L’intelligence artificielle face au droit : l’AI Act créé des avancées mais des problèmes demeurent

Par Bertrand Lemaire | Le mercredi 19 juin 2024 | Gouvernance

L’avocate spécialisée dans le numérique Christiane Féral-Schuhl, ancienne bâtonnière de Paris et ancienne présidente du Conseil National des Barreaux, est notamment l’autrice de l’ouvrage de référence Cyberdroit. Elle revient ici sur les récentes évolutions juridiques autour de l’intelligence artificielle.

Christiane Féral-Schuhl est une avocate spécialisée dans le numérique, auteure de Cyberdroit. - © Benoit Pitre

L’AI Act a enfin été publié en début d’année. Quelles obligations générales entraîne cette directive européenne en l’état ? Une transcription en droit national est-elle encore nécessaire ?

Le règlement européen sur l’intelligence artificielle vise à encadrer le développement, la commercialisation et l’utilisation des systèmes d’IA au niveau européen. Le texte définit ainsi des obligations applicables à la conception et au développement de certains systèmes d’IA avant leur mise sur le marché. Les systèmes d’IA concernés, classés par niveau de risque, doivent ainsi satisfaire à un ensemble d’exigences qui s’imposent aux fournisseurs ou aux utilisateurs, en matière de protection des droits fondamentaux, de sécurité, d’information des consommateurs, etc.

Les règlements européens étant d’application directe en droit interne, la mise en œuvre de l’IA Act n’est pas subordonnée à sa transposition en droit interne. Cela étant, la France pourrait être amenée à adopter une loi afin d’adapter le droit national au règlement comme cela a été le cas avec la publication récente de la loi SREN dont l’un des objectifs est d’adapter le droit français pour l’application du DSA, du DMA et du DGA.

Quelles obligations pèsent plus spécialement sur les fournisseurs par cet AI Act ?

Les obligations auxquelles sont soumis les fournisseurs de systèmes d’IA - qui figurent parmi les principaux acteurs visés par l’IA Act - dépendent du niveau de risque associé au système d’IA : risques inacceptables, haut risque et risque limité.

La majorité des obligations, prévues par l’IA Act, incombent aux fournisseurs de systèmes d’IA « à haut risque », tels que les systèmes d’identification biométrique ou les systèmes destinés à être utilisés pour influencer le résultat d’une élection. Ces systèmes d’IA sont ainsi soumis à un ensemble d’exigences strictes qui impose une mise en conformité by design : mise en place d’un système de gestion des risques ; assurer la gouvernance des données ; établir une documentation technique ; tenue de registres d’activité ; assurer la surveillance par des personnes physiques ; mise en place de mesures garantissant notamment la robustesse et la cybersécurité du système ; information des utilisateurs quant au fonctionnement du système.

Les fournisseurs de systèmes d’IA « à risque limité » sont quant à eux soumis à des obligations d’information plus légères. Ces obligations consistent principalement à s’assurer que les utilisateurs finaux ont conscience qu’ils interagissent avec une IA. À titre d’exemple, les systèmes d’IA qui créent du contenu synthétique, tels que les deepfakes, devront indiquer que leurs résultats sont générés par une IA.

Enfin, les systèmes d’IA considérés comme présentant un risque inacceptable au regard du règlement, tels que les systèmes qui manipulent les décisions des individus ou exploitent leurs vulnérabilités, sont tout simplement interdits.

Et sur les entreprises utilisatrices ?

Les entreprises utilisatrices de systèmes d’IA sont également soumises à certaines obligations en cas de déploiement d’IA « à haut risque ». Il s’agit notamment d’utiliser les systèmes d’IA conformément aux instructions d’utilisation, d’assurer une surveillance humaine, de conserver les journaux générés par le système d’IA, de veiller à la pertinence des données d’entrée et de contrôler le fonctionnement du système.

Il leur incombe également d’informer les salariés et leurs représentants avant de mettre en service un système d’IA sur le lieu de travail.

Parmi les usages médiatisés de l’IA à l’occasion des Jeux Olympiques, il y a la reconnaissance faciale. Où en est l’état du droit pour les usages en entreprises de ce dispositif biométrique ?

Au regard des risques qu’ils présentent, les systèmes biométriques font l’objet d’une attention toute particulière dans l’IA Act.

Le texte interdit ainsi les systèmes d’IA qui développent des bases de données par l’extraction d’images de vidéosurveillance, qui déduisent les émotions de personnes physiques sur leur lieu de travail ou qui classent les personnes sur la base de leurs données biométriques.

D’autres systèmes biométriques, utilisés dans le cadre de la sécurité ou de la surveillance, sont quant à eux autorisés sous réserve d’être également autorisés par le droit de l’Union ou le droit national. Ces systèmes sont néanmoins soumis à des règles strictes du fait de leur classification en tant que systèmes d’IA à haut risque. Il s’agit par exemple des systèmes d’identification biométrique à distance.

En outre, l’IA Act indique expressément que le recours aux systèmes d’identification biométrique à distance « en temps réel » doit être subordonné à une autorisation préalable octroyée par l’autorité judiciaire ou administrative compétente.

Dès lors, si la mise en place de dispositifs biométriques par les entreprises dans leurs locaux ne semble pas totalement interdite au regard de l’IA Act, elle sera très certainement l’exception et non la règle tant les obstacles sont nombreux. D’autant plus que l’usage par l’employeur de systèmes biométriques reposant sur l’IA fait également l’objet d’un encadrement strict par le RGPD.

L’IAG se répand à grande vitesse dans les logiciels d’entreprises. Mais certains DSI se plaignent des contrats obscurs associés à ces fonctionnalités. Est-ce aussi votre constat ?

Il est trop tôt pour répondre de manière satisfaisante. Les retours d’expériences sont encore insuffisants.

En l’état actuel du droit, qui est responsable des conséquences d’une hallucination ou d’une réponse erronée d’une IAG, que ce soit dans la réponse à un client via un chat ou dans la rédaction d’un document technique ?

En l’état actuel du droit, seul le droit commun de la responsabilité peut régir la question de la responsabilité des dommages causés par l’IA. Cela étant, ce régime n’est pas adapté à la complexité des défis posés par les systèmes d’IA et les décisions qui pourraient être rendues sur ce fondement dépendraient largement des circonstances d’espèce.

Dans l’hypothèse d’un dommage causé suite à une hallucination, les éventuels contrats conclus entre l’entreprise utilisatrice, le fournisseur d’un système d’IA ou l’utilisateur final peuvent toutefois permettre de solutionner la question de la responsabilité. Encore faut-il que le contrat prévoie des dispositions claires et détaillées sur les cas dans lesquels la responsabilité du fournisseur ou du déployeur de système d’IA peut être engagée.

En l’absence de régime spécifique à la responsabilité des dommages causés par l’IA, le recours à des outils contractuels reste donc la solution la plus adaptée.

Comment une entreprise peut-elle se garantir juridiquement face aux conséquences des hallucinations ? On pense, par exemple, à la fausse promotion générée par une IA sur le site web d’une compagnie aérienne américaine.

Comme évoqué précédemment, en l’absence de disposition spécifique, seul le recours au contrat peut éventuellement permettre aux entreprises utilisatrices de systèmes d’IA de se prémunir contre les éventuelles conséquences des hallucinations des systèmes qu’elles utilisent ou mettent à la disposition de leurs clients.

Les entreprises doivent toutefois avoir à l’esprit qu’une exclusion totale de leur responsabilité peut ne pas être possible, notamment au regard des dispositions du Code de la consommation.

Quelles sont les prochaines étapes attendues de l’évolution de la réglementation autour de l’IA ?

Les lignes directrices que la Commission européenne est chargée d’élaborer au titre de l’IA Act figurent parmi les textes attendus en matière d’IA. Ces lignes directrices devront expliquer de manière concrète la façon dont certains aspects du Règlement devront être mis en œuvre (en matière de pratiques interdites, d’obligations de transparence, etc.).

En outre, l’article 95 de l’IA Act encourage l’élaboration de codes de conduite, par les fournisseurs et les déployeurs d’IA, dont l’objectif sera d’établir des exigences spécifiques, normes et bonnes pratiques. Nous pouvons donc nous attendre à voir apparaitre des codes de conduite spécifiques aux systèmes d’IA à la suite de l’entrée en vigueur du règlement.

La course à la réglementation de l’IA étant lancée à l’international, divers projets de loi sont à l’étude dans de nombreux pays. L’adoption de ces textes pourra notamment impacter les concepteurs d’IA qui souhaiteraient commercialiser leur solution hors de l’Union européenne.

À titre d’exemple, le Canada travaille actuellement sur un projet de loi sur « l’intelligence artificielle et les données » qui ambitionne de réglementer les échanges internationaux et interprovinciaux en matière de systèmes d’IA par l’établissement d’exigences communes à l’échelle du Canada pour la conception, le développement et l’utilisation de ces systèmes.