L’introduction relativement récente des SIA dans notre société et leur complexité met à l’épreuve l’efficacité du droit de la responsabilité civile tel que prévu par le Code civil et le droit national de chaque État membre
Les systèmes d’IA (SIA), ou plutôt les personnes influençant les SIA au stade de leur conception ou dans leur utilisation, peuvent causer des dommages, tant aux personnes physiques qu’aux personnes morales.
En l’état, le droit commun de la responsabilité civile n’est pas adapté aux SIA et devrait être ajusté.
Pour remédier à la situation, la Commission Européenne a publié deux propositions de directives, l’une pour moderniser le régime de responsabilité des producteurs de produits défectueux, l’autre pour adapter les règles de responsabilité en matière d’IA.
Les dommages susceptibles d’être causés par un SIA
Les SIA, par leur grande variété, sont susceptibles de causer une diversité de dommages aux personnes.
Pour ne citer que quelques exemples, un SIA peut porter atteinte au droit au respect de la vie privée en traitant des informations personnelles sur les individus, à la réputation et à l’image des personnes (les deepfakes ou de la propagation de fake news par exemple), à la santé ou à l’intégrité physique de patients (lorsque de l’IA est utilisée dans la médecine).
De même dans le secteur artistique, les exemples d’atteintes aux droits des artistes interprètes ne manquent pas.
En fonction de l’utilisation qui en est faite, les SIA peuvent aussi comporter des risques d’atteintes aux droits fondamentaux de personnes tels que le droit à la non-discrimination. Un SIA permettant une prise de décision automatisée qui serait basée sur des critères discriminants ou même obscurs pourrait porter atteinte au principe d’égalité de traitement des personnes.
Les SIA peuvent également présenter de nouveaux risques et causer des dommages aux utilisateurs lorsque ces technologies sont intégrées dans des produits ou des services. Par exemple, un dysfonctionnement dans le système de reconnaissance des obstacles incorporé dans une voiture autonome peut engendrer un accident de la circulation et causer des dommages corporels.
En pareilles situations, les personnes lésées devraient pouvoir obtenir la réparation du préjudice subi d’une façon aussi efficace que si le dommage avait été causé dans d’autres circonstances.
Se pose alors la question de savoir si le droit de la responsabilité civile existant permet d’appréhender les faits dommageables commis par une IA ou s’il est nécessaire de procéder à des adaptations, voire de créer un régime de responsabilité sui generis, spécifique aux IA.
L’insuffisance du régime de responsabilité de droit commun
Le régime commun de responsabilité pour faute, prévu par les 1240 et suivants du Code civil, nécessite la démonstration d’une faute, d’un dommage et d’un lien de causalité entre les deux.
Les fonctionnements des SIA sont d’une telle complexité que la démonstration de ces éléments peut s’avérer très périlleuse pour les victimes.
Dans sa résolution du 20 octobre 2020, le Parlement européen a relevé que l’application des régimes de responsabilité de droit commun aux faits dommageables des SIA « pourrait mener à des situations où, en raison de l’opacité de ces systèmes, il pourrait être extrêmement coûteux, voire impossible, de déterminer qui contrôlait le risque associé au SIA ou quels codes, entrées ou données ont en fin de compte causé l’opération préjudiciable »[1].
A ces difficultés, s’ajoute la multitude d’acteurs impliqués dans la production, l’exploitation et l’utilisation des SIA. Le SIA n’étant pas doté de la responsabilité juridique, il n’a pas d’existence juridique propre. En cas de fait dommageable d’un SIA, la responsabilité devra être portée par l’un des acteurs intervenant dans sa conception, son développement, son exploitation ou son utilisation.
Or, l’AI Act[2] reconnait une multiplicité d’acteurs impliqués dans les SIA : le fournisseur, le distributeur, l’importateur, le déployeur, le mandataire[3]…
Il s’agira alors pour la victime de prouver la faute de l’humain derrière la machine et de l’attribuer à la bonne personne. Cette preuve sera d’autant plus difficile à rapporter concernant les systèmes intégrant des capacités d’apprentissage autonome (machine learning ou deep learning). Plus la machine s’émancipe de l’Homme et gagne en autonomie, plus il sera difficile pour la victime d’imputer la faute à une personne.
Ces considérations ont amené le Parlement européen à adopter une position claire : les régimes de responsabilité existants des Etats membres ne sont pas adaptés à la complexité des défis posés par les SIA et doivent nécessairement être ajustés pour éviter que des personnes ne soient privées de leur droit à réparation[4].
Cette situation est source d’insécurité juridique et nuit au bon fonctionnement du marché intérieur dans la mesure où les parties prenantes (tant les acteurs de l’IA que les potentielles victimes) ne sont pas en mesure de prévoir comment les régimes de responsabilité en vigueur dans chaque État pourraient s’appliquer. En l’absence d’un cadre européen, le risque est également que chaque pays légifère sur le sujet et que le droit de la responsabilité en matière d’IA soit ainsi fragmenté sans cohérence d’ensemble, d’un État membre à l’autre.
Reconnaissant la nécessité d’assurer l’effectivité du droit à réparation des victimes, la Commission Européenne a publié deux propositions de directive en matière de responsabilité applicables aux produits basés sur l’IA.
Une modernisation de la directive sur la responsabilité du fait des produits défectueux pour appréhender les SIA
L’Union Européenne souhaite mettre à jour la Directive du 25 juillet 1985 sur les produits défectueux[5] pour l’adapter aux avancées des nouvelles technologies.
Cette proposition de directive a pour objet d’harmoniser le cadre juridique de la responsabilité sans faute des producteurs de produits causant des dommages par leur caractère défectueux.
Dans sa version en vigueur, la Directive fournit une définition du terme « produit » qui se limite aux biens meubles. Cette définition très succincte est source d’insécurité juridique puisque l’application de la Directive aux biens immatériels, notamment numériques, n’apparait pas de manière évidente.
Il est donc nécessaire d’affiner cette définition pour y inclure les biens et services numériques (logiciels, mises à jour, IA…).
La définition du terme « dommage » telle que prévue par la Directive est également très restrictive puisqu’elle ne couvre que les dommages physiques causés aux personnes et aux biens par les produits défectueux.
Or, comme vu précédemment, les SIA sont susceptibles de causer toutes sortes de dommages, tant physiques, qu’économiques, patrimoniaux et moraux.
La Commission prévoit également de simplifier la charge de la preuve. En l’état, la directive prévoit que « la victime est obligée de prouver le dommage, le défaut et le lien de causalité entre le défaut et le dommage ».
La défectuosité d’une technologie aussi complexe qu’un SIA peut être particulièrement difficile à prouver, comme l’a relevé la Commission dans son Livre Blanc sur l’IA : « avec un système fondé sur l’IA tel que la voiture autonome, il peut être difficile de prouver la défectuosité du produit, le dommage survenu et le lien de cause à effet entre les deux. De plus, il peut être malaisé de déterminer de quelle manière et dans quelle mesure la directive sur la responsabilité du fait des produits s’applique à certains types de défauts, notamment s’ils résultent de faiblesses dans la cybersécurité du produit »[6].
Aux termes de l’article 6 de la Directive, un produit est défectueux lorsqu’il n’offre pas la sécurité à laquelle on peut légitimement s’attendre. La défectuosité est donc liée à la sécurité physique du consommateur. Appliquée aux SIA ou aux biens numériques, la défectuosité serait entendue comme la défaillance des mesures de sécurité informatiques.
Un SIA défectueux serait dans ce contexte un SIA qui manquerait à son obligation d’assurer la sécurité des données traitées (perte, corruption, fuite de données, modifications ou altérations de celles-ci…). Des interférences avec l’obligation de sécurité telle que prévue par le RGPD pourraient donc apparaitre.
La Commission souhaite permettre aux victimes de demander à une juridiction d’ordonner la communication par le producteur des éléments de preuve sur le produit susceptible de contribuer à sa demande d’indemnisation.
Les autorités nationales de protection des consommateurs auront également un rôle à jouer dans l’orientation des consommateurs quant à leurs demandes d’indemnisation.
Une proposition de directive dédiée à la responsabilité en matière d’IA
En parallèle de la modernisation de la directive relative aux produits défectueux, la Commission Européenne a élaboré une proposition de directive sur la responsabilité en matière d’IA[7].
L’objectif de cette directive est d’introduire des règles spécifiques et uniformes en matière de responsabilité civile extracontractuelle en lien avec des dommages résultant de l’utilisation de systèmes d’IA et notamment d’alléger la charge de la preuve pour les victimes de ces dommages.
La directive introduit une présomption réfragable de lien de causalité, afin de faciliter la charge de la preuve incombant aux personnes lésées. L’application de cette présomption est subordonnée aux conditions suivantes :
- le demandeur démontre que le défendeur a manqué à un devoir de vigilance prévu par le droit de l’Union ou le droit national visant à protéger contre le dommage survenu ;
- il est « raisonnablement probable », compte tenu des circonstances de l’espèce, que la faute a influencé le résultat du SIA ou l’incapacité de celui-ci à produire un résultat
- le demandeur démontre que le résultat du SIA ou l’incapacité de celui-ci à produire un résultat est à l’origine du dommage[8].
Pour les SIA à haut risque, la condition relative au manquement à un devoir de vigilance ne sera remplie que si le plaignant démontre que :
- le SIA a été développé sur la base de jeux de données d’entrainement, de validation et de test ne répondant pas aux critères de qualité prévus par l’AI Act ;
- le SIA n’a pas été conçu et développé d’une manière conforme aux exigences de transparence imposées par l’AI Act ;
- le SIA n’a pas été conçu et développé de manière à permettre un contrôle effectif par des personnes physiques pendant la période d’utilisation du SIA conformément à l’article 14 du l’AI Act ;
- le SIA n’atteint pas le niveau d’exactitude, de robustesse et de cybersécurité exigé par le l’AI Act ;
- les mesures correctives nécessaires n’ont pas été prises immédiatement pour mettre le SIA en conformité avec les obligations énoncées à l’AI Act ou pour le retirer ou le rappeler selon les cas prévus par le l’AI Act.
Pour les SIA à haut risque, le juge pourra aussi ordonner au fournisseur de se conformer à son obligation de divulgation et aux exigences de transparence, de documentation et d’enregistrement prévues par l’AI Act. En cas de refus de la part du défendeur de se conformer à une injonction judiciaire de divulgation ou de conservation d’éléments de preuve, la juridiction pourra présumer l’existence de la faute.
Concernant les SIA qui ne sont pas à haut risque au sens de l’AI Act, la présomption du lien de causalité ne s’appliquera que si la juridiction considère que la preuve du lien de causalité serait « excessivement difficile » à rapporter pour le demandeur[9].
Un réexamen de la directive est prévu 5 ans après la fin de la période de transposition.
Les deux propositions de directives portent chacune sur différents types de responsabilité.
La directive de modernisation de responsabilité du fait des produits défectueux ne s’applique qu’au régime de responsabilité sans faute du producteur de produit défectueux et concernerait principalement les dommages subis par les particuliers.
La proposition de directive sur la responsabilité en matière d’IA s’appliquera à toutes les actions en responsabilité engagées au niveau national, fondées sur la faute d’un tiers impliqué dans la conception ou l’exploitation d’un SIA et vise à offrir une indemnisation pour tout type de dommage et tout type de victime.
Les deux propositions de directives devront être adoptées par le Parlement européen et par le Conseil et nécessiteront d’être transposées en droit interne.
[1]Considérant H de la Résolution Parlement Européen du 20 octobre 2020 contenant des recommandations à la Commission sur un régime de responsabilité civile pour l’intelligence artificielle
[2] Règlement (UE) établissant des règles harmonisées concernant l’intelligence artificielle.
[3] Cf article 3 « Définitions » de l’AI Act
[4] Point 6 de la Résolution précitée
[5] Directive 85/374/CEE du Conseil du 25 juillet 1985 relative au rapprochement des dispositions législatives, règlementaires, administratives des États membres en matière de responsabilité du fait des produits défectueux.
[6] Livre blanc de la Commission Européenne, du 19 février 2020, « Intelligence artificielle : une approche européenne axée sur l’excellence et la confiance », page 14
[7] Proposition de Directive du Parlement européen et du Conseil relative à l’adaptation des règles en matière de responsabilité civile extracontractuelle au domaine de l’intelligence artificielle
[8] Article 4 §1 b), c) et d) de la proposition de directive précitée.
[9] Article 4 § 5 de la proposition de directive précitée.