime.

Ce comportement fautif se traduit, selon les termes de la directive, par « un manquement à un devoir de vigilance prévu par le droit de l’Union ou le droit national visant directement à protéger contre le dommage survenu ». On pense bien évidemment aux nouvelles obligations posées par l’IA Act.

La directive vise à alléger la charge de la preuve de la victime par la mise en place d’une présomption réfragable de causalité entre le dommage et la faute pour tout système d’IA (article 4) alors qu’elle prévoit également des règles relatives à la divulgation d’éléments de preuve qui s’appliqueront uniquement aux systèmes d’IA à haut risque (article 3).

La Directive sur la responsabilité des produits défectueux

Le chantier de l’IA Act est également l’occasion de moderniser l’actuelle directive sur la responsabilité des produits défectueux datant de 1985.

Ce dépoussiérage passe par la modernisation de la notion de produit qui inclura désormais les logiciels servant de base au système d’une IA et en élargissant la notion de dommage à la perte ou la corruption des données (article 4).

Contrairement à la directive sur la responsabilité en matière d’IA, la directive sur la responsabilité du fait des produits défectueux couvre la responsabilité sans faute du producteur pour les produits défectueux, ce qui entraîne l’indemnisation de certains types de dommages, principalement subis par des particuliers.

Cette directive vise aussi à l’allégement de la charge de la preuve de la défectuosité de l’IA, en tant que produit.

L’adoption à venir de ces 3 textes

Le projet de règlement et les deux directives sont encore au stade de la proposition.

• S’agissant du projet du règlement

La voie réglementaire a été privilégiée par les eurodéputés afin de rendre directement applicable l’ensemble des dispositions de l’IA Act à l’ensemble des Etats membres de l’UE. Ce choix logique s’explique par l’importance historique du sujet abordé, et vise à réduire au maximum “la fragmentation juridique” entre les Etats membres sur ce sujet.

Concernant le calendrier d’adoption de ce texte, les ministres du Conseil de l’Europe se sont mis d’accord en décembre 2022 sur l’approche générale de l’IA Act. Reste le Parlement européen qui devrait se prononcer sur le texte aux alentours du mois de mars 2023 avant d’être définitivement adopté.

Une fois le règlement adopté, il faudra alors compter 24 mois après sa publication au Journal officiel européen pour que celui-ci soit directement applicable dans toute l’UE, ce qui laisse sous-entendre, à l’heure actuelle, une entrée en application en 2025 au plus tôt.

• S’agissant des deux projets de directives

Celles-ci devront une fois qu’elles seront adoptées par le Parlement européen et le Conseil de l’Europe faire l’objet d’une transposition dans l’ordre juridique national de chaque Etat membre de l’UE par le biais d’une loi.

Le choix des eurodéputés de passer par l’outil de la directive, et non celui du règlement, pour définir le cadre juridique de la responsabilité civile est une manière d’accorder aux Etats membres une grande souplesse pour intégrer les dispositions des deux directives dans leurs régimes nationaux, et ainsi éviter de leur imposer une transposition directe par un règlement bouleversant leur tradition juridique national en matière de droit de privé.

Pour autant, même si la modernisation de la notion de produit ne posera pas de grandes difficultés,  cette marge de manœuvre laissée aux Etats membres dans la transposition de la directive sur la responsabilité extracontractuelle en matière d’IA risque de compromettre la volonté d’harmonisation, au combien nécessaire et déterminante dans la réussite de cet ambitieux cadre juridique qui ne vise pas seulement à imposer de lourdes obligations aux opérateurs économiques, mais aussi à poser les jalons d’une économie numérique européenne capable de s’adapter aux nouvelles technologies.

À ce titre, les eurodéputés envisagent l’instauration d’un Bureau de l’intelligence artificielle (AI Office) qui serait chargé de rationaliser l’application de la réglementation et de la résolution des différends en matière de compétence dans les affaires transfrontalières. Reste à savoir ce que ce Bureau apportera de plus par rapport au Comité européen de l’Intelligence artificielle prévue dans le projet de règlement (Article 56).

Autre enjeu à venir, celle de l’articulation du régime encadrant l’IA avec les autres textes européens en vigueur, comme le règlement sur les services numériques (le Digital service Act dit « DSA »), le règlement sur la gouvernance européenne des données ( le Data Gouvernance Act dit « DGA ») ou encore le RGPD.

Comme annoncé, de prochains articles bientôt disponibles sur le site du cabinet viendront apporter des précisions sur les textes qui composeront le cadre juridique autour de l’IA que construit l’UE.