Par Olivier Haas, of counsel, et Hatziri Minaudier, avocat, Jones Day (1)

L’intelligence artificielle (ci-après IA) renvoie à des technologies multiples telles que le traitement du langage naturel, l’apprentissage automatique (ou deep learning), la robotique, le raisonnement et l’aide à la décision algorithmique. Autant de technologies qui reposent sur l’utilisation d’algorithmes, ces séquences d’opérations ou d’instructions permettant de calculer, d’assurer la gestion d’informations, d’analyser des données, de commander un robot, de modéliser et de prévoir (2).

Le concept d’IA n’est point nouveau (il a été créé en 1956 par J. McCarthy et M. Minsky) et doit son récent renouveau aux résultats obtenus par la combinaison d’algorithmes, de nouvelles capacités de calcul et de sources de données de plus en plus vastes. Car les données sont désormais au cœur des innovations et des performances obtenues.

La Commission européenne, qui a d’ailleurs pris acte de la valeur des données, parle volontiers d’un passage à une «économie fondée sur les données (3)». Elle estime que si des conditions-cadres politiques et juridiques adéquates sont mises en place, l’économie fondée sur les données devrait représenter 643 milliards d’euros d’ici 2020, soit 1,37 % du PIB global de l’Union (4).

Le fulgurant développement actuel de l’IA se matérialise par l’émergence de nouveaux usages pour les professionnels et le grand public dans de multiples secteurs économiques (I). Ces nouveaux usages soulèvent à leur tour un certain nombre de questions juridiques encore largement ouvertes (II).

I. L’IA source de nouveaux usages

Les applications de l’IA se trouvent mises en œuvre notamment dans le secteur du transport (e.g. Renault investit dans les capteurs de vision intelligents nécessaires au développement des systèmes d’aide à la conduite), l’aéronautique (e.g. Thales investit dans le développement d’algorithmes capables d’analyser en temps réel les données de vol et optimiser le trafic aérien), la finance (e.g. Crédit Mutuel a établi un partenariat avec IBM afin d’utiliser le système Watson en tant qu’assistant virtuel des chargés de clientèle) ou encore la défense (e.g. Dassault développe un système de pilotage autonome pour avions de combat) (5).

L’IA dépasse la simple exécution de séquences d’instructions pour offrir aux technologies l’incorporant une capacité d’adaptation. Elle a pour résultat une meilleure réaction des technologies face à aux situations non prévues initialement dans la programmation. L’IA dote donc les systèmes d’une marge de manœuvre autonome, au détriment des pleins contrôle et prédictibilité qui caractérisaient les systèmes auparavant.

L’absence de maîtrise parfaite sur l’IA et les résultats parfois imprévus qu’elle génère expliquent que les médias insistent sur les accidents occasionnés par l’IA, tel le cas du premier accident mortel provoqué par une voiture autonome en Floride le 7 mai 2016 ou les propos racistes tenus par le système «Tay» de Microsoft – un avatar qui avait pour but de conduire des conversations. L’IA suscite en outre des craintes socio-économiques du fait du bouleversement susceptible d’intervenir dans le secteur de l’emploi. D’après l’Office parlementaire d’évaluation des choix scientifiques et technologiques, l’emploi sera profondément bouleversé en son contenu, ce qui permettrait aux Hommes de se concentrer sur des tâches à plus forte valeur ajoutée (6).

L’exploitation de l’IA a des conséquences factuelles inconnues mais elle soulève aussi des problématiques juridiques dont les réponses ne sont pas aisées.

II. Défis juridiques de l’IA

Les problématiques juridiques surgissent tout au long du cycle de vie de l’IA et concernent d’ores et déjà l’exploitation des données, l’exploitation des résultats de traitement par l’IA, la transparence et la protection des algorithmes, et la responsabilité pour les dommages causés par l’IA.

Exploitation des données

La disponibilité des données est l’un des principaux enjeux du développement de l’IA, car les données sont indispensables pour alimenter ses systèmes d’IA. L’exploitation des données concernant des individus implique des risques tels que la ré-identification des données, le profilage et le risque de perte de contrôle du système. Il est donc nécessaire d’instaurer un climat de confiance via des solutions de «privacy by design» et «security by design».

Dans cette optique, la proposition de règlement ePrivacy de la Commission européenne (7) a pour objectif de rendre disponibles certaines données relatives à des communications électroniques tout en garantissant la confiance des personnes concernées (8). Elle devrait étendre des principes précédemment adoptés, pour les données personnelles, dans le Règlement général sur la protection des données (RGPD) (9), aux acteurs clés des services de communication électronique (notamment les acteurs dits «OTT» e.g. WhatsApp, Facebook).

La réutilisation des données est soumise à des contraintes qui diffèrent selon la nature des données. Le RGPD régit l’utilisation des données à caractère personnel. Il exige que les finalités du traitement des données soient déterminées préalablement à sa mise en œuvre et que tout traitement pour d’autres finalités ne puisse être mis en œuvre que si ces nouvelles finalités sont compatibles avec les finalités initialement prévues. En ce qui concerne les métadonnées, la proposition de règlement ePrivacy encadre elle-aussi, après obtention de l’autorisation d’«exploiter» ces données, le droit de réutiliser les données de communication collectées pour des finalités autres que celles initialement prévues.

Transparence des algorithmes

La mise en place d’une transparence sur le fonctionnement des algorithmes doit aussi contribuer à instaurer un climat de confiance vis-à-vis de l’IA. Le RGPD et la loi du 7 octobre 2016 pour une République numérique prévoient ainsi des règles qui assurent une certaine transparence des algorithmes (e.g. l’obligation d’information de la prise d’une décision individuelle fondée sur le traitement d’un algorithme et l’information concernant les règles définissant le traitement algorithmique ou de la «logique sous-jacente» de ce traitement).

Protection des algorithmes

Comment protéger les algorithmes, moteurs de l’IA ? La protection des algorithmes par le droit d’auteur ou par le brevet semble délicate, respectivement par défaut d’originalité ou d’inclusion dans un procédé brevetable. A défaut, la protection des algorithmes pourrait être assurée par le secret des affaires à condition qu’ils représentent un capital intellectuel et fassent l’objet de dispositions destinées à les garder secrets ; il conviendra à cet égard de suivre la transposition de la directive sur le secret des affaires.

Protection des résultats des algorithmes

La protection des résultats des algorithmes par le droit d’auteur semble tout aussi délicate (10). Une protection par le droit sui generis des producteurs de bases de données pourrait être recherchée à condition d’établir que la collection des données atteste d’un investissement substantiel, mais cela reste encore incertain. La Commission européenne envisage d’ailleurs une protection des données via la création d’un droit sui generis des producteurs des données (à l’instar du droit sui generis du producteur de base de données).

Responsabilité

Enfin, comment identifier un responsable en cas de dommage causé par un système d’IA ? Trois types d’acteurs interviennent dans l’exploitation de l’IA : le fabricant, le propriétaire et l’utilisateur. Sauf dans certains cas, l’autonomie qui caractérise l’IA rend difficile l’imputation de la responsabilité à un acteur en particulier. Dans le cas d’une faille de sécurité, la responsabilité du fait des produits défectueux du fabricant pourrait être recherchée ; en revanche, dans le cas d’un dommage causé par la décision prise par l’IA de manière autonome, retenir la responsabilité du fabricant n’est pas aisé.

A cet égard, la Commission européenne a lancé des travaux qui envisagent la mise en place d’une responsabilité fondée sur la production et la gestion des risques (de manière à imputer la responsabilité aux acteurs du marché qui les génèrent ou qui sont les mieux placés pour les réduire), et d’un régime d’assurance complémentaire obligatoire (11).

Alors que l’IA ouvre de nouveaux usages, ces technologies soulèvent déjà de nombreuses problématiques juridiques dont les solutions devront être affinées afin de soutenir l’essor de l’IA tout en garantissant la sécurité juridique nécessaire, pour les entreprises comme pour les individus : vaste programme !

(1). Cet article reflète uniquement l’opinion de ses auteurs et ne saurait être attribué au cabinet Jones Day ou à l’un de ses clients, actuels ou futurs.

(2). V. le rapport «Pour une intelligence artificielle maîtrisée, utile et démystifiée» de l’Office parlementaire d’évaluation des choix scientifiques et technologiques (OPECST) adopté à l’unanimité le 14 mars 2017.

(3).  V. la définition proposée par l’European Data Market study, SMART 2013/0063, IDC, 2016 : un «marché sur lequel les données numériques s’échangent sous forme de produits ou services dérivés de données brutes».

(4). Communication de la Commission européenne intitulée «Créer une économie européenne fondée sur les données», du 10 janvier 2017, Com (2017) 9 final.

(5). Rapport OPECST «Pour une intelligence artificielle maîtrisée, utile et démystifiée», précité, page 70.

(6). Rapport OPECST «Pour une intelligence artificielle maîtrisée, utile et démystifiée», précité.

(7). Ce règlement a vocation à remplacer la directive «Vie privée et communications électroniques» 2002/58/CE.

(8). La Commission souhaite qu’un tel règlement soit adopté au plus tard le 25 mai 2018.

(9). Règlement 2016/679 du 27 avril 2016.

(10). Com (2017) 9 final, précité, cette position est partagée par la Commission européenne qui considère que «les données brutes produites par des machines […] ne sont pas considérées comme étant le fruit d’une création intellectuelle et/ou comme présentant une quelconque originalité».

(11). Com (2017) 9 final, précité.