Redéfinir la responsabilité
Les régimes actuels et les notions traditionnelles de responsabilité, en Europe et ailleurs, ont été remis en question par l’émergence de l’intelligence artificielle (IA) et de ses spécificités. D’un côté, la combinaison des caractéristiques d’ouverture, d’orientation sur les données et de vulnérabilité permet de porter atteinte à d’autres catégories d’intérêts protégés – tels que la vie privée, les informations confidentielles, la cybersécurité, etc. – ce qui remet en question la notion de dommage. D’un autre côté, les caractéristiques d’autonomie, d’imprévisibilité, d’opacité et de complexité influencent les notions de causalité et de devoir de diligence. Toutes ces caractéristiques rendent difficiles les évaluations de responsabilité, à moins que les systèmes d’IA ne soient correctement régis.
Jusqu’à présent, le cadre de responsabilité de l’UE n’a été que partiellement harmonisé. Par exemple, la directive actuelle sur la responsabilité du fait des produits (directive 85/374/CE, « PLD »), transposée dans le droit des États membres, remonte à 1984 et ne couvre pas les dommages liés à l’IA. La fragmentation du régime de responsabilité existant de l’UE appelle à sa révision, afin de rattraper les changements rapides apportés par l’IA. C’est ce que vise le cadre proposé sur la responsabilité de l’IA, que l’on peut définir comme « bipartite ».
La proposition de loi sur l’IA, qui fait partie du paquet IA de 2021 de la Commission – et couplée à la proposition de règlement sur les machines – constitue des mesures préventives ex ante adoptant une approche basée sur les risques pour régir les systèmes d’IA. Les lacunes dans les mécanismes de recours en vertu de la loi sur l’IA et les doutes entourant son système d’autorité de surveillance et son écosystème d’audit de l’IA soulèvent des questions quant à l’application du règlement. Pour faire face au scénario dans lequel le non-respect génère des dommages, la législation ex ante a été complétée par deux propositions de mesures compensatoires ex post : la directive révisée sur la responsabilité du fait des produits (« PLD révisée ») et la directive sur la responsabilité AI (« AILD »). ). Nous examinons comment le PLD révisé et l’AILD contribuent à l’application des mesures préventives, en poussant au respect des obligations qu’elles introduisent.
Problèmes d’application de la gouvernance de l’IA
La loi sur l’IA et la réglementation des machines fixent les obligations réparties entre les différents opérateurs économiques de certains systèmes d’IA. L’AI Act propose une approche des obligations basée sur le risque, en différenciant les systèmes d’IA qui créent un risque inacceptable (c’est-à-dire interdit), un risque élevé (« HRAIS »), un risque faible ou un risque minimal. Il impose des exigences de fond et de procédure pour les HRAIS visant à améliorer la responsabilité, la transparence, l’exactitude, l’équité, la sécurité et la robustesse. Quant aux produits de machines intégrant des systèmes d’IA, ils doivent répondre aux exigences essentielles à la fois de la loi sur l’IA et du règlement sur les machines.
Ces deux réglementations prévoient des sanctions (respectivement des amendes administratives et des sanctions pénales) en cas de manquement aux obligations de gestion des risques – considérées comme un moyen de tenir les parties responsables de leur déploiement de systèmes d’IA. Pourtant, la question se pose toujours de savoir qui devrait indemniser les dommages causés par l’IA qui se matérialisent une fois que le risque n’est pas géré. La loi sur l’IA et le règlement sur les machines ne prévoient pas de reconnaissance de statut ni de droits procéduraux, et des doutes entourent le mécanisme de plainte introduit par la proposition du Conseil relative à la loi sur l’IA. Par conséquent, tenir les opérateurs économiques pour responsables des dommages générés par l’IA implique un pas de plus par rapport aux règles proposées sur la gouvernance de l’IA : cette lacune dans l’application privée est dans une certaine mesure comblée par les directives proposées sur la responsabilité.
Mesures compensatoires pour faire respecter les mesures préventives
Le PLD révisé et le nouveau AILD offrent des moyens distincts mais qui se chevauchent pour promouvoir la transparence, l’allégement de la charge de la preuve et l’indemnisation des victimes de dommages liés à l’IA survenant malgré les mesures préventives.
La proposition de PLD révisé introduit plusieurs changements pertinents pour l’IA, liés au champ d’application subjectif de la directive (y compris également toute personne qui modifie un produit « déjà mis sur le marché ou mis en service », article 7, paragraphe 4) et au champ d’application objectif. La notion de produit fait référence à des éléments immatériels tels que les fichiers et logiciels de fabrication numérique, et donc les systèmes d’IA (article 4(1)) ; le dommage englobe « la perte ou la corruption de données »[…]» (article 4, paragraphe 6, point c)) ; l’évaluation des défauts prend en compte « l’effet sur le produit de toute capacité à continuer à apprendre après le déploiement » (article 6(1)(c)). Les mises à niveau ou mises à jour logicielles, ou leur absence, peuvent rendre un produit défectueux même s’il n’était pas mis en circulation (article 10, paragraphe 2).
La nouvelle AILD complète la PLD révisée en créant un mécanisme de réclamations nationales en responsabilité pour faute pour les dommages causés par l’IA, et introduit des dispositions liées aux mesures préventives de la loi sur l’IA.
Les directives proposent chacune deux présomptions juridiques réfutables et un mécanisme de divulgation des preuves, visant à surmonter l’opacité.
À la demande des demandeurs (potentiels), les tribunaux nationaux sont habilités à ordonner la divulgation des preuves des défendeurs – sous réserve de garanties et dans les limites de ce qui est « nécessaire et proportionné pour étayer une réclamation » (article 8 révisé de la PLD, article 3 de l’AILD). Le non-respect des ordonnances de divulgation active, dans certaines circonstances, des présomptions réfragables de vice (pour le PLD révisé, article 9(2)) ou de non-respect du devoir de diligence (pour l’AILD, article 3(5)).
Le PLD révisé et l’AILD introduisent tous deux des présomptions réfutables de causalité, respectivement entre la défectuosité du produit et le dommage (PLD révisé, article 9 (3)) et entre la faute du défendeur et le résultat produit par le système d’IA (ou le défaut de le faire) à l’origine du dommage (AILD, article 4). La présomption de l’AILD ne s’applique que si l’exigence de faute (par exemple le non-respect des obligations de l’AI Act) est établie. Pour encourager davantage la divulgation, l’AILD prévoit que le défendeur peut réfuter la présomption de causalité en démontrant (bien que difficile) que « des preuves et une expertise suffisantes sont raisonnablement accessibles au demandeur pour prouver le lien de causalité » – notamment par le biais des obligations de la loi sur l’IA de transparence, documentation, journalisation et enregistrement.
Lacunes restantes en matière d’application et d’harmonisation
Les règles sur la gouvernance de l’IA et sur la responsabilité de l’IA constituent « les deux faces d’une même médaille », créant un cadre de responsabilité en matière d’IA dans l’UE. Les propositions relatives à l’AILD et au PLD révisé renforcent l’importance du respect des obligations ex ante, notamment en ce qui concerne les HRAIS, et fournissent des outils permettant aux consommateurs d’être indemnisés si le respect des obligations ne suffit pas à prévenir un préjudice. Ce faisant, les mesures compensatoires visent à combler les lacunes dans l’application des mesures préventives.
Pourtant, des critiques continuent de surgir quant à l’application du cadre indispensable en matière de responsabilité en matière d’IA, principalement en raison de l’incertitude quant à la coordination entre les différentes dispositions. Cela englobe le chevauchement potentiel entre l’AILD et le PLD (qui est abordé pour la version actuelle uniquement mais pas pour la version révisée), la délimitation des champs d’application respectifs des deux directives (concernant les algorithmes complexes qui ne relèvent pas de la définition stricte de l’IA ), et l’incertitude juridique résultant du choix des directives comme instruments juridiques (ce qui nécessite également une meilleure compréhension du fonctionnement de l’IA par les autorités et les tribunaux chargés d’appliquer la législation).
L’approche adoptée par le cadre est également critiquée. Premièrement, l’application de l’approche fondée sur les risques de la loi sur l’IA à la directive sur la responsabilité en matière d’IA (et à ses principes fondamentaux tels que la divulgation des preuves et l’allégement d’une partie de la charge de la preuve) présente le risque de sous-inclusivité des risques exprimés individuellement. Deuxièmement, l’application d’une approche horizontale à la responsabilité en matière d’IA (avec une « solution universelle » pour différents secteurs) ne prend pas en compte les différences intrinsèques entre les applications distinctes de l’IA et les problèmes qu’elles soulèvent. Troisièmement, l’approche visant à alléger la charge de la preuve des demandeurs n’est pas jugée suffisamment efficace, car les demandeurs doivent encore prouver de nombreux éléments pour que les présomptions et le mécanisme de divulgation des directives s’appliquent.
Les problèmes de coordination et les critiques générales se répercutent sur l’efficacité et l’application du cadre européen proposé en matière de responsabilité en matière d’IA. L’effet des mécanismes de recours reste incertain, et les recours individuels pourraient devoir être complétés par d’autres moyens pour garantir l’exécution. Bien que des obligations et des droits liés à l’explication et au dépassement de l’opacité aient été introduits, des difficultés persistent pour comprendre si une personne a été lésée à cause d’un système d’IA. Les consommateurs auraient encore des difficultés à prouver leur faute lorsqu’il s’agit de systèmes complexes, le mécanisme sans faute du PLD ne s’appliquant qu’aux dommages matériels. Pour faciliter efficacement les mécanismes de recours, il faudra peut-être mettre en place un cadre permettant de répondre aux besoins des victimes en ressources spécifiques – à la fois techniques et financières – afin de soutenir leurs réclamations – et de disposer d’une assistance juridique pour les affaires de responsabilité d’IA. En outre, les organisations qui investissent dans l’IA devraient commencer à prendre des mesures pour se conformer au nouveau cadre de responsabilité malgré le manque de sécurité juridique. L’harmonisation globale du cadre de responsabilité AI, apparemment limitée, devra être évaluée à la lumière de la mise en œuvre nationale des directives vis-à-vis de l’application directe des dispositions ex ante.
Maria Lillà Montagnani est professeur de droit commercial (enseignement et recherche dans le domaine du droit et de la technologie) et directrice du LL.M en droit européen des affaires et droit social de l’Université Bocconi.
Marie-Claire Najjar, LL.M., est Academic Fellow (dans le domaine du droit et de la technologie) et co-coordinatrice du LL.M. en droit européen des affaires et droit social à l’Université Bocconi.
