L’Union européenne a apporté des modifications au régime de responsabilité extracontractuelle pour répondre aux enjeux des systèmes d’intelligence artificielle (IA). Au-delà du règlement IA adopté le 13 mars 2024, deux directives ont vocation à adapter les règles de droit interne.
Point de départ de l’adaptation des règles européennes, le Livre blanc sur l’intelligence artificielle (IA) de 2020 de la Commission européenne consigne une série de constats sur l’inadéquation des règles existantes en matière de responsabilité aux nouveaux enjeux de l’IA. De ces constats sont nés une proposition de règlement IA ainsi qu’une proposition de directive révisant le régime de responsabilité du fait des produits défectueux et une proposition de directive adaptant les règles de responsabilité civile extracontractuelle au domaine de l’IA.
Si le règlement IA a pour objectif de prévenir les dommages susceptibles d’être causés par l’utilisation de systèmes d’IA, les deux directives proposées ont vocation à faciliter les actions en réparation des dommages causés par une telle utilisation. Où en sont ces deux directives en janvier 2025 ?
Adoption de la directive révisant le régime de la responsabilité du fait des produits défectueux (directive Produits)
La directive Produits a été définitivement adoptée par le Parlement européen le 23 octobre 2024. Les Etats membres ont jusqu’au 9 décembre 2026 pour la transposer, date à laquelle sera abrogée la directive 85/374/CEE qui avait créé le régime de responsabilité du fait des produits défectueux il y a de cela 40 ans. Les règles nouvelles ne s’appliqueront qu’aux produits mis sur le marché après le 9 décembre 2026.
L’objectif de la directive Produits est clair : faciliter la réparation des victimes. Pour cela, la directive adapte le régime de la responsabilité du fait des produits défectueux sur plusieurs aspects. Nous revenons ici sur les principales modifications qui visent à adapter le régime aux enjeux de l’IA.
Premièrement, la modification de la définition de « produit » pour y inclure les logiciels, dont les systèmes d’IA. La directive Produits met ainsi fin à toute incertitude sur l’applicabilité du régime de la responsabilité du fait des produits défectueux aux produits immatériels. Les règles établies par la directive Produits peuvent s’appliquer au système d’IA en tant que produit indépendant, en tant que composant d’un autre produit logiciel ou de tout autre produit tangible, ainsi qu’en tant que service connexe à un produit (par exemple dans le cas d’un objet connecté qui accède à distance à un système d’IA pour remplir ses fonctionnalités). Une exception est néanmoins prévue pour les systèmes d’IA fournis en tant que logiciels libres et ouverts en dehors du cadre d’une activité commerciale : ils sont exclus du champ d’application de la directive Produits.
Deuxièmement, la modification de la liste des circonstances à prendre en compte pour évaluer le caractère défectueux d’un produit. Un produit est défectueux lorsqu’il n’offre pas la sécurité à laquelle on peut légitimement s’attendre. Les circonstances citées dans l’actuel article 1245-3 du Code civil pour effectuer cette appréciation sont la présentation du produit, l’usage qui peut en être raisonnablement attendu et le moment de sa mise en circulation. La directive Produits élargit cette liste, notamment pour tenir compte des spécificités des systèmes d’IA. Exemple le plus frappant, l’appréciation devra désormais intégrer la capacité du produit à continuer à apprendre ou à acquérir de nouvelles caractéristiques après sa mise sur le marché ou sa mise en service. Second exemple, le respect des exigences pertinentes en matière de sécurité des produits, y compris de cybersécurité, devient une circonstance déterminante dans l’appréciation de la défectuosité d’un produit. S’agissant des systèmes d’IA, on pense notamment aux exigences de sécurité établies dans le règlement IA. Troisième exemple, il faudra tenir compte de l’effet raisonnablement prévisible sur le produit, d’autres produits dont on peut s’attendre à ce qu’ils soient utilisés conjointement avec le produit, notamment au moyen d’interconnexion. Au vu de la multiplicité des cas d’usage possibles des systèmes d’IA avec d’autres produits, l’interprétation de ce critère créera sans nul doute de nombreux débats.
Troisièmement, l’évolution des règles probatoires en réaction à « l’effet boîte noire » pointé par la Commission européenne dans son Livre blanc sur l’IA de 2020. Poursuivant l’objectif de faciliter les actions en réparation, la directive Produits introduit deux nouveaux mécanismes de divulgation et d’allègement de la charge de la preuve. Le juge pourra ordonner au défendeur de divulguer les éléments de preuve pertinents dont il dispose, à condition que le demandeur ait justifié au préalable d’un droit à réparation « plausible ». La directive Produits introduit par ailleurs plusieurs présomptions réfragables. Elles s’appliquent pour établir la défectuosité d’un produit (par exemple en cas de manquement à l’obligation de divulgation de preuve, ou en cas de difficulté excessive technique ou scientifique pour le demandeur à démontrer la défectuosité). Elles s’appliquent également à l’établissement du lien de causalité entre la défectuosité et le dommage en cas de difficulté probatoire excessive rencontrée par le demandeur.
Quatrièmement, la prise en compte des mises à jour logicielles et des capacités d’apprentissage des systèmes d’IA dans la détermination de la date de mise sur le marché. La directive Produits prévoit qu’en cas de « modification substantielle » d’un produit, ce produit est considéré comme nouvellement mis sur le marché. Une « modification substantielle » peut être effectuée au moyen d’une mise à jour ou d’une mise à niveau logicielle, ou en raison de l’apprentissage continu d’un système d’IA. Cela a un double impact. D’une part, cela relance le point de départ du délai de forclusion de 10 ans pour l’action de la victime. D’autre part, si le produit n’a pas été substantiellement modifié par le fabricant d’origine ou « sous son contrôle » alors la personne ayant modifié substantiellement le produit doit être considérée comme le fabricant du produit modifié, avec toutes les responsabilités qui en découlent. S’agissant des systèmes d’IA, toute la difficulté consistera à déterminer sous le contrôle de qui est intervenue une modification substantielle résultant de l’apprentissage continu du système.
Les incertitudes quant à l’adoption de la proposition de directive adaptant les règles de responsabilité civile extracontractuelle au domaine de l’IA (directive Responsabilité IA)
Fondée sur la typologie des systèmes d’IA définie dans le règlement IA, cette proposition de directive entend compléter la directive Produits. En effet, la directive Produits ne vise que « les dommages causés à des personnes physiques par des produits défectueux » et la réparation reste limitée à certaines catégories de dommages (atteintes aux personnes, aux biens et aux données).
La proposition de directive Responsabilité IA a quant à elle pour objectif de faciliter l’action en réparation en cas de dommage causé « par le résultat d’un système d’IA ou l’incapacité de ce système à produire un résultat qui aurait dû l’être ». De manière analogue à la directive Produits, elle prévoit la création d’une obligation de divulgation d’éléments de preuve pour les actions intentées contre un fournisseur ou un utilisateur de système d’IA à haut risque soupçonné d’avoir causé un dommage. En cas de non-respect de cette obligation de divulgation, une présomption de non-respect d’un devoir de vigilance serait établie. La proposition de directive Responsabilité IA entend également introduire, pour l’ensemble des systèmes d’IA, une présomption d’un lien de causalité en cas de faute, sous réserve de trois conditions : une faute démontrée ou présumée fondée sur le manquement à un devoir de vigilance légalement prévu ; la probabilité raisonnable que cette faute ait influencé le comportement du système d’IA ; et la démonstration de ce que le comportement du système d’IA est à l’origine du dommage subi.
La proposition de directive est actuellement en première lecture au sein des institutions européennes. La raison d’être de la proposition de directive Responsabilité IA et son contenu font toutefois l’objet d’âpres débats à Bruxelles. Le Parlement européen a ainsi commandé une étude d’impact complémentaire à celle de la Commission européenne. Cette étude, publiée en septembre 2024, suggère notamment de faire de la directive un règlement, d’élargir son champ d’application en y incluant tous les logiciels, et d’envisager à certains égards une responsabilité de plein droit au lieu d’une responsabilité pour faute. Au vu des divergences, l’avenir de la proposition de directive Responsabilité IA est incertain. En tout état de cause, le débat législatif promet d’être long.
