Découvrez les nouvelles fonctionnalités de la plateforme Naaia

Quel régime de responsabilité du fait de l’intelligence artificielle ?

Linkedin

Points à retenir :

  • Un nouvel encadrement juridique du droit à réparation en cas de dommage causé par l’IA : corolaire à la prévention des risques prévue par l’IA Act
  • Une prochaine mise à jour des règles en matière de responsabilité du fait des produits défectueux appliquée à l’IA en tant que produit
  • Un régime de responsabilité sans faute en cas de défectuosité de l’IA combiné à un régime fondé sur la faute en cas de torts causés par l’utilisation de l’IA
  • Une protection élargie au profit des consommateurs
  • Des obligations de transparence pesant sur l’ensemble des opérateurs d’IA

Dans un contexte inédit d’accélération du déploiement de l’intelligence artificielle y compris dans le quotidien des citoyens et des salariés le législateur complète le cadre de conformité de l’intelligence artificielle (IA) par un cadre de responsabilité centré sur un régime de réparation effective en cas de dommage.

Le cadre de conformité de la prévention des risques liée à l’IA repose sur la « proposition de règlement établissant des règles harmonisées concernant l’intelligence artificielle et modifiant certains actes législatifs de l’Union ». Plus connu sous le nom d’AI Act, sa publication est imminente puisque son adoption est prévue par l’ensemble du Parlement européen le 22 avril prochain.

Premier cadre réglementaire de l’Union européenne pour l’IA, les dispositions du texte visent, en harmonisant les règles nationales concernant l’IA, à ce que les systèmes d’IA utilisés dans l’Union européenne soient sûrs, transparents, traçables, non discriminatoires et respectueux de l’environnement. L’AI Act, en tant que « réglementation produit horizontale » impose donc des obligations aux opérateurs tout au long du cycle de vie de l’IA, et ce, en fonction de son niveau de risque (inacceptable, haut risque, modéré ou minimal).

La réparation du dommage du fait de l’IA n’est pas couverte par l’AI Act. Elle est prévue par deux propositions de directives dont la Commission a pris l’initiative en date du 28 septembre 2022 fixant le futur cadre de responsabilité: (i) la proposition de révision de la directive sur la responsabilité des produits défectueux  (« directive produit ») et (ii) la proposition de directive relative à l’adaptation des règles en matière de responsabilité civile extracontractuelle au domaine de l’intelligence artificielle (« directive sur la responsabilité en matière d’IA »).


  • La proposition de révision de la directive sur la responsabilité des produits défectueux (« directive produit ») :

La directive 85/374/CEE du Conseil sur la responsabilité des produits défectueux date du 25 juillet 1985.

  • Un régime de responsabilité sans faute qui objective la protection des consommateurs

Fondée sur la responsabilité objective des fabricants, elle établit le principe de leur responsabilité sans faute et prévoit que si un produit qui présente un défaut cause un dommage à une consommateur, la responsabilité du fabricant peut être engagée même sans faute ni négligence de ce dernier.

La proposition de révision ambitionne d’adapter les règles applicables au régime de responsabilité du fait des produits défectueux à l’économie numérique en incluant tant les produits physiques que les systèmes d’IA.

  • Une adaptation qui tient compte de la nature numérique de l’IA et responsabilise les opérateurs économiques et toutes les entités de la chaîne d’approvisionnement des systèmes d’IA

La nouvelle mouture inclut l’intelligence artificielle et les logiciels au sens large dans la définition de « produit ».

Le texte de compromis permet également de garantir que même lors d’un achat d’un produit défectueux en dehors de l’UE, une entreprise établie dans l’UE (le mandataire du fabricant ou, en dernier recours, le prestataire chargé de l’entreposage, du conditionnement ou de l’expédition) peut être tenue responsable du dommage causé.

Enfin, lorsqu’un produit est substantiellement modifié en dehors du contrôle du fabricant d’origine et à nouveau mis à disposition sur le marché ou remis en service, c’est l’opérateur économique ayant effectué la modification qui sera tenu pour responsable.

La notion de « dommage » est élargie à la perte ou la corruption de données, les délais d’action en justice pour les dommages lents sont rallongés de 10 ans à 25 ans à compter de la mise sur le marché du produit. Enfin, la divulgation de preuve, en cas de litige est facilitée.

En effet, même si la charge de la preuve continue à reposer sur le demandeur lésé -puisqu’il devra démontrer que le produit est défectueux, qu’il existe un dommage et qu’il existe un lien causal entre la défectuosité et le dommage-, sa demande sera facilitée s’il est confronté à des difficultés excessives (liées à la complexité technique ou scientifique) pour prouver la défectuosité ou le lien de causalité. Il pourrait, devant le tribunal, n’être tenu qu’à prouver la probabilité de la défectuosité du produit ou que sa défectuosité soit une cause probable du dommage. Il serait par ailleurs autorisé à demander l’accès aux éléments de preuve pertinents (« disclosure of evidence ») dont dispose le fabricant afin d’être en mesure d’étayer sa demande.

Les dispositions de cet accord provisoire se conjuguent à celles de la directive sur la responsabilité en matière d’IA, qui complète les régimes existants de responsabilité délictuelle et harmonise les cadres nationaux en matière de responsabilité civile.


  • La « Directive relative à l’adaptation des règles en matière de responsabilité civile extracontractuelle au domaine de l’intelligence artificielle » (« Directive sur la responsabilité en matière d’IA »):

La proposition est à analyser comme une extension de l’AI Act, pour y ajouter une « brique » relative à la responsabilité. Effectivement, contrairement à la proposition de directive sur la responsabilité des produits défectueux, le régime de la proposition de directive sur la responsabilité en matière d’IA s’inscrit dans le périmètre de l’AI Act pour déterminer un régime de responsabilité spécialement dédié aux IA, fondé sur la faute.

  • Un régime de responsabilité spécialement dédié aux systèmes d’IA quelque soit le niveau de risque

Tout d’abord, la définition du système d’IA est identique à celle de la proposition de l’AI Act datant d’avril 2021[1].

Les demandes de réparations ne sont pas restreintes aux particuliers, mais ouvertes à tout intéressé, personnes physiques ou morales. Enfin, la proposition de directive sur la responsabilité en matière d’IA s’applique aux dommages causés par tout type de système d’IA, qu’ils soient ou non à haut risque.

Comme dans le cadre de la proposition de révision de la directive «produit », la divulgation de preuve en faveur du demandeur est facilitée. Pour les systèmes d’IA considérés à haut risque, les juridictions nationales peuvent effectivement enjoindre les défendeurs de divulguer les éléments pertinents de preuve « nécessaires et proportionnés » à adresser au fournisseur du SIA ou à la personne soumise aux obligations du fournisseur d’IA, ou encore au déployeur. 

Pour obtenir cette injonction, le demandeur devra prouver un premier refus du fournisseur ou du déployeur de communiquer ces éléments. En contrepartie néanmoins, le défendeur dispose de recours procéduraux face à cette injonction.

  • Un régime de responsabilité fondé sur la faute…:

Le demandeur doit prouver la faute commise par le défendeur conformément aux règles nationales ou de l’Union applicables et démontrer que le système d’IA a bien causé le dommage.

La juridiction nationale peut néanmoins présumer une telle faute sur la base du non-respect d’une injonction judiciaire de divulgation ou de conservation d’éléments de preuve.

  • … Atténué par l’application d’une présomption réfragable de lien de causalité entre la faute et le dommage en faveur du consommateur

Effectivement, dans l’hypothèse où le demandeur éprouverait des difficultés à établir un lien de causalité entre le non-respect du devoir de vigilance et le résultat du système d’IA ou l’incapacité du système d’IA à produire un résultat à l’origine du dommage en question, la proposition de  directive prévoit une présomption réfragable ciblée concernant ce lien de causalité. Celle-ci s’applique distinctement selon que le système d’IA est un système à haut risque ou non.

Dans le contexte d’une action visant les torts liés aux résultats (ou à leur absence) d’un système d’IA à haut risque, cette présomption de lien de causalité sera retenue en application de différents critères selon que l’action est dirigée contre le fournisseur ou contre le déployeur.

Si le défendeur est le fournisseur du système d’IA, la présomption réfragable du lien de causalité s’applique si l’une des cinq  exigences (de qualité des jeux de données d’entraînement, de transparence, de contrôle humain effectif, de cybersécurité ou de gestion des risques) n’a pas été respectée.

Dans l’hypothèse où le déployeur serait défendeur, la présomption réfragable du lien de causalité s’applique dans 3 cas :

 – le système n’a pas été utilisé conformément à sa notice d’utilisation ;

– le système n’a pas fait l’objet d’une suspension en cas de survenance de risque ou d’incident ;

– le système a été exposé à des données d’entrée non pertinentes alors qu’elles étaient sous le contrôle du déployeur.

Dans le contexte d’une action fondée sur des griefs liés aux résultats (ou à leur absence) d’un système d’IA qui n’est pas à haut risque, la présomption réfragable du lien de causalité ne s’applique que si la juridiction nationale estime qu’il est excessivement difficile pour le demandeur de prouver le lien de causalité.

Enfin, que le système d’IA soit à haut risque ou non, et quel que soit l’opérateur en cause, ce dernier aura toujours le droit de renverser la présomption de causalité.

Time line :

  1. La révision de « la directive produit » a fait l’objet d’un accord en trilogue le 14 décembre dernier et devrait être votée par l’ensemble du Parlement en mars ou avril 2024.
  2. La proposition de directive relative à la responsabilité du fait de l’IA est en passe d’être reprise dans le cadre des travaux du Conseil alors qu’elle semblait abandonnée. Il est possible qu’elle fasse l’objet d’une adoption, encore lointaine, pour venir compléter les dispositions de l’AI Act et de la « directive produit ».

[1]  « un logiciel qui est développé au moyen d’une ou plusieurs des techniques et approches énumérées à l’annexe I [du RIA] et qui peut, pour un ensemble donné d’objectifs définis par l’homme, générer des résultats tels que des contenus, des prédictions, des recommandations ou des décisions influençant les environnements avec lesquels il interagit ».

Côme SAUZAY

Côme SAUZAY

COO / Co-fondateur
Voir les autres articles

Gestion des risques de l’IA : quelles solutions ?

Naviguer dans la conception de l’IA avec une nouvelle boussole

La gouvernance de l’IA : bonnes pratiques

Naaia renforce sa solution pour garantir la conformité des entreprises à l’AI Act

Naaia obtient le badge Platinum de CyberVadis

Qu’est-ce qu’un AIMS ?

Les Systèmes d’IA Interdits

L’AI Act, un nouveau cadre réglementaire pour l’IA

Qu’est-ce qu’un système d’IA ?

Quel régime de responsabilité du fait de l’intelligence artificielle ?