Vous êtes dans : Accueil > Tribunes libres >

Intelligence artificielle, un cadre juridique en construction

Marguerite Brac de La Perrière, LERINS, VENDREDI 04 NOVEMBRE 2022

Dans la continuité de la Proposition de Règlement européen établissant des règles harmonisées concernant l’intelligence artificielle (« IA »), publiée le 21 avril 2021 (l’« AI Act »)[1], la Commission européenne a publié deux nouvelles propositions de directives, visant à adapter les régimes de responsabilité existants au numérique et à l’IA. Décryptage avec Marguerite Brac de La Perrière, associée du cabinet LERINS, experte en Santé Numérique et Anne-Sophie Legluais, collaboratrice au sein du cabinet LERINS.

La première entend moderniser les règles existantes sur la responsabilité sans faute des fabricants de produits défectueux (la « Directive produits défectueux »)[2], tandis que la seconde propose d’adapter les règles en matière de responsabilité civile extracontractuelle à l’IA (la « Directive sur la responsabilité en matière d’IA »)[3].

Ainsi, la proposition d’AI Act pose des règles préventives avec une approche fondée sur les risques, tandis que les deux propositions de directives encadrent la responsabilité en vue de la réparation de tout dommage éventuellement subi dans le cadre de l’utilisation d’un système d’IA.

Règles préventives encadrant les systèmes d’IA

La proposition d’AI Act[4] s’articule autour de quatre principaux objectifs⁴:

garantir que les systèmes d'IA mis sur le marché de l'Union soient sûrs et conformes aux droits fondamentaux et aux valeurs de l'Union ;
garantir la sécurité juridique pour favoriser l'investissement et l'innovation dans l'IA ;
améliorer la gouvernance et l'application effective des droits fondamentaux et des exigences de sécurité applicables aux systèmes d'IA ;
œuvrer en faveur d’un marché unique pour des applications d'IA légales, sûres et dignes de confiance, et prévenir la fragmentation du marché.

Les exigences définies sont différenciées selon que le risque est inacceptable, élevé ou faible. En matière de santé, les systèmes d’IA étant à haut risque[5], la proposition impose en particulier aux fournisseurs d’IA en santé des exigences de gouvernance des données, de transparence et de fourniture d’informations aux utilisateurs établissements de santé[6] et professionnels de santé, ainsi que des obligations tenant à l’existence d’un contrôle humain[7].

En droit interne, la loi bioéthique[8] transposée au Code de la santé publique[9]a d’ores et déjà intégré des obligations de transparence et d’information depuis le concepteur d’IA jusqu’au patient[10], y incluant les établissements de santé[11] et professionnels de santé utilisateurs[12] aux fins de contrôle humain.

Responsabilité du fait des produits, modernisation du cadre juridique

Fin septembre 2022, la Commission européenne a publié une proposition de révision de la directive sur la responsabilité du fait des produits afin d’adapter le régime de responsabilité de l’UE à l’ère numérique.

Dans ce cadre, les systèmes d’IA et les biens dotés d’IA constituent des « produits » soumis au régime de responsabilité sans faute[13].

Toute personne physique qui subit un dommage causé par un produit défectueux a droit à réparation.

Or, comme précédemment, un produit est considéré comme défectueux lorsqu’il n’offre pas la sécurité à laquelle le grand public peut légitimement s’attendre compte tenu de toutes les circonstances, notamment les instructions d’installation, d’utilisation et d’entretien ; l’utilisation ou la mauvaise utilisation raisonnablement prévisible du produit ; l’effet sur le produit de toute capacité à poursuivre son apprentissage après le déploiement ; l’effet sur le produit d’autres produits dont on peut raisonnablement s’attendre à ce qu’ils soient utilisés en même temps que le produit ; les exigences en matière de sécurité des produits, y compris les exigences de cybersécurité pertinentes ; et les attentes spécifiques des utilisateurs auxquels le produit est destiné.

La défectuosité du produit est notamment présumée lorsque le fournisseur n’a pas respecté l’obligation de divulguer les éléments de preuve pertinents dont il dispose ou lorsque le demandeur établit que le produit n’est pas conforme aux exigences de sécurité obligatoires prévues par le droit de l’Union ou le droit national qui sont destinées à protéger contre le risque du dommage survenu.

Enfin, le lien de causalité entre la défectuosité du produit et le dommage est présumé lorsqu’il a été établi que le produit est défectueux et que le dommage causé est d’une nature généralement propre au défaut en question.

Il y a lieu de relever que les pertes ou corruption de données constituent des dommages, indemnisables au titre de la responsabilité sans faute des produits défectueux[14].

Responsabilité en matière d’IA, des règles spécifiques

Une directive supplémentaire a été proposée pour cibler les dommages spécifiques causés par un système d’intelligence artificielle (IA).

Dans le même sens que la proposition ci-avant présentée, ce texte vise notamment à faciliter l’accès des victimes de dommages aux éléments de preuve détenus, notamment par les fournisseurs, sur un système d’IA à haut risque soupçonné d’avoir causé un dommage, en prévoyant que les juridictions nationales doivent être habilitées à ordonner la communication de ces éléments[15].

Dans le même sens également, un renversement de la charge de la preuve est institué, par la création d’une présomption réfragable de causalité entre la faute du défendeur et le résultat ou l’absence de résultat produit par l’IA[16] si les conditions cumulatives suivantes sont réunies : (1) la faute du défendeur, résidant dans le manquement à une obligation qui était propre à protéger contre le dommage survenu, est caractérisée, (2) l’existence d’un lien de causalité entre la faute et le défaut de performance de l’IA est raisonnablement probable, et (3) le demandeur, victime du dommage, a démontré que le résultat ou l’absence de résultat produit par l’IA est à l’origine du dommage. S’agissant d’une présomption réfragable, le demandeur pourra rapporter la preuve contraire.

Ces textes n’ont pas encore été adoptés, toutefois le paysage réglementaire de l’intelligence artificielle se précise, dans le cadre duquel le non-respect d’une exigence réglementaire constitue une présomption de responsabilité.

Article coécrit par Marguerite Brac de La Perrière, associée du cabinet LERINS, experte en Santé Numérique et Anne-Sophie Legluais, collaboratrice au sein du cabinet LERINS.

[1] Proposition de Règlement du Parlement européen et du Conseil établissant des règles harmonisées concernant l’intelligence artificielle (législation sur l’intelligence artificielle) et modifiant certains actes législatifs de l’Union

[2] Proposition de Directive du Parlement européen et du Conseil relative à la responsabilité du fait des produits défectueux

[3] Proposition de Directive du Parlement européen et du Conseil relative à l’adaptation des règles en matière de responsabilité civile extracontractuelle au domaine de l’intelligence artificielle (Directive sur la responsabilité en matière d’IA)

[4] https://eur-lex.europa.eu/legal-content/FR/HIS/?uri=CELEX:52021PC0206#R1CONSIL

[5] AI Act, article 6

[6] AI Act, article 13

[7] AI Act, article 14

[8] LOI n° 2021-1017 du 2 août 2021 relative à la bioéthique

[9] Article L.4001-3 du Code de la santé publique

[10] Article DSIH, IA et informations aux patients

[11] Article DSIH obligations des utilisateurs établissements de santé d'IA

[12] Article DISH - obligations des utilisateurs professionnels de santé