Le Droit Français et Européen de l'Intelligence Artificielle - Le point de vue d'un Avocat Conseil d'Entreprises
(PREMIÈRE PARTIE)
Cette communication propose une approche du droit français de l’Intelligence Artificielle (“IA”), tenant compte du droit européen, comme une première étape avant d’aborder l’influence d’autres juridictions (Californie, Singapour…) dans une nouvelle newsletter de notre série à venir « Le droit et l’IA ».
• Utiliser l’IA n’est pas une décision purement “business” sans effets juridiques.
• L’utilisation de l’IA, même par les non professionnels, est déjà encadrée par des législations et le sera également par une jurisprudence de plus en plus précise et adaptée aux problématiques émergentes.
Cette introduction au droit français et européen de l’IA sera consacrée en priorité à une analyse pragmatique et orientée sur les implications pour les entreprises, du Règlement (UE) 2024/1689 du Parlement Européen et du Conseil du 13 juin 2024.
Elle sera suivie d’autres approches intégrant les réponses juridiques à l’IA provenant d’autres sources de droit, soit nationales comme la Californie et Singapour, soit régionales comme l’ASEAN, soit encore des initiatives telles que le AI Safety Summit du Department for Sciences, Innovation & Technology du Royaume-Uni en vue d’anticiper les formes que prendra ce droit en création ex novo.
Dans la mesure où l’encadrement juridique des systèmes d’IA est contenu dans un règlement, d’application directe dans les États membres sans renvoi à une législation nationale comme dans le cas d’une directive, le droit français en la matière se confond avec le droit européen sous l’angle normatif, mais pas sous celui de la réparation du préjudice, qui dépendra en large partie du développement d’une jurisprudence des tribunaux français. Qui pourront être influencés par les décisions provenant d’autres juridictions, européenne et extra-européennes mais à la discrétion du juge français.
Elle procède de la constatation que le sujet de l’IA déclenche un flot de commentaires, tous orientés sur les bénéfices et les risques extra-juridiques de l’IA, qui ignore un élément pourtant capital par ses implications en Europe et même au-delà, les notions de “risque” et de “confiance” telles qu’abordées dans le Règlement.
Un cadre réglementaire incontournable, qu’on le veuille ou non
Comment ce monolithe aussi visible que celui de 2001 L’Odyssée de l’Espace de Stanley Kubrick peut-il passer inaperçu ? Parce que l’on regarde ailleurs, ébloui par l’affirmation répétée ad nauseam du caractère inéluctable des conséquences de la “grande vague” annoncée par notamment Mustapha Suleyman et qui ressemblant fort à un tsunami, capte toutes les attentions.
Car voir les entreprises françaises et leurs conseils ignorer ce monolithe au motif allégué qu’il est d’essence essentiellement bureaucratique demeure incompréhensible. Car même s’il n’apporte pas toute la solution aux risques générés par l’IA, il contient en son sein une partie non négligeable de la solution, et à soi seul cela mérite beaucoup mieux que l’indifférence.
Pour filer la métaphore un mégalithe signifie un point de repère et une réalité tangible et stable sur laquelle s’appuyer pour retrouver la confiance dans l’avenir. Ce qu’est le Règlement, indiscutablement.
Et surtout, c’est une réalité qui s’impose, il existe, il est là ! Et sera applicable à partir du 2 août 2026 dans tous les États membres de l’Union, certains chapitres le sont même depuis le 2 février 2025 et depuis le 2 août 2025 (article 113).
Il fait donc partie intégrante du cadre juridique dans lequel les entreprises européennes évoluent, parmi lesquelles les entreprises françaises, qui n’ont d’autre choix que de prendre en compte son caractère normatif. Même dans l’attente de l’applicabilité directe en droit communautaire ou national de toutes les dispositions du Règlement, ou de l’entrée en fonction complète des institutions prévues par celui-ci (Bureau de l’IA, Comité IA, Forum consultatif, Groupe Scientifique, autorités notifiantes et autorités de surveillance du marché nationales dites “autorités désignées”) anticiper la conformité génère un avantage concurrentiel de “first mover”.
L’impact de l’IA ne se limite pas aux frontières de l’Union Européenne.
Son influence au-delà se manifeste de deux façons:
Directement, parce que le Règlement a explicitement une vocation extra-territoriale, selon le Considérant nº 22: “Compte tenu de leur nature numérique, certains systèmes d’IA devraient relever du présent règlement même lorsqu’ils ne sont pas mis sur le marché, mis en service ou utilisés dans l’Union”.
Principe décliné dans le corps du Règlement lui-même dans son Article 2 – Champ d’application et spécifiquement 2.1. selon lequel le “présent règlement s’applique :
– a) aux fournisseurs établis ou situés … dans un pays tiers qui mettent sur le marché ou mettent en service des systèmes d’IA [NB à la différence des simples modèle d’IA]…
– c) aux fournisseurs et aux déployeurs de systèmes d’IA … qui ont leur lieu d’établissement ou sont situés dans un pays tiers lorsque les sorties produites par le système d’IA sont utilisées dans l’Union…
– f) aux mandataires des fournisseurs qui ne sont pas établis dans l’Union”.
Indirectement, parce que l’approche de l’IA dans le Règlement incluant les “bienfaits économiques, environnementaux et sociaux” (Considérant nº 4) et l’approche européenne axée sur l’humain et la confiance (article 1 du Règlement) et tout particulièrement sur “les droit fondamentaux, la santé et la sécurité:” (Considérant nº 20) trouve sa résonance hors d’Europe par exemple dans le “ASEAN Guide on AI Governance and Ethics” de 2024 et généralement dans un souci d’équilibre entre avantages et risques de l’IA pour la société observé dans la plupart des pays d’Asie.
Et ceci est peut-être le point le plus important à retenir. Le Règlement n’est pas isolé dans son approche reposant largement sur le “containment” du risque. Certes d’autres législations mettent la priorité sur le développement contribuant à la prospérité économique attendue de l’IA, mais ce n’est pas la seule approche mondialement suivie, loin de là.
En Malaisie par exemple, le projet de loi (Bill) “AI Governance” qui sera présentée au conseil des ministres (“Cabinet”) en juin 2026 vise à harmoniser innovation et risque, dans une approche globale déjà dévoilée dans “The National Guidelines on AI Governance and Ethics”.
Quant au concept d’IA digne de confiance, il s’observe jusqu’en Chine.
La conclusion à en tirer étant que les entreprises françaises et européennes qui intègrent le Règlement dans leur pratique œuvrent ainsi également à leur développement en Asie.
Un projet de réglementation ambitieux
Il faut bien admettre que le Règlement est un monolithe non seulement métaphoriquement mais physiquement : 44 pages de “Considérant”, 113 articles et 13 annexes, le tout représentant 144 pages en petit caractère (dans la version française).
L’aspiration à l’exhaustivité qui caractérise le Règlement, certes relative car auto-limitée mais certaine à l’intérieur de son champ d’application choisi par la Commission, explique cela.
Au point ou certains commentateurs ont pu croire justifié de lui appliquer le terme “usine a gaz”, par exemple l’Institut Économique de Montréal (EDM) qui a enjoint le Canada à “ne pas reproduire les erreurs de l’Europe en matière d’intelligence artificielle (IA)”.
Il existe certes une approche nord-américaine de l’encadrement juridique de l’IA qui se démarque de l’approche européenne (et de celle de l’Asie) mais il importe d’évaluer le Règlement en fonction de sa source et de ses objectifs, tous deux clairement affichés. En d’autres termes, de le juger dans son contexte, ce qui n’exclue pas (ceci sera mis en relief dans nos prochaines Newsletters) de le comparer aux autres législations dans une approche globale de l’IA.
Soulignons-le, l’IA est une et sans frontières mais des déclinaisons locales existent et surtout des modes d’encadrement propres à chaque culture, économique, juridique et sociale.
Il faut donc considérer le Règlement comme une contribution, parmi d’autres mais majeure, à l’appréhension au niveau mondial de la nécessité d’une création juridique (ce qui ne veut pas dire seulement encadrement) fournissant une réponse à l’apparition de l’IA générative.
Comprendre le Règlement, c’est aussi comprendre ses limites auto-imposées
D’un point de vue pragmatique, l’approche du Règlement ne peut se limiter à le considérer comme un outil en oubliant qu’il s’agit avant tout d’un impératif réglementaire qui concerne non seulement les professionnels du secteur (fournisseurs, importateurs, distributeurs, mandataires, opérateurs) mais aussi les professionnels dans d’autres domaines que l’IA qui sont de simples utilisateurs (“déployeurs” selon la terminologie du Règlement).
Le Règlement, étant un produit de l’UE, présente des limites qui sont la contrepartie de ses qualités dans sa recherche d’une analyse approfondie de la question.
Il cherche à faire entrer la nouveauté que constitue l’IA générative dans des catégories traditionnelles (obligations, interdictions, catégories de risques, chaîne de valeur, responsabilité…etc.), une étape obligée dans la formation d’une nouvelle branche du droit
Mais c’est précisément ce conflit entre la nouveauté absolue de l’IA générative, y compris dans ses développements prévisibles dans leur ampleur sinon dans leur contenu, et l’état du droit européen qui confère toute sa valeur au Règlement, alias “IA Act”.
Un Règlement EU n’est pas une Directive, qui renvoie à une déclinaison dans les Etats membres sous forme de lois nationales, il a pour objet de réglementer les pratiques de façon directe et immédiatement applicable. Son rôle n’est pas d’encourager, sauf indirectement lorsqu’il vise à éliminer les obstacles réglementaires à l’unification des marchés nationaux ou à s’assurer de la concurrence loyale entre les acteurs.
Son objet se limite donc à “contenir”, faire en sorte en posant des barrières que dans la mesure du possible les avantages d’une activité économique excèdent les inconvénients qui en découlent.
L’évaluation réciproque dans une telle perspective de “containment” soulève des difficultés qui ne s’étaient pas présentées antérieurement à l’IA.
Jusqu’à l’irruption de l’IA, les impacts négatifs d’une technologie étaient prévisibles, sinon dans leur degré du moins dans leur nature.
L’IA générative marque une rupture fondamentale parce sa nature auto évolutive ne permet pas de percevoir par l’effet du seul raisonnement quels en seront les effets positifs ainsi que négatifs.
Un règlement bien pensé et rédigé est une digue contre les excès, pas entourant l’innovation mais protégeant ce qui doit être protégé pour le bien commun.
Ceci aide à expliquer et comprendre la manière dont le Règlement a été construit.
Devant l’IA, le défi est nouveau, car l’ampleur et l’imprévisibilité des avatars impose d’aborder le rôle du législateur sous deux angles inédits : l’épaisseur de la digue, car manifestement elle doit être à la hauteur de la force de la vague, mais de combien ? Les contours de la digue, qui ne doivent pas comporter de portes vulnérables, mais où sont-elles ? Les rédacteurs du Règlement devaient, et ont fait des choix.
S’agissant des contours de la digue, il ne fait pas de doute que le développement de l’IA entraînera une suite quasi infinie de conséquences juridiques: impact sur la construction et l’exécution des contrats, responsabilité contractuelle et délictuelle, résolution des différends par les tribunaux et les modes alternatifs… etc.
Le Règlement, tout le Règlement, mais pas que le Règlement
Le Règlement étant conçu comme une digue est à la fois nécessaire et insuffisant.
Les acteurs économiques, en premier lieu les déployeurs, doivent se préparer aux contournements de la digue sous la pression de l’évolution de l’IA voire à son effondrement partiel.
Une digue ne valant que ce que vaut son point le plus faible, ceci ne peut être négligé.
Il n’en irait autrement que si la conformité (“compliance”) était suffisante pour assurer la sécurité juridique. Manifestement, ce n’est pas le cas, et il convient de se préparer tant aux conséquences des débordements que de tout ce qui n’est pas a priori contenu par le périmètre de la digue.
Le Règlement assortit la non-conformité à des obligations de cessation de la non-conformité (Article 83) mais il ne prévoit pas de bénéfice d’exemption de responsabilité sur cette base seulement. La conformité constituera sans aucun doute un argument en défense lors de mise en cause de responsabilité, mais rien de plus. D’ailleurs, le Règlement souligne que certains systèmes d’IA a haut risque conformes peuvent néanmoins comporter “un risque pour la santé ou la sécurité des personnes physiques, pour les droits fondamentaux ou pour d’autres aspects relatifs à la protection de l’intérêt public” (Article 82) ce qui contribue à relativiser l’impact de la conformité.
Si l’on ajoute à ceci que la surveillance de la conformité est dévolue aux États membres, il devient évident que devant un tel sujet quasi infiniment imprévisible dans ses développements, il faut se préparer à ce que la plupart des défis juridiques se situent hors du Règlement et des “Act” comparables, une déclinaison de questions et de réponses qui se positionnent hors des efforts de “containment” par la réglementation des États et entités supranationales.
En matière de sanctions, ce sont également les États membres qui sont compétents pour établir un régime d’amendes administratives, le Règlement fixant seulement des seuils maxima, distribués en deux niveaux de gravité: les pratiques visées par l’article 5 (pratiques interdites) pour lesquelles la sanction peut s’élever jusqu’à 35 millions d’euros ou 7% du chiffre d’affaires mondial et les autres, susceptibles d’amendes jusqu’à 15 millions d’euros ou 3% du chiffre d’affaires mondial.
A noter que sont ici visées les obligations incombant respectivement aux fournisseurs (Article 16), aux mandataires (Article 22), aux importateurs (Article 23) et aux distributeurs (Article 24) mais également aux déployeurs dont les obligations sont décrites en détail dans l’Article 26 et ses renvois à d’autres dispositions du droit européen (Règlement (UE) 2016/679, Directive (UE) 2016/80).
Le rôle préservé des droits nationaux
Les droits nationaux demeurent par conséquent une source essentielle du droit de l’IA, tant sous la forme législative et réglementaire que jurisprudentielle.
Une part importante de la création juridique s’effectuera en dehors des réglementations, quoique sans contradictions ni sans référence à celles-ci, dans un développement où les premières décisions auront valeur de précédents fondamentaux au delà même des frontières de la juridiction concernée.
Donc, a contrario de ce qui est parfois entendu il restera beaucoup de travail pour les avocats, qui assumeront un rôle fondamental grâce à leur formation et leur expérience.
Une compétence internationale sera indispensable, car s’il faut s’attendre à un volume considérable de création juridique, tant sous l’aspect de la méthode que du fond, celle-ci marquera un rapprochement inédit du droit civiliste et de la common law.
La création sera continue, elle ne reposera pas sur l’état actuel de la technique, pour employer le langage des brevets, mais sur une évolution constante, rapide et imprévisible de la technique qu’elle devra suivre et accompagner.
Sur un plan pratique de premier niveau, sans même attendre les résultats de cette création, il s’agira d’anticiper les implications du Règlement, comment l’utiliser en reconnaissant que son caractère obligatoire, même lorsqu’il n’est pas immédiatement applicable, doit être intégré dès que possible dans la gestion de l’entreprise y compris par la mise en place de procédures (“protocols”) préventives.
Le Règlement dans ses principes fondamentaux est la priorité pour les entreprises françaises (et européennes)
Le Règlement n’épuise pas, et de loin, la matière des rapports entre l’IA et son environnement juridique, que ce soit dans son territoire d’application ou sur un mode trans-juridictionnel intégrant les réponses des institutions comme l’UE ou l’ASEAN et les États, comme l’État de Californie ou Singapour, réponses qu’il conviendra de mettre en parallèle pour dégager les interactions futures probables. Ceci sera développé dans les Newsletters suivantes, et constamment adapté aux transformations de l’IA, en Europe, en Asie-Pacifique (Australasie et États-Unis côte ouest).
En attendant, aucun acteur économique sur le territoire européen et notamment français ne peut faire l’économie d’un effort pour connaître et comprendre les fondamentaux du Règlement. Qui, en résumé, peuvent se décliner comme suit:
• Une priorité et un objectif: la protection des droits fondamentaux, la santé et la sécurité et le contrôle démocratique.
• Une approche fondée sur les risques et spécialement visant à isoler les “systèmes d’IA haut risque”.
• La priorité des conséquences attachées à la classification “haut risque” sur toute autre disposition du droit de l’UE ou de droit national d’un État membre.
• La responsabilisation des fournisseurs, déployeurs et “personnes concernées” dont il est exigé qu’elles prennent des “décisions éclairées concernant les systèmes d’IA”.
• L’implication de toutes les parties concernées tout au long de la chaîne d’IA dans ce contexte d’inter responsabilité comprenant le distributeur, importateur et déployeur en sus du fournisseur et généralement comprenant “tout autre tiers devant être considéré comme un fournisseur d’un système”. Par exemple, l’obligation pour les fournisseurs de systèmes à haut risque de concevoir leur système de façon à permettre aux déployeurs de comprendre leur fonctionnement, d’évaluer leur fonctionnalité et de comprendre leur forces et leurs limites.
• Un élément extra-territorial (déjà évoqué): sinon le Règlement lui-même, l’applicabilité de ses dispositions essentielle aux fournisseurs établis dans un pays tiers à l’UE.
• Ces principes étant sans préjudice de principes secondaires, communs à la plupart des efforts de containment / réglementation de l’IA dans d’autres juridictions comme le “contrôle humain”, la “robustesse technique” et la cybersécurité, et sans préjudice également des multiples renvois à d’autres éléments de droit communautaire sous forme de Directive ou de Règlement.
Le Règlement ne se réduit pas à ces éléments normatifs, mais il est essentiel d’être conscient et de comprendre leur contenu.
Le Règlement ne peut être dissocié du droit européen dans son ensemble
Seule une compréhension approfondie du Règlement permet d’assurer la conformité, à l’inverse une compréhension superficielle est un risque dont les entreprises françaises devraient se garder, plus encore cette compréhension doit intégrer une prise en compte du droit européen dans sa globalité.
Le chapitre XIII modifie expressément neuf règlements et directives et l’Annexe I contient une “Liste de la législation d’harmonisation de l’Union” qui contient rien moins que 20 directives et règlements.
Pour prendre un exemple particulier, celui de la Propriété Intellectuelle, le Règlement pose que les “grands modèles d’IA générative”, dont il prend soin de souligner qu’il s’agit d’une “notion distincte de la notion de systèmes d’IA” parce que ceux-ci “nécessitent l’ajout d’autres composants, tels qu’une interface utilisateur pour devenir des systèmes d’IA” (Considérant 97) peuvent dans leur mise en œuvre soulever des questions au regard du droit d’auteur et des droits voisins (Considérant 106). Mais ceci revient à seulement poser la question, ce qui est évidemment utile, mais sans la résoudre.
Et typiquement, le Règlement renvoie à une autre composante du droit de l’Union Européenne, en l’espèce la Directive 2019/790, qui elle-même fournit une partie seulement de la réponse en termes de conformité.
Autre exemple en rapport avec les données biométriques, le renvoi au règlement (UE) 2016/679. Il s’agit ici de renvoi à des dispositions de droit européen qui figurent dans le préambule ou le corps du Règlement.
En conclusion sur ce point, on ne peut interpréter correctement le Règlement sans familiarité avec le droit européen dans son intégralité. Mais on ne peut en tirer toutes les conséquences sans la connaissance du droit international, en particulier de l’Asie-Pacifique, de Singapour jusqu’à la côte ouest des États-Unis.
Le concept de responsabilité envers les tiers et d’indemnisation du préjudice: une question essentielle pour les acteurs économiques mais à laquelle la réponse ne figure pas dans le Règlement
La place accordée à la question de la réparation des préjudices susceptibles d’être causés par l’usage de l’IA n’est abordée que de façon succincte dans le Règlement.
L’article 7 la mentionne seulement comme l’un des critères selon lesquels la Commission évalue les conditions lui permettant d’adopter des “actes délégués” pour ajouter ou modifier des cas d’utilisation de systèmes d’IA à haut risque. Ce critère mentionne “la mesure dans laquelle le droit existant de l’Union prévoit : (k)(i) des mesures de réparation efficaces en ce qui concerne les risques poses par un système d’IA, à l’exclusion des réclamations en dommages-intérêts”.
Le Règlement ne fournissant pas plus de précisions sur le “droit existant de l’Union”, il faut se tourner comme l’invite le Considérant (9) du Préambule, vers la directive 85/374/CEE du Conseil (“Product liability directive”) et vers sa translation en droit national.
Plus précisément, il s’agit de la directive du 25 juillet 1985 relative au rapprochement des dispositions législatives réglementaires et administratives des États membres en matière de responsabilité du fait des produits défectueux.
Dont la transposition en droit français a pris la forme de la loi nº 98-389 du 19 mai 1998 relative à la responsabilité du fait des produits défectueux, de la loi nº 2004-1343 du 9 décembre 2004 de simplification du droit et de la loi nº 2006-406 du 5 avril 2006 relative à la garantie de conformité du bien au contrat dû par le vendeur au consommateur et à la responsabilité du fait des produits défectueux.
Ces lois étant déjà anciennes et n’abordant pas directement le sujet de l’IA, laissent un champ largement ouvert au développement d’une jurisprudence assise tant sur les lois précitées que sur les principes fondamentaux du droit civil et commercial français.
Le “haut risque”, un concept pivot à vocation très étendue qui concerne des secteurs variés de l’industrie et du commerce
Le concept de haut risque (Article 6 et de nombreuses autres mentions) est central dans l’architecture du Règlement, et sera abordé de façon approfondie dans une prochaine Newsletter.
À noter que cette approche méthodologique n’est pas celle universellement adoptée. Pour ne prendre que cet exemple le document “International Safety Report” émis dans la continuité du 2023 IA Safety Unit de Bletchey Park classifie les risques des IA à usage général entre utilisation malveillante (malicious use), dysfonctionnements (malfunctions) et risques systémiques (systemic risks) sans mention de la notion de gravité.
Dès à présent, il importe d’être conscient du périmètre de la définition, qui excède ce qui pourrait être spontanément considéré comme justifiant une telle qualification.
Par exemple, selon le point 50 des Considérant, sont considérés comme “à haut risque” les “composants de sécurité” tels que (liste non exhaustive) “les machines, les jouets, les ascenseurs, les appareils et les systèmes de protection destinés à être utilisés en atmosphères explosives, les équipements radio, les équipements sous pression, les équipements pour bateaux de plaisance, les installations tablant les appareils brûlant des combustibles gazeux, les dispositifs médicaux, les dispositifs médicaux de diagnostic in vitro, l’automobile et l’aviation.”
Une liste complète fait l’objet d’une Annexe III, qui comprend notamment, pour illustrer le caractère extensif de la définition, la catégorie “Emploi, gestion de la main d’oeuvre et accès à l’emploi indépendant (Annexe III, section 4) avec les conséquences prévisibles sur la gestion HR.
Il faudra donc prêter une attention soutenue à l’interprétation de ce principe en droit national.
Le droit dérivé
Ce droit d’interprétation directe du Règlement est distinct du droit qui se construira en dehors de son champ d’application, tel qu’évoqué plus haut.
Le Règlement constitue un cadre réglementaire indispensable, mais nécessairement insuffisant et en attente d’être complété.
Un exemple en est fourni par la question des droits d’auteur déjà mentionnée qui pose la question de la qualification de termes comme “auteur” et “œuvre” dans un environnement IA.
Le Règlement souligne à juste titre les “défis pour les artistes, les auteurs et autres créateurs” en rappelant les exceptions à la nécessité d’autorisation du titulaire du droit concerné par référence à un autre élément de droit communautaire, la directive 2019/790 comprenant la notion essentielle de réservation des droits. Mais il ne précise pas le contenu des concepts précités dans un environnement IA où manifestement ils peuvent acquérir un sens différent de celui traditionnellement reconnu.
Plus généralement et au-delà de cet exemple, le Règlement contient un nombre considérable de termes qui restent à définir tels que “risque systémique” et ses déclinaisons dans le Considérant 110 : “accidents majeurs’ “perturbations de secteurs critiques”, “conséquences graves pour la santé et la sécurité publiques”, “effet négatif réel ou raisonnablement prévisible sur les process démocratiques, la sécurité et la sécurité économique”.
Ceci sans même mentionner la référence récurrente aux valeurs démocratiques et aux droits de l’homme.
Par exemple encore, le Règlement prévoit “des règles spécifiques pour les modèles d’IA à usage général et pour les modèles d’IA à usage général qui présentent des risques systémiques” (Considérant 97) sans qu’une définition du “risque systémique”, qui reste à interpréter, ne soit proposée.
Des définitions du risque systémique peuvent être trouvées ailleurs, comme dans l’International AI Safety Report 2026 qui met l’accent sur les impacts sur le marché du travail et sur les risques pour l’autonomie humaine. Mais que la construction réglementaire et jurisprudentielle qui se réalisera sur la base du Règlement se limite à cette définition dans le contexte d’une approche ayant pour priorité la protection des droits fondamentaux, la santé et la sécurité et le contrôle démocratique, rien n’est moins sûr.
Ce ne sont que des exemples, le Règlement pose des bases, la jurisprudence devra qualifier et préciser un nombre impressionnant de termes.
Il est essentiel que les entreprises, plutôt que les ONG, prennent l’initiative dans ce processus, avec l’appui d’avocats spécialisés dans ces matières.
La contribution de l’avocat international spécialisé est incontournable et idéalement devrait être complétée sous l’angle technique par une collaboration avec un expert de l’IA, confirmé et reconnu comme tel par ses pairs.
Un bon exemple de ce besoin est fourni par le Considérant 111 et ses développements concernant les “capacités à fort impact” dont la pleine compréhension par le juriste nécessite un apport de connaissance technique réellement qualifiée.
La responsabilité des utilisateurs
Comprendre cette question constitue une priorité absolue pour les utilisateurs de l’IA, professionnels mais appartenant aux autres secteurs de la production et des services que l’IA.
La responsabilité des utilisateurs, alias “déployeurs”, fait l’objet spécifiquement de deux articles du Règlement: “Responsabilités tout au long de la chaîne de valeur de l’IA” (Article 25) et “Obligations incombant aux déployeurs de systèmes d’IA à haut risque” (Article 26).
L’article 25 dispose que dans certains cas, le déployeur est considéré comme un fournisseur d’IA à haut risque (donc soumis aux mêmes obligations) et l’article 26 énonce des mesures techniques et organisationnelles s’appliquant à celui-ci. Le contenu est trop complexe pour être analysé dans le cadre de la présente Newsletter, il le sera dans une version suivante.
À noter dès à présent toutefois que le Règlement pose un principe de responsabilité sans faute dans certains cas. Le point 29 des Considérant le fait sous forme explicite : “…il n’est pas nécessaire que le fournisseur ou le déployeur ait l’intention de causer un préjudice important, du moment que ce préjudice résulte de pratiques de manipulation ou d’exploitation reposant sur l’IA.”
Ceci crée un cadre d’obligations dont la violation est susceptible de faciliter l’engagement de la responsabilité civile des déployeurs sur le fondement des droits nationaux.
À noter également que certaines pratiques qui peuvent sembler anodines “devraient être interdites” selon ce Considérant.
Cette recommandation a été suivie dans le corps même du Règlement dont l’article 5 consacre ses deux premiers sous-paragraphes à ces pratiques: “système d’IA qui a recours à des techniques subliminales au-dessous du seuil de conscience d’une personne, ou à des techniques délibérément manipulatrices ou trompeuses avec pour objectif ou effet d’altérer substantiellement le comportement d’une personne ou d’un groupe de personnes” et “système d’IA qui exploite les éventuelles vulnérabilités d’une personne ou d’un membre de ce groupe”.
Dans les deux cas, le Règlement prend en compte les effets et, à l’exception de l’emploi du terme “délibérément”, pose le principe d’un test objectif et non pas subjectif.
Dans le cas des techniques subliminales, l’interdiction se justifie lorsque celles-ci mènent “la personne à prendre une décision qu’elle n’aurait pas prise autrement, d’une manière qui cause ou est raisonnablement susceptible de causer un préjudice important à cette personne ou à un groupe de personnes.”
Dans le cas de systèmes exploitant les éventuelles vulnérabilités, l’interdiction se justifie lorsque ceux-ci ont “pour objectif ou effet d’altérer substantiellement le comportement de cette personne d’une manière qui cause ou est raisonnablement susceptible de causer un préjudice important à cette personne ou à un tiers”.
On note ici le langage qui caractérise le test objectif, dans la ligne du Considérant 29 : “pour objectif ou effet”.
Un préjudice doit en résulter, mais “important” ce qui fera l’objet d’une appréciation au cas par cas, de même que “altérer substantiellement”.
Ceci aura un impact sur la communication des entreprises. D’ailleurs, le Considérant 29 prend bien soin de préciser a contrario : “…les pratiques commerciales courantes et légitimes, par exemple dans le domaine de la publicité, qui respectent le droit applicable ne devraient pas être considérées comme constituant des pratiques de manipulation préjudiciables reposant sur l’IA”.
Devant ce cadre réglementaire et son interprétation dans les Considérant, les entreprises devront être vigilantes quant à leur communication commerciale, particulièrement sous l’angle des nouveaux modes de communication : “influenceurs/influenceuses”, plate-formes, réseaux sociaux, etc.
Les pratiques interdites
Les pratiques interdites ne se limitent pas à celles énumérées au paragraphe précédent.
Elles comprennent également (Article 5.1(d) à (h)) la mise sur le marché, la mise en service ou l’utilisation “pour mener des évaluations des risques des personnes physiques visant à évaluer ou à prédire le risque qu’une personne physique commette une infraction pénale uniquement sur la base du profilage” ; ou “qui créent ou développent des bases de données de reconnaissance faciale par le moissonnage non ciblé d’images faciales”; ou “pour inférer les émotions d’une personne physique sur le lieu de travail et dans les établissements d’enseignement”; ou la “catégorisation biométrique” des personnes physiques “afin d’arriver à des déductions ou des inférences concernant leur race, leurs opinions politiques, leur affiliation à une organisation syndicale, leurs convictions religieuses ou philosophiques, leur vie sexuelle ou leur orientation sexuelle” ou encore “les systèmes d’identification biométrique distance en temps réel dans des espaces accessibles au public à des fins répressives.”
À noter que sont visées les pratiques, pas les systèmes, et que celles-ci peuvent concerner un champ étendu de pratiques usuelles des entreprises de l’industrie et du commerce, dans leurs rapports avec leurs clients potentiels ou effectifs et leurs employés.
Le point 174 des Considérant recommande à la Commission de “procéder à une évaluation de la nécessité de modifier une fois par an la liste des systèmes d’IA à haut risque et la liste des pratiques interdites” ce qui trouve sa confirmation dans l’article 112.1 du Règlement.
Ceci s’applique dans une période transitoire de 5 ans à partir du 1er août 2024, pendant laquelle la Commission peut prendre des “actes délégués”.
Les “déployeurs” sont directement concernés dans la mesure où est visé “le risque de causer des dommages importants, en particulier d’avoir des incidences suffisamment importantes sur la santé physique ou psychologique ou sur les intérêts financiers”, une définition manifestement ouverte à une large interprétation.
La chaîne de valeurs
Les “simples déployeurs” doivent analyser leurs obligations et responsabilités, non pas isolément mais dans le cadre de la chaîne de valeurs à laquelle ils sont connectés.
Ceci concerne les IA à haut risque autres que ceux expressément prohibés en toutes circonstances (biométrie, discrimination…etc.) qui sont soumises à des “exigences” telles que le contrôle humain (Article 14) qui se décline en obligations “tout au long de la chaîne de valeur de l’IA” (Article 25) incluant les déployeurs, auxquels s’imposent en sus des obligations partagées des obligations qui leur sont propres (article 26).
La question centrale du manquement aux obligations et de leur sanction
Outre les amendes administratives déléguées aux autorités nationales évoquées ci-dessus, la Commission se réserve le droit d’imposer directement des amendes aux fournisseurs jusqu’à 3% du chiffre d’affaires mondial ou 15 millions d’euros, lorsqu’elle constate des manquements commis “de manière délibérée ou par négligence.”
Le risque pour les entreprises est donc réel, ceci d’autant plus que si le Règlement crée des présomptions de conformité (articles 32, 42…etc) ce ne sont que des présomptions dépourvues de caractère exonératoire.
Le Règlement impose également des obligations dont le manquement n’est pas expressément assorti de sanctions.
Ainsi, l’article 4 du Règlement exige des fournisseurs et des déployeurs qu’ils “prennent toute mesure pour garantir, dans toute la mesure du possible, un niveau suffisant de maîtrise de l’IA pour leur personnel et les autres personnes s’occupant du fonctionnement et de l’utilisation des systèmes d’IA pour leur compte”, ce qui est une contrainte exigeante, mais il ne prévoit pas de sanction.
À titre d’exemple également, une autre obligation concernant les déployeurs ainsi que les fournisseurs d’IA génératifs concerne des “obligations de transparence” qui, s’agissant en particulier des déployeurs, prennent la forme d’obligations d’information du public (article 50) mais sans sanction spécifique pour les systèmes autres que ceux qualifies a haut risque.
Toutefois cet article renvoie aux Codes de bonne pratique prévus dans la Section 4 du Chapitre V du Règlement.
Par exemple, le Bureau de l’IA a entamé la rédaction en consultation avec les parties intéressées d’un “Code de Bonnes pratiques sur le Marquage et l’Étiquetage des contenus générés par l’IA”.
Après approbation par la Commission, le Code servira d’outil volontaire permettant aux fournisseurs et aux déployeurs de systèmes d’IA générative de “démontrer le respect de leurs obligations respectives au titre de l’article 50”.
Il s’agirait donc d’une protection contre les sanctions éventuelles allant au-delà d’une simple présomption de conformité, mais sans incidence sur la responsabilité a l’égard des tiers qui demeure régie par les principes généraux de la responsabilité civile, et va inéluctablement conduire à l’émergence d’une jurisprudence autonome portant sur la responsabilité de l’IA.
La prise de décision et l’IA
La question de la responsabilité au titre des décisions prises avec l’assistance de l’IA est de première importance, pourtant elle n’est abordée par le Règlement que d’une façon partielle, laissant ici encore le soin à la jurisprudence de dégager des solutions juridiques.
Des concepts mentionnés sans être définis exigeront une interprétation.
C’est le cas du point 53 des Considérants selon lequel il existe “il peut exister des cas spécifiques” qui “dans des domaines prédéfinis précisés dans le présent règlement ne présentent pas un risque important d’atteinte aux intérêts juridiques protégés dans ces domaines parce qu’ils n’ont pas d’incidence substantielle sur la décision ou ne causent pas de préjudice important à ces intérêts.”
Le Règlement énonce quatre critères alternatifs, mais qui peuvent être cumulés, destinés à guider l’évaluation: tâche procédurale étroite, tâche destinée à améliorer le résultat d’une activité humaine déjà réalisée, ou à détecter les constantes en matière de prise de décision ou les écarts, tâche ayant le caractère d’un acte préparatoire. Sur cette base se constituera une jurisprudence.
La question de l’incidence sur la prise de décision est également présente dans l’encadrement des IA “à haut risque” mais bénéficiant d’une dérogation parce que ne présentant pas “de risque important de préjudice pour la santé, la sécurité ou les droits fondamentaux des personnes physiques” avec cette précision: “y compris en n’ayant pas d’influence significative sur le résultat de la prise de décision”. Il conviendra que “l’incidence significative” pouvant justifier une exemption soit précisée par la jurisprudence et la doctrine.
Même en rapport avec les systèmes à haut risque, le Règlement ne prévoit un recours qu’au profit des personnes “faisant l’objet d’une décision prise par un déployeur sur la base des sorties d’un système … ayant des conséquences négatives sur sa santé, sa sécurité ou ses droits fondamentaux”.
Ces conditions limitent le droit au recours, mais il est à relever que le Règlement ouvre seulement le droit à la personne concernée “d’obtenir du déployeur des explications claires et pertinentes sur le rôle du système d’IA dans la procédure décisionnelle et sur les principaux éléments de la décision prise”.
Ceci peut servir à alimenter une éventuelle mise en cause de la responsabilité du déployeur, mais ne crée pas directement de présomption de responsabilité.
L’esprit du Règlement est de traiter la problématique de l’IA en amont
L’esprit du Règlement est de traiter la problématique de l’IA en amont
Le Règlement traite la question de l’encadrement juridique “en amont”, laissant ouvert le champ du régime juridique des relations entre utilisateurs et les tiers.
Or, il est à prévoir que la responsabilité des déployeurs soit mise en cause par les clients et les partenaires des déployeurs: fournisseurs, prestataires de services, acheteurs, partenaires de JV, co-actionnaires … etc.
À titre d’exemple de cette problématique, la mesure qui demeure à déterminer selon laquelle un déployeur doit s’assurer de la véracité des affirmations de conformité de ses fournisseurs afin de s’exonérer de sa responsabilité auprès de ses clients et partenaires commerciaux
Conséquences sur la construction contractuelle pour les avocats d’affaires exerçant comme “transactional lawyers”
Des “Clauses IA” devront être incorporées dans les contrats de toute sorte: “disclosure” de l’usage, autorisation/interdiction d’usage, respect des normes, des exigences, des procédures d’évaluation de conformité, des autres formalités applicables, garantie…etc.
L’utilisation des outils de l’IA dans la construction des contrats pose également question, au regard de la validité et de la force exécutoire (“enforceability”) des contrats rédigés par un système automatisé sans intervention humaine, avec comme point d’appui de reference la UNCITRAL Model Law on Automatic Contracting and the Road to Automated and Autonomous Arbitration.
Il en va de même de l’intervention de l’IA sous forme d’automatisation de certaines étapes d’une procédure d’arbitrage ou de médiation.
L’usage de l’IA dans les procédures de règlement des différends, judiciaires comme alternatifs, crée des incertitudes liées notamment aux hallucinations (citations incorrectes sous diverses formes) invoquées dans le cours d’une procédure par un avocat, par une partie sans représentation d’avocat, ou plus rarement un expert ou un juge.
Les conséquences incluent la responsabilité de la personne présentant l’information erronée, de son client le cas échéant mais aussi et surtout de la validité de la décision de justice, sentence arbitrale ou transaction intervenue a la suite d’une médiation.
Sans oublier toutefois les questions soulevées dans le process par l’intégration d’information ou de réflexion exacte mais générée par l’IA, qui peut être incomplète ou superfétatoire, en tout état de cause qui ne trouve pas son origine dans une réflexion humaine.
Ces divers points seront examinés ultérieurement dans une nouvelle Newsletter de notre série à venir sur “Le droit et l’IA”.
Nous examinerons également dans le détail à l’occasion d’une autre Newsletter les implications de l’IA dans le cadre des fusions-acquisitions, spécialement cross-border.
L’avenir du droit français de l’IA
D’un point de vue français et européen, le droit de l’IA tel qu’il se formera dans le sillage du Règlement, consistera essentiellement à combler un vide juridique.
Sous forme interprétative, parce que la méthode du Règlement consistant à décomposer les défis posés par l’IA à la société en sous-catégories conduira dans la pratique à l’émergence d’un nombre non moins important d’applications à des cas particuliers accompagnant le développement de l’IA.
Vous avez apprécié le contenu de cet Article ? Nous serions honorés de vous compter parmi nos lecteurs. La page d’inscription est à votre disposition.
Nous garantissons la confidentialité de vos données. Leur usage sera strictement limité à l’envoi de notre Newsletter. Vous pourrez vous désinscrire à tout moment grâce au lien prévu dans chacune de nos Newsletter.
Pour des précisions en rapport avec les thèmes évoqués ou des sujets connexes, merci de nous consulter via notre page contact.
Le contenu ci-dessus est à but purement informatif en rapport avec une sélection de l’évolution législative, réglementaire et jurisprudentielle dans la zone géographique concernée, qui ne peut être et ne prétend pas être exhaustive.
Il ne constitue pas un avis juridique en rapport avec un cas particulier et ne doit pas être considéré comme tel.Il peut nous être demandé une étude doctrinale plus approfondie en rapport avec l’un quelconque des thèmes évoqués.
Philippe Girard-Foley est avocat étranger accrédité (Registered Foreign Lawyer) par la Cour Suprême de Singapour (Supreme Court Singapore) auprès de la Cour Commerciale Internationale de Singapour (Singapore International Commercial Court) – Certificate of Full Registration under Section 36P Legal Profession Act (Chapter 61).