L’approche du législateur européen pour encadrer les usages de l’IA 

Dans son livre blanc sur l’IA, publié le 19 février 2020, la Commission européenne s’est engagée à promouvoir le recours à l’IA et à tenir compte des risques associés à certaines de ses utilisations, en favorisant l’innovation et la confiance. Les réflexions et travaux initiés en 2018 ont abouti, le 21 avril 2021, à l’adoption par la Commission européenne d’une proposition de règlement établissant des règles harmonisées concernant l’intelligence artificielle.

Au terme du processus législatif européen, ce Règlement a été adopté le 13 juin 2024 et publié au JOUE le 12 juillet 2024. Plusieurs étapes sont prévues dans la mise en œuvre des dispositions du Règlement, voir à cet effet notre article dédié.

Ainsi, le 2 février 2025 est entrée en application l’une des dispositions majeures du Règlement européen sur l’IA : l’interdiction de certains systèmes d’IA qui représentent un risque inacceptable, au regard de la santé des personnes, de leur sécurité ou du respect des valeurs de l’Union européenne et des droits fondamentaux.

Le Règlement repose sur une approche de l’IA fondée sur les risques et introduit une distinction entre les utilisations de l’IA selon les risques qu’elles représentent pour « la santé, la sécurité ou les droits fondamentaux des personnes » : risque inacceptable, élevé et faible ou minimal.

Selon les risques qu’ils induisent, les systèmes d’IA seront soit totalement interdits, soit autorisés et soumis à des obligations. Des sanctions sont prévues en cas de non-respect des dispositions du Règlement sur l’IA. Concernant les pratiques interdites en matière d’IA (article 5), le non-respect de leur interdiction fait l’objet d’amendes administratives pouvant aller jusqu’à 35 millions d’euros ou, si l’auteur de l’infraction est une entreprise, jusqu’à 7 % de son chiffre d’affaires annuel mondial total réalisé au cours de l’exercice précédent, le montant le plus élevé étant retenu (article 99).

Parallèlement à ce Règlement, deux propositions législatives avaient été adoptées le 28 septembre 2022, prévoyant la mise en œuvre de la responsabilité extra-contractuelle en cas de dommages causés par des produits ou services issus de l’IA.  :

• La révision de la Directive sur la responsabilité du fait des produits défectueux (dite Nouvelle Directive Produits Défectueux) ; et
• Une nouvelle proposition de Directive relative à l’adaptation des règles en matière de responsabilité civile extracontractuelle au domaine de l’intelligence artificielle (dite Directive sur la responsabilité en matière d’IA).

Pourquoi la proposition de Directive sur la responsabilité en matière d’IA a-t-elle été retirée et que prévoyait-elle ?

Alors que le Règlement sur l’IA vise à prévenir les dommages, la directive sur la responsabilité en matière d’IA devait établir « un filet de sécurité pour obtenir réparation en cas de dommage. »

Dans son programme de travail 2025 et ses annexes, publiés le 11 février 2025, la Commission européenne a annoncé les textes en cours de discussion qui étaient retirés, parmi lesquels figure la proposition de directive sur la responsabilité en matière d’IA.

L’abandon de ce projet de réglementation, qui était en cours de discussion au Parlement européen, s’accompagne du texte suivant : « aucun accord prévu. La Commission européenne évaluera si un autre texte doit être proposé ou une autre approche devrait être menée ». (cf. Annexe IV, ligne 32)

Pourtant cette proposition de texte avait été saluée, notamment par les associations de consommateurs, qui y voyaient un cadre favorable aux victimes de dommages causés par des systèmes d’IA, en instaurant un cadre reposant sur deux mesures principales :

• l’accès aux éléments de preuve détenus par les entreprises ou les fournisseurs, lorsque ces derniers utilisent de l’IA à « haut risque », au sens du Règlement sur l’IA (article 3) ; et
• la « présomption de causalité », qui dispenserait les victimes de l’obligation d’expliquer en détail comment le dommage a été causé par une faute ou une omission spécifique (article 4).

En effet, partant du constat que les systèmes d’IA peuvent être complexes, opaques, rendant difficile, voire impossible, pour la victime de s’acquitter de la charge de la preuve, le législateur européen avait initialement considéré que le régime de responsabilité devait permettre un accès effectif à la justice, se concrétisant par un accès à la réparation, pour la victime, conformément à la Charte des droits fondamentaux de l’Union européenne.

Ce texte devait aussi permettre d’harmoniser certaines règles pour les actions en réparation ne relevant pas du champ d’application de la directive sur la responsabilité des produits défectueux, dans les cas où des dommages seraient causés par un comportement fautif (atteintes à la vie privée, dommages causés par des problèmes de sécurité…).

A la suite de l’abandon de ce texte, plusieurs questions restent ouvertes :

• Un nouveau texte européen sera-t-il proposé ?
• Le régime de responsabilité en matière d’IA sera-t-il défini dans le droit national, par chaque État membre, pouvant donner lieu à des différences significatives selon les États ?
• La mise en œuvre du régime prévu par la Directive sur les produits défectueux sera-t-il privilégié dans le cas de produit utilisant l’IA ?

En matière d’IA, quels sont les apports de la nouvelle Directive sur les produits défectueux ?

La Directive révisée renforce les règles actuelles, bien établies depuis près de 40 ans (depuis la Directive 85/374/CEE du Conseil du 25 juillet 1985), qui prévoient la responsabilité sans faute des fabricants et la réparation des dommages corporels, des dommages aux biens ou des pertes de données causées par des produits défectueux. Elle garantit des règles équitables et prévisibles tant pour les entreprises que pour les consommateurs.

La nouvelle Directive sur les produits défectueux modernise les règles de responsabilité pour les produits à l’ère numérique, permettant ainsi la réparation des dommages lorsque des produits tels que « des robots, des drones ou des systèmes domestiques intelligents sont rendus dangereux par les mises à jour logicielles, l’IA ou les services numériques nécessaires au fonctionnement du produit, ainsi que lorsque les fabricants ne parviennent pas à remédier à des vulnérabilités en matière de cybersécurité ».

Le texte prévoit un allègement de la charge de la preuve pour les victimes dans les cas complexes, « tels que ceux impliquant des produits pharmaceutiques, des produits intelligents ou des produits utilisant l’IA ».

La Directive a été officiellement adoptée le 23 octobre 2024 et publiée au Journal officiel de l’Union européenne le 18 novembre 2024. Les États membres disposent de deux ans pour transposer la directive en droit national.

En tout état de cause, les enjeux de responsabilité en matière d’IA étant cruciaux pour l’ensemble des acteurs (utilisateurs, développeurs, etc.), le contrat reste la clef de voûte de la confiance. Ainsi, indépendamment de dresser une cartographie des usages, d’identifier ceux notamment autorisés de ceux interdits, la construction d’une politique contractuelle spécifique à chacun des acteurs est et reste un impératif avec notamment les stipulations suivantes :

• L’audit des algorithmiques (évaluation de leur conformité, de l’éthique)
• La responsabilité avec la délimitation, le partage des responsabilités en cas de dommages et de préjudices causés par l’IA
• La traçabilité des jeux de données (garantie et identification de la source, anonymisation, etc.)
• La portabilité (notamment dans le cadre de la fin du contrat y compris en cas de résiliation)
• La conformité aux réglementations (RSE, NIS2, RGPD…)
• Etc.

Des questions sur vos pratiques ? Sur vos projets ? Sur la gestion de vos risques et votre mise en conformité ? L’équipe de Mathias Avocats est à votre écoute, contactez-nous !

Ensemble, développons vos projets et formons vos équipes ! Partageons nos expertises.