La Commission européenne a présenté, mercredi 28 septembre, sa proposition de directive sur la responsabilité en matière d’intelligence artificielle (IA). Ce texte, qui doit notamment permettre de faciliter l’accès à la réparation pour les utilisateurs de systèmes d’IA victimes de dommages, a été dévoilé en même temps que le second volet de ce paquet législatif, qui prévoit la révision de la directive sur la responsabilité du fait des produits.
Dans le détail, la Commission a pour objectif d’établir des règles uniformes pour l’accès à l’information et l’allègement de la charge de la preuve lorsque des dommages tels que des atteintes à la vie privée ou des problèmes de sécurité sont causés par des systèmes d’IA.
Pour ce faire, la Commission est partie d’un constat assez simple : l’IA peut être autonome - un algorithme pouvant prendre une décision qui n’est pas prévisible par un être humain - et l’apprentissage par les machines - nourries par l’arrivée de données - peut déboucher sur un résultat dont on ne peut pas nécessairement expliquer les raisons qui en sont à l’origine. Or, « dans tous les États membres, pour prouver la responsabilité lorsqu’une victime a subi un dommage, il faut démontrer qu’il y a une erreur humaine », explique une source diplomatique. « Les règles actuelles ne donc sont pas à la hauteur, des dommages peuvent être causés sans que la personne soit indemnisée », a-t-elle complété.
Concrètement, la proposition de directive vise à simplifier les procédures juridiques pour les victimes, en introduisant deux caractéristiques.
Tout d’abord, en cas de faute et lorsqu’un lien de causalité avec les performances d’un système d’IA semble probable, la présomption de causalité permettrait aux victimes d’éviter de devoir donner des explications alors que le domaine de l’intelligence artificielle est très complexe.
En outre, les victimes disposeraient, de plus d’outils pour obtenir des réparations, notamment grâce à l’introduction de dispositions pour faciliter l’accès aux preuves des entreprises ou fournisseurs dans les cas où des systèmes d’IA qualifiés 'à haut risque' sont concernés.
Sur ce point, la Commission précise que, dans les situations où les entités incriminées refuseraient de transmettre certaines informations, la présomption d’un problème existant serait avérée.
« Il faut répondre aux besoins liés aux risques, la charge de la preuve ne doit pas peser sur la victime, mais sur le producteur responsable », a commenté le commissaire à la Justice, Didier Reynders.
Par cette proposition, la Commission souhaite renforcer sa stratégie pour accroître la confiance des utilisateurs envers l’IA. Elle avait déjà initié cette volonté avec sa législation sur les données, sur laquelle le Parlement et le Conseil de l’UE travaillent actuellement (EUROPE 13029/9).
« Moins les règles sont favorables aux victimes, moins on a confiance en l’IA. Il y a un lien entre confiance et montée en puissance. Et nous voulons aussi développer un cadre de sécurité juridique pour les entreprises : elles doivent savoir quelle est leur responsabilité, quels sont les risques qu’elles encourent, si on veut avoir des garanties pour favoriser l’investissement », a conclu une source diplomatique.
Révision de la directive sur la responsabilité du fait des produits
Par ailleurs, la Commission européenne a abordé le second pilier de ce paquet, en annonçant la révision de la directive sur la responsabilité du fait des produits, adoptée en 1985.
Sur ce point, la proposition prévoit l’introduction de règles de responsabilité plus claires et équitables pour les entreprises qui modifient leurs produits.
Le texte prévoit aussi la modernisation des règles de responsabilité pour les produits numériques. Sur ce point, des indemnisations seront possibles quand des dommages sont causés par des produits tels que les robots, des drones ou des systèmes domestiques intelligents rendus dangereux par des mises à jour logicielles, ou quand les fabricants ne remédient pas aux failles en matière de cybersécurité. La Commission prévoit des exemptions pour les logiciels ‘open-source’, à condition qu’ils ne soient pas impliqués dans une activité commerciale.
Ces nouvelles règles, indique la Commission, devraient permettre de créer des conditions de concurrence « plus équitables entre les fabricants de l'UE et ceux des pays tiers ». En effet, le texte prévoit que les consommateurs blessés par des produits importés de l'extérieur de l’UE puissent se tourner vers l'importateur ou le représentant du fabricant dans l'UE pour obtenir une indemnisation.
Enfin, bien que les données commerciales et secrètes d’une entreprise continueront d’être protégées, des exigences seront introduites pour que les fabricants divulguent des preuves en cas de mauvais fonctionnement.
La question des délais et autres obstacles à l’indemnisation des victimes a également été soulevée. Ainsi, la Commission propose d’étendre la période de responsabilité sur les produits de 10 ans à 15 ans et de supprimer le seuil fixé à 500 euros minimum de dommages matériels pour être indemnisé, ce que ne prévoient pas les règles actuelles.
Voir la proposition sur l’intelligence artificielle : https://aeur.eu/f/3an
Voir la proposition sur la responsabilité du fait des produits : https://aeur.eu/f/3am (Thomas Mangin)