Le nouveau cadre réglementaire de l’intelligence artificielle se met en place. N’attendez pas que vos concurrents le fassent : anticipez les nouvelles contraintes légales et bénéficiez d’un avantage concurrentiel !
L’intelligence artificielle a démontré son apport potentiel dans de nombreux domaines de l’activité humaine, par des gains d’efficacité, par l’offre de solutions innovantes ou l’amélioration de la qualité de produits ou services existants (notamment par une analyse plus fine des besoins ou des attentes des clients), par une meilleure optimisation dans la gestion (notamment de projets). L’intelligence artificielle peut donc constituer un levier de croissance pour les entreprises qui l’utilisent. Elle peut également ouvrir de nouvelles opportunités en libérant les équipes de tâches répétitives.
Si les bénéfices de l’intelligence artificielle ne sont donc plus à démontrer, la puissance de cette technologie nouvelle inquiète et de nombreuses questions se posent : transparence, traçabilité, contrôle des apprentissages et des évolutions par les données, fiabilité, biais, sécurité et confidentialité…
Autant d’interrogations légitimes qui ont été amplifiées par le succès de ChatGPT, mais aussi par la médiatisation de certains usages abusifs de ces outils.
Pour répondre à ces interrogations et craintes, plusieurs initiatives législatives importantes ont vu le jour, l’Europe étant pionnière en ce domaine. Le but du législateur européen est d’encadrer l’usage de l’intelligence artificielle, afin que les solutions et outils basés sur l’IA soient développés et utilisés conformément aux valeurs de l’Union européenne, et afin que des principes de responsabilité clairs permettent d’assurer la confiance des utilisateurs.
Les piliers de cette réglementation de l’intelligence artificielle sont les suivants (à retrouver en détails ci-dessous) :
- Le règlement européen sur l’IA (IA Act) (1) ;
- La directive européenne sur la responsabilité en matière d’IA (2) ;
- La révision de la directive sur la responsabilité du fait des produits défectueux (3).
Le cadre juridique régissant l’intelligence artificielle comporte de nombreuses obligations et règles qui doivent être prises en compte dès la phase initiale d’un projet IA, afin de pouvoir assurer une conception conforme du système IA et éviter des modifications ultérieures.
L’identification des points de conformité au Règlement européen sur l’IA constitue donc une étape cruciale des projets IA. De même, l’identification des risques contractuels permet d’assurer la sécurité juridique d’un projet et de l’exploitation ultérieure de ses résultats. La combinaison de ces deux éléments permet de lister les contraintes applicables et les éléments à répercuter dans les contrats organisant la mise en place d’une solution IA.
Anticiper ces contraintes légales et contractuelles permet d’éviter les modifications et retards ultérieurs et assure une conformité dès la conception. Un avantage concurrentiel non négligeable, dans un domaine où les délais ont une importance cruciale.
Grâce à son expertise reconnue en droit de l’innovation et des technologies, Lexing a mis au point des outils visant à accompagner les entreprises dans leurs projets d’intelligence artificielle :
- des supports permettant d’assurer la formation des équipes de projets IA ;
- des outils permettant de faciliter l’identification des règles applicables ;
- une palette de solutions facilitant l’intégration des contraintes réglementaires dans les projets et les documents juridiques les accompagnant (fiches pratiques, modèles de clauses spécifiques…).
Si vous cherchez un partenaire juridique de confiance pour accompagner vos projets IA, contactez l’équipe Lexing !
Le Règlement IA vise à encadrer la mise sur le marché européen de systèmes d’IA.
Il poursuit un double objectif. D’une part, imposer des obligations spécifiques aux différents opérateurs de la chaîne de l’IA (fournisseurs, utilisateurs, importateurs ou distributeurs) afin de garantir la santé et la sécurité pour les utilisateurs. D’autre part, promouvoir des systèmes d’IA conformes aux valeurs de l’Union européenne, et notamment assurer le respect des droits fondamentaux.
Aperçu de la structure du Règlement
Le Règlement IA repose sur une approche basée sur la gestion des risques liés à l’usage de l’IA. En fonction du degré de risques, les systèmes d’IA sont classés en différentes catégories auxquelles des obligations différentes s’appliquent. Plus un système d’IA comporte des risques élevés, plus il sera soumis à des obligations strictes.
Certaines utilisations de l’IA sont par ailleurs totalement interdites, telles que les systèmes qui utilisent des techniques subliminales dans le but d’induire en erreur, ou encore les systèmes qui exploitent les vulnérabilités des individus.
Les systèmes d’IA à haut risque sont quant à eux soumis aux règles les plus strictes. Pour le fournisseur d’un système IA de ce type, il s’agit principalement d’obligations portant sur :
- la mise en place d’un système de gestion des risques décrivant une politique complète (identification des risques, évaluation, traitement des risques, gestion des éventuels risques résiduels), ainsi qu’un système de contrôle qualité ;
- le développement d’une politique de gouvernance des données permettant d’assurer la qualité des données utilisées dans le développement et l’entraînement des modèles d’IA ;
- la mise en place de systèmes de logs permettant de suivre l’usage de l’IA tout au long de son cycle de vie ;
- la conception d’outils IA assurant un niveau de fiabilité et de cybersécurité adapté à leur finalité d’utilisation ;
- la mise à disposition d’une documentation complète du système d’IA et de sa conformité aux exigences du Règlement IA, avec obligation de transparence à l’égard des utilisateurs (en vue de leur assurer une pleine connaissance des capacités et performances de l’outil IA qu’ils utilisent, et de leur indiquer comment assurer le contrôle humain sur cet usage).
Outre la distinction basée sur le type de système IA, le Règlement introduit également une distinction fondée sur le rôle de l’intervenant dans la chaîne de développement/exploitation du système IA. Plus le rôle est étroitement lié à la conception et la configuration de l’outil, plus les obligations seront lourdes. Le fournisseur du système IA est logiquement le plus exposé aux obligations du Règlement.
L’importance de la qualification du système IA
La définition de règles adaptées au niveau de risques, et donc à chaque type de système d’IA, rend cruciale la question de la qualification du système IA au sein de cette échelle de risques.
Afin de pouvoir anticiper la mise en œuvre du Règlement IA, il convient donc d’évaluer attentivement la nature de chaque outil IA pour déterminer les règles auxquelles il devra se conformer.
Ainsi, est considéré comme étant à « hauts risques » un système IA destiné à être utilisé comme un composant de sécurité d’un produit ou qui est en lui-même un produit devant faire l’objet d’une évaluation par un tiers de sa conformité sur la base de la législation d’harmonisation de l’Union (dispositifs médicaux, par exemple).
L’Annexe III du Règlement IA liste une série de systèmes considérés comme étant à hauts risques.
L’identification du rôle
Le Règlement sur l’IA utilise un second axe de classification, basé sur le rôle des acteurs au sein de la chaîne de l’IA. Cette classification est complémentaire de celle fondée sur la nature du système IA. Il est donc essentiel de correctement évaluer la qualification juridique qui doit être associée à chaque participant à un projet lié à un système IA.
Par exemple, le fournisseur est celui qui développe un système IA (ou le fait développer par un tiers pour son compte) et le place sur le marché en son nom et pour son compte. Tout projet reposant en tout ou en partie sur l’usage de systèmes IA nécessite donc de vérifier les modalités de collaboration entre les participants, pour s’assurer d’identifier correctement les rôles visés par le Règlement IA. Cette qualification des rôles permet d’identifier les obligations applicables et dès lors de pouvoir les répercuter dans les contrats organisant le projet.
En parallèle de la proposition de Règlement sur l’IA, une nouvelle Directive sur la responsabilité en matière d’IA a été proposée par la Commission européenne. L’objectif est de renforcer la confiance des utilisateurs des systèmes IA, en établissant des règles harmonisées de réparation des dommages causés par des systèmes IA et en facilitant les recours de victimes en vue d’obtenir une réparation civile.
La difficulté d’établir une faute et un lien de causalité face à des systèmes techniquement complexes constitue un frein pour l’adoption généralisée des systèmes IA.
La proposition de Directive est dès lors construite autour de ces deux grands axes : simplifier les recours en allégeant la charge de la preuve par une présomption de causalité. En outre, garantir l’accès aux éléments techniques permettant d’établir la faute par des obligations spécifiques à charge des fournisseurs de systèmes IA.
La présomption de causalité
Dans la mesure où il est en pratique souvent délicat de prouver le lien entre une faute et l’usage d’un outil technique tel qu’un système IA, la proposition de Directive introduit une présomption de lien de causalité dès lors que la faute est prouvée et que le lien entre cette faute et le dommage semble raisonnablement plausible. Par conséquent, la charge de la preuve pour la victime est simplifiée, car elle ne doit plus établir en détail comment le dommage a été causé par une faute du fournisseur ou de l’utilisateur de l’IA.
L’accès aux éléments de preuves par la victime
La preuve de la faute nécessite quant à elle l’analyse de données techniques qui ne sont pas toujours facilement accessibles. La directive accorde donc aux victimes de préjudices résultant de systèmes d’IA à hauts risques le droit d’obtenir les informations nécessaires auprès de l’entreprise concernée (fournisseur ou utilisateur d’IA selon le cas).
Cette disposition vise à encourager les recours de victimes, en évitant qu’elles soient bloquées par l’opacité de fonctionnement ou la complexité des systèmes IA.
Cette directive permet de faciliter les recours de victimes ayant subi un dommage du fait d’un produit défectueux.
L’usage de systèmes d’IA à grande échelle ouvre la perspective de nombreux cas de dysfonctionnement d’outils face auxquels l’identification de la partie fautive pourrait s’avérer très complexe. L’objectif de la révision de cette Directive vise donc à sécuriser le possible recours à cette responsabilité sans faute vis-à-vis des systèmes IA.
En ce qui concerne le champ d’application, la notion de produit défectueux est élargie aux logiciels et produits au sein desquels les systèmes d’IA sont implémentés.
Sur le plan probatoire, on notera que le refus de fournir les preuves (techniques en particulier) demandées par la victime entraîne une présomption automatique de défectuosité du produit en question. De plus, si la victime parvient à fournir des preuves pertinentes qu’il est plausible que le dommage soit lié à un défaut du système IA, une double présomption peut être appliquée, permettant de présumer à la fois la défectuosité du produit et le lien causal entre cette défectuosité et le dommage subi. Enfin, le juge peut également renverser la charge de la preuve si la victime rencontre des difficultés excessives en raison de la complexité technique ou scientifique du dossier.
Il est également important de noter que les fabricants peuvent être tenus responsables des modifications qu’ils apportent aux produits déjà mis sur le marché, que ce soit par le biais de mises à jour ou par l’apprentissage automatique de l’IA. De même, les fournisseurs de logiciels ou de services numériques qui influent sur le fonctionnement d’un produit peuvent également être responsables pour les dommages causés par le défaut du produit.
Notons encore que l’évaluation de la « défectuosité » prendra en compte des circonstances nouvelles, telles que l’impact potentiel de la capacité d’apprentissage d’un produit sur sa sécurité après son déploiement.
En plus de nos différents articles d’actualité que vous pouvez retrouver ci-dessous, nous vous proposons quelques vidéos :
Nos dernières actualités sur ce thème
-
02/12/24
Comment contractualiser la gestion des risques liés à l’IA ?
Anne-Valentine RensonnetAlexandre Cruquenaire -
05/11/24
Règlement IA : Données d’entraînement et aspects contractuels clés
Quentin BebronneAlexandre Cruquenaire -
05/11/24
Règlement IA : quelle responsabilité en cas de litige contractuel ?
Marion DardenneAlexandre Cruquenaire