Au regard du développement exponentiel des systèmes utilisant l’intelligence artificielle (IA), pour des usages de plus en plus nombreux et variés, la Commission européenne a proposé de créer un cadre réglementaire adapté à l’évolution de ces technologies.
Les travaux menés visaient notamment à :
- promouvoir l’innovation en matière d’IA dans l’Union européenne, tout en respectant les valeurs et droits fondamentaux de celle-ci.
- intégrer de nouvelles règles permettant aux victimes de dommages causés par des produits et des services intégrant des technologies de l’IA, d’accéder à une réparation.
Quelle est la situation actuelle et quelles sont les prochaines étapes pour la mise en œuvre de cette responsabilité ? Quelles en sont les modalités ? Quelle réparation pour les victimes ?
Un nouveau cadre pour l’IA dans l’Union européenne : un règlement et deux directives
Dans son livre blanc sur l’IA, publié le 19 février 2020, la Commission européenne s’est engagée à promouvoir le recours à l’IA et à tenir compte des risques associés à certaines de ses utilisations, en favorisant l’innovation et la confiance. Les réflexions et travaux initiés en 2018 ont abouti, le 21 avril 2021, à l’adoption par la Commission européenne d’une proposition de règlement établissant des règles harmonisées concernant l’intelligence artificielle.
Au terme du processus législatif européen, ce Règlement a été adopté le 13 juin 2024 et publié au JOUE le 12 juillet 2024. Plusieurs étapes sont prévues dans la mise en œuvre des dispositions du Règlement, voir à cet effet notre article dédié.
Le Règlement repose sur une approche de l’IA fondée sur les risques et introduit une distinction entre les utilisations de l’IA selon les risques qu’elles représentent pour « la santé, la sécurité ou les droits fondamentaux des personnes » : risque inacceptable, élevé et faible ou minimal.
Selon les risques qu’ils induisent, les systèmes d’IA seront soit totalement interdits, soit autorisés et soumis à des obligations. Des sanctions sont prévues en cas de non-respect des dispositions du Règlement sur l’IA. Concernant les pratiques interdites en matière d’IA (article 5), le non-respect de leur interdiction fait l’objet d’amendes administratives pouvant aller jusqu’à 35 millions d’euros ou, si l’auteur de l’infraction est une entreprise, jusqu’à 7 % de son chiffre d’affaires annuel mondial total réalisé au cours de l’exercice précédent, le montant le plus élevé étant retenu (article 99).
Parallèlement à ce Règlement, la Commission européenne a proposé d’établir un régime de responsabilité concernant les produits et services utilisant l’IA, s’articulant autour de deux propositions législatives, adoptées le 28 septembre 2022 :
- La révision de la Directive sur la responsabilité du fait des produits défectueux (dite Nouvelle Directive Produits Défectueux) ; et
- la Directive relative à l’adaptation des règles en matière de responsabilité civile extracontractuelle au domaine de l’intelligence artificielle (dite Directive sur la responsabilité en matière d’IA)
Ces deux propositions de directives ont pour objectif de faciliter la mise en œuvre de la responsabilité extra-contractuelle en cas de dommages causés par des produits ou services issus de l’IA.
En matière d’IA, que prévoit la nouvelle Directive sur les produits défectueux ?
La Directive révisée renforce les règles actuelles, bien établies depuis près de 40 ans (depuis la Directive 85/374/CEE du Conseil du 25 juillet 1985), qui prévoient la responsabilité sans faute des fabricants et la réparation des dommages corporels, des dommages aux biens ou des pertes de données causées par des produits défectueux. Elle garantit des règles équitables et prévisibles tant pour les entreprises que pour les consommateurs.
La nouvelle Directive sur les produits défectueux modernise les règles de responsabilité pour les produits à l’ère numérique, permettant ainsi la réparation des dommages lorsque des produits tels que « des robots, des drones ou des systèmes domestiques intelligents sont rendus dangereux par les mises à jour logicielles, l’IA ou les services numériques nécessaires au fonctionnement du produit, ainsi que lorsque les fabricants ne parviennent pas à remédier à des vulnérabilités en matière de cybersécurité ».
Le texte prévoit un allègement de la charge de la preuve pour les victimes dans les cas complexes, « tels que ceux impliquant des produits pharmaceutiques, des produits intelligents ou des produits utilisant l’IA ».
La Directive a été adoptée par le Conseil de l’UE le 10 octobre 2024 et entrera en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne. Les États membres disposent de deux ans pour transposer la directive en droit national.
Quel est l’apport de la Directive sur la responsabilité en matière d’IA ?
Alors que le Règlement sur l’IA vise à prévenir les dommages, la directive sur la responsabilité en matière d’IA « établit un filet de sécurité pour obtenir réparation en cas de dommage. »
L’objectif de la directive sur la responsabilité en matière d’IA est triple :
- établir des règles uniformes pour l’accès à l’information et l’allègement de la charge de la preuve en ce qui concerne les dommages causés par des systèmes d’IA,
- instaurer une protection plus large pour les victimes (qu’il s’agisse de particuliers ou d’entreprises) et
- promouvoir le secteur de l’IA en renforçant les garanties.
Elle harmonisera certaines règles pour les actions en réparation ne relevant pas du champ d’application de la directive sur la responsabilité des produits défectueux, dans les cas où des dommages sont causés par un comportement fautif (atteintes à la vie privée, dommages causés par des problèmes de sécurité…).
Plus spécifiquement, la directive sur la responsabilité en matière d’IA complète le cadre européen en matière de responsabilité civile, en introduisant des règles spécifiques aux dommages causés par des systèmes d’IA, reposant sur deux mesures principales:
- l’accès aux éléments de preuve détenus par les entreprises ou les fournisseurs, lorsque ces derniers utilisent de l’IA à « haut risque », au sens du Règlement sur l’IA (article 3) ; et
- la « présomption de causalité », qui dispensera les victimes de l’obligation d’expliquer en détail comment le dommage a été causé par une faute ou une omission spécifique (article 4).
En effet, partant du constat que les systèmes d’IA peuvent être complexes, opaques, rendant difficile, voire impossible, pour la victime de s’acquitter de la charge de la preuve, le législateur européen a considéré que le régime de responsabilité doit permettre un accès effectif à la justice, se concrétisant par un accès à la réparation, pour la victime, conformément à la Charte des droits fondamentaux de l’Union européenne.
Selon la Commission, la nouvelle directive sert aussi les intérêts des entreprises, qui seront plus à même d’anticiper la manière dont les règles de responsabilité en vigueur seront appliquées et, ainsi, d’évaluer et d’assurer leur exposition aux risques en matière de responsabilité. « C’est particulièrement le cas pour les entreprises exerçant des activités transfrontières, notamment pour les petites et moyennes entreprises (PME), qui comptent parmi les plus actives dans le secteur de l’IA. »
Prochaines étapes
La proposition de Directive relative à l’adaptation des règles de la responsabilité civile extracontractuelle au domaine de l’intelligence artificielle était accompagnée d’une étude d’impact. La commission des affaires juridiques du Parlement européen a demandé une analyse d’impact complémentaire de la proposition, sur des thématiques spécifiques. Plus précisément, l’analyse complémentaire doit permettre de pallier des lacunes de l’analyse d’impact initiale de la Commission européenne et notamment d’approfondir l’analyse coûts-bénéfices, en particulier du régime de responsabilité stricte.
L’étude d’impact complémentaire, publiée le 19 septembre 2024, propose d’étendre le champ d’application de la Directive aux systèmes d’IA à usage général et autres « systèmes d’IA à fort impact », ainsi qu’aux logiciels. Elle examine également un cadre de responsabilité mixte qui établirait un équilibre entre la responsabilité fondée sur la faute et la responsabilité objective (sans faute).
La proposition de directive devra être adoptée par le Parlement européen et le Conseil ; et les discussions sont en cours.
Il est proposé que, cinq ans après l’entrée en vigueur de la directive sur la responsabilité en matière d’IA, la Commission réexaminera l’application de la directive (dans le cadre d’un rapport qui sera transmis au Parlement) et, en particulier :
« évaluer[a] le caractère approprié des règles de responsabilité stricte pour les actions intentées contre les opérateurs de certains systèmes d’IA, dans la mesure où elles ne sont pas déjà couvertes par d’autres règles de l’Union en matière de responsabilité, et la nécessité d’une couverture d’assurance, tout en tenant compte de l’effet et de l’incidence sur le déploiement et l’adoption des systèmes d’IA, en particulier pour les PME. » (article 5)
S’agissant d’une directive, ses dispositions devront être transposées en droit national, au plus tard deux ans après la date de son entrée en vigueur. (article 7)
Comment pouvons-nous vous être utiles ? Développement de vos projets, sensibilisation de vos équipes, formation, mise en conformité et gestion des risques. Contactez-nous !
Ensemble, développons vos projets et formons vos équipes ! Partageons nos expertises.