Quel régime de responsabilité du fait de l’intelligence artificielle ?
Points à retenir :
- Un nouvel encadrement juridique du droit à réparation pour les dommages causés par l’IA : complément à l’IA Act
- Une mise à jour des règles de responsabilité des produits défectueux appliquées à l’IA en tant que produit.
- Un régime de responsabilité sans faute pour la défectuosité de l’IA, combiné à un régime fondé sur la faute.
- Une protection élargie au profit des consommateurs
- Des obligations de transparence pesant sur l’ensemble des opérateurs d’IA
Dans un contexte d’accélération de l’IA dans la vie quotidienne, le législateur complète le cadre de conformité de l’intelligence artificielle. Il introduit un cadre de responsabilité centré sur un régime de réparation effective en cas de dommage.
Le cadre de conformité pour la prévention des risques liés à l’IA repose sur la « proposition de règlement établissant des règles harmonisées concernant l’intelligence artificielle ».. Ce texte, connu sous le nom d’AI Act, sera adopté par le Parlement européen le 22 avril prochain.
Premier cadre réglementaire de l’Union européenne pour l’IA, l’AI Act harmonise les règles nationales concernant l’IA. Il vise à garantir des systèmes d’IA sûrs, transparents, traçables, non discriminatoires et respectueux de l’environnement dans l’Union.
En tant que « réglementation produit horizontale », l’AI Act impose des obligations selon le niveau de risque (inacceptable, haut, modéré, minimal).
La réparation du dommage causé par l’IA n’est pas couverte par l’AI Act. Elle est prévue par deux propositions de directives.
Ces propositions ont été initiées par la Commission le 28 septembre 2022. La première est la révision de la directive sur la responsabilité des produits défectueux (« directive produit »). La seconde est la directive relative à l’adaptation des règles de responsabilité civile extracontractuelle pour l’IA (« directive sur la responsabilité en matière d’IA »).
La proposition de révision de la directive sur la responsabilité des produits défectueux (« directive produit ») :
La directive 85/374/CEE du Conseil sur la responsabilité des produits défectueux date du 25 juillet 1985.
- Un régime de responsabilité sans faute qui objective la protection des consommateurs
Fondée sur la responsabilité objective des fabricants, cette directive établit leur responsabilité sans faute. Si un produit défectueux cause un dommage, la responsabilité du fabricant peut être engagée même sans faute ni négligence. La proposition de révision vise à adapter les règles de responsabilité des produits défectueux à l’économie numérique. Elle inclut les produits physiques ainsi que les systèmes d’IA.
- Une adaptation qui tient compte de la nature numérique de l’IA et responsabilise les opérateurs économiques et toutes les entités de la chaîne d’approvisionnement des systèmes d’IA
La nouvelle mouture inclut l’intelligence artificielle et les logiciels au sens large dans la définition de « produit ».
Le texte de compromis garantit que même pour un produit défectueux acheté hors de l’UE, une entreprise de l’UE peut être tenue responsable.
Cela inclut le mandataire du fabricant ou, en dernier recours, le prestataire chargé de l’entreposage, du conditionnement ou de l’expédition.
Enfin, si un produit est modifié en dehors du contrôle du fabricant et remis sur le marché, l’opérateur ayant effectué la modification sera responsable.
La notion de « dommage » inclut la perte ou la corruption de données. Les délais d’action en justice pour les dommages lents sont étendus de 10 à 25 ans. Enfin, la divulgation de preuve, en cas de litige est facilitée.
En effet, même si la charge de la preuve continue à reposer sur le demandeur lésé, sa demande sera facilitée. Le demandeur devra démontrer que le produit est défectueux, qu’il existe un dommage, et qu’il y a un lien causal entre la défectuosité et le dommage.
Sa demande sera facilitée s’il est confronté à des difficultés excessives pour prouver la défectuosité ou le lien de causalité. Il pourrait prouver la probabilité de la défectuosité ou que la défectuosité est une cause probable du dommage. Il pourrait aussi demander l’accès aux éléments de preuve pertinents détenus par le fabricant pour étayer sa demande.
Les dispositions de cet accord provisoire se conjuguent à celles de la directive sur la responsabilité en matière d’IA. Cette directive complète les régimes existants de responsabilité délictuelle et harmonise les cadres nationaux en matière de responsabilité civile.
La « Directive relative à l’adaptation des règles en matière de responsabilité civile extracontractuelle au domaine de l’intelligence artificielle »
La proposition est à analyser comme une extension de l’AI Act, pour y ajouter une « brique » relative à la responsabilité. Effectivement, contrairement à la directive sur les produits défectueux, la directive sur la responsabilité en matière d’IA est fondée sur la faute.
- Un régime de responsabilité spécialement dédié aux systèmes d’IA quelque soit le niveau de risque
Tout d’abord, la définition du système d’IA est identique à celle de la proposition de l’AI Act datant d’avril 20211.
Les demandes de réparations ne sont pas restreintes aux particuliers, mais ouvertes à tout intéressé, personnes physiques ou morales. Enfin, la proposition de directive sur la responsabilité en matière d’IA s’applique aux dommages causés par tout type de système d’IA, qu’ils soient ou non à haut risque.
Comme dans le cadre de la proposition de révision de la directive « produit », la divulgation de preuve est facilitée. Pour les systèmes d’IA à haut risque, les juridictions nationales peuvent enjoindre les défendeurs de divulguer des preuves. Ces preuves doivent être « nécessaires et proportionnées » à adresser au fournisseur du SIA ou à la personne soumise aux obligations du fournisseur d’IA, ou encore au déployeur.
Pour obtenir cette injonction, le demandeur devra prouver un premier refus du fournisseur ou du déployeur de communiquer ces éléments. En contrepartie néanmoins, le défendeur dispose de recours procéduraux face à cette injonction.
- Un régime de responsabilité fondé sur la faute …:
Le demandeur doit prouver la faute commise par le défendeur conformément aux règles nationales ou de l’Union applicables et démontrer que le système d’IA a bien causé le dommage.
La juridiction nationale peut néanmoins présumer une telle faute sur la base du non-respect d’une injonction judiciaire de divulgation ou de conservation d’éléments de preuve.
- … Atténué par l’application d’une présomption réfragable de lien de causalité entre la faute et le dommage en faveur du consommateur
Effectivement, si le demandeur rencontre des difficultés à établir le lien de causalité entre le non-respect du devoir de vigilance et le résultat du système d’IA, la proposition de directive prévoit une présomption réfragable. Cette présomption concerne le lien de causalité et varie selon que le système d’IA est à haut risque ou non.
Pour une action visant les torts liés aux résultats d’un système d’IA à haut risque, cette présomption de lien de causalité s’applique différemment. Les critères varient selon si l’action est dirigée contre le fournisseur ou le déployeur.
Si le défendeur est le fournisseur du système d’IA, la présomption réfragable s’applique si cinq exigences ne sont pas respectées. Ces exigences concernent la qualité des données d’entraînement, la transparence, le contrôle humain, la cybersécurité, et la gestion des risques.
Dans l’hypothèse où le déployeur serait défendeur, la présomption réfragable du lien de causalité s’applique dans 3 cas :
- le système n’a pas été utilisé conformément à sa notice d’utilisation ;
- le système n’a pas fait l’objet d’une suspension en cas de survenance de risque ou d’incident ;
- le système a été exposé à des données d’entrée non pertinentes alors qu’elles étaient sous le contrôle du déployeur.
Dans le contexte d’une action fondée sur des griefs liés aux résultats (ou à leur absence) d’un système d’IA qui n’est pas à haut risque, la présomption réfragable du lien de causalité ne s’applique que si la juridiction nationale estime qu’il est excessivement difficile pour le demandeur de prouver le lien de causalité.
Enfin, que le système d’IA soit à haut risque ou non, et quel que soit l’opérateur en cause, ce dernier aura toujours le droit de renverser la présomption de causalité.
Timeline :
- La révision de « la directive produit » a fait l’objet d’un accord en trilogue le 14 décembre dernier. Elle devrait être votée par l’ensemble du Parlement en mars ou avril 2024.
- La proposition de directive relative à la responsabilité du fait de l’IA est en passe d’être reprise dans le cadre des travaux du Conseil. Il est possible qu’elle fasse l’objet d’une adoption ultérieure pour compléter les dispositions de l’AI Act et celles de la « directive produit ».