L’intelligence artificielle (IA) a investi notre vie quotidienne. Loin des fantasmes, ses usages sont multiples – santé, publicité, transports, sécurité, création artistique…
Mais de quoi parle-t-on exactement ? Assurément pas du Golem ou de Frankenstein, comme avait pu le suggérer le Parlement européen en 2017 (PE, résol., 16 févr. 2017 contenant des recommandations à la Commission concernant des règles de droit civil sur la robotique, 2015/2103 (INL)), préconisant alors la « création, à terme, d’une personnalité juridique spécifique aux robots, pour qu’au moins les robots autonomes les plus sophistiqués puissent être considérés comme des personnes électroniques responsables, tenues de réparer tout dommage causé à un tiers ».
L’idée d’une « personnalité juridique électronique » est désormais rejetée par toutes les autorités intergouvernementales qui réfléchissent à l’encadrement juridique de l’IA. Celles-ci préfèrent d’ailleurs l’expression de « système d’IA » (SIA), évitant ainsi toute assimilation anthropomorphe. Le SIA est défini par la proposition de règlement européen sur l’IA, dit AI Act (Proposition de règlement établissant des règles harmonisées concernant l’intelligence artificielle (législation sur l’intelligence artificielle) et modifiant certains actes législatifs de l’Union, COM(2021) 206 final, 21 avr. 2021), comme « un logiciel qui est développé au moyen d’une ou plusieurs des techniques et approches énumérées à l’annexe I et qui peut, pour un ensemble donné d’objectifs définis par l’homme, générer des résultats tels que des contenus, des prédictions, des recommandations ou des décisions influençant les environnements avec lesquels il interagit ». Le texte est encore en discussion et il est possible que la référence à l’annexe technique disparaisse pour valoriser le critère d’autonomie, comme on le retrouve notamment dans la recommandation de l’OCDE pour une IA digne de confiance, du 22 mai 2019 (OCDE/LEGAL/0449), ou dans le projet « zéro » de convention (cadre) sur l’intelligence artificielle, les droits de l’homme, la démocratie et l’État de droit, du Conseil de l’Europe (version juin 2022).
Le droit de l’IA est en construction. D’évidence, le droit positif s’applique déjà aux SIA. Mais il est temps de réfléchir à l’adaptation de certaines règles ou à l’élaboration de règles nouvelles pour prendre en compte la spécificité de cet outil et permettre ainsi une meilleure sécurité juridique, dans un climat de concurrence normative certaine. Plusieurs initiatives en attestent (v. par ex., aux USA : White House Office of Science and Technology Policy, Blueprint for an AI Bill of Right. Making automated systems work for the american people, oct. 2022 ; et au Royaume-Uni : Department for Digital, Culture, Media and Sport, Establishing a pro-innovation approach to regulating AI, 18 juill. 2022).
Si le droit mou, ou soft law, a semblé, dans les premiers temps, la voie à privilégier pour encadrer les usages de l’IA, la vision « officielle » a évolué. C’est ainsi que les autorités intergouvernementales ont entrepris de réglementer l’IA, en considération de leurs mandats respectifs. Précisément, le Conseil de l’Europe s’attache à réaliser une convention internationale sur l’IA depuis janvier 2022, dans le but de créer un standard juridique contraignant fondé sur les droits de l’homme, la démocratie et l’État de droit, en privilégiant les droits fondamentaux. De son côté, l’Union européenne tente d’organiser le marché, avec l’AI Act et un premier paquet sur la responsabilité civile extracontractuelle, comprenant deux propositions visant à adapter les règles de responsabilité à l’ère numérique, à l’économie circulaire et à l’impact des chaînes de valeur mondiales. La première proposition de directive (Prop. de directive relative à la responsabilité du fait des produits défectueux, COM(2022) 495 final, 28 sept. 2022) réforme la directive de 1985, ambitionnant de moderniser les règles existantes relatives à la responsabilité objective des fabricants du fait des produits défectueux (des technologies intelligentes aux produits pharmaceutiques). La seconde (Prop. de directive relative à l’adaptation des règles en matière de responsabilité civile extracontractuelle au domaine de l’intelligence artificielle, COM(2022) 496 final, 28 sept. 2022), inédite, réalise une harmonisation ciblée des règles nationales en matière de responsabilité applicables à l’IA, afin de permettre aux victimes de dommages liés à cette technologie d’obtenir réparation.
Ainsi, au niveau européen, la gestion des risques de l’IA se construit tant dans l’amont, par des procédures régulatoires et de mise en conformité, que dans l’aval, une fois le dommage réalisé, pour gommer les conséquences négatives de l’IA.
En amont, la réglementation vise à prévenir le dommage. Elle permet aussi d’imposer des valeurs. En particulier, l’AI Act propose une approche graduée fondée sur les risques, exigeant des mesures plus contraignantes pour les applications présentant les risques les plus importants, allant de l’interdiction à un examen de conformité. Le dispositif a été diffusé par la Commission européenne sous la forme d’une pyramide des risques. A son sommet, sont mentionnés les usages bannis en considération de leur nature (manipulation des comportements, notation sociale, reconnaissance faciale dans les espaces publics – avec des exceptions notables). Ensuite, les applications à haut risque (par ex., l’identification biométrique des individus, la gestion des infrastructures critiques, l’éducation ou la justice) doivent répondre à des exigences a priori et à un mécanisme d’évaluation de la conformité préalable à la mise sur le marché. Enfin, les applications à risque limité (comme les chatbots ou les deepfakes) se voient imposer une obligation spécifique de transparence pendant que celles présentant un risque minimum répondent aux dispositions générales existantes, notamment sur la sécurité des produits.
En aval, une fois le dommage réalisé, l’ambition n’est pas de réécrire le droit de la responsabilité civile extracontractuelle, mais plutôt d’ajuster certains mécanismes, pour que la réparation du préjudice ne soit pas plus difficile lorsque la source est un SIA. Le double système actuel n’est pas modifié : des règles spécifiques aux produits défectueux et largement harmonisées coexisteront avec des règles générales de responsabilité délictuelle qui restent principalement nationales. Pour l’heure, les modifications proposées restent limitées (ce qui n’enlève rien à leur complexité…), consistant en des injonctions de divulgation d’éléments de preuve et en des présomptions (présomption de lien de causalité pour la proposition de directive sur l’IA, présomptions de lien de causalité et de défectuosité pour la proposition de directive sur les produits défectueux).