.jpg?v=1)
Le règlement (UE) 2024/1689 du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle (RIA) met en place un cadre réglementaire propre au développement, à l’utilisation et à l’adoption de l’intelligence artificielle (IA).
L’approche adoptée par le RIA est une approche basée sur les risques. En d’autres termes, ce texte reconnaît que l’IA promet de nombreux avantages mais invite à évaluer ces avantages à l’aune des risques physiques, psychologiques, sociétaux ou économiques que l’IA crée pour les personnes.
Le RIA ne précise pas le régime juridique applicable aux dommages causés par ces risques . Ce rôle avait initialement été imparti à la "directive sur la responsabilité en matière d'IA" mais, en février dernier, la Commission européenne a annoncé que ce texte ne faisait plus partie de son programme de travail pour 2025 ; il a, de fait, été retiré en raison de nombreux désaccords entre Etats membres sur son contenu.
En l’absence de texte spécifique, la directive (UE) 2024/493 du 21 février 2024 relative à la responsabilité du fait des produits défectueux (product liability directive - PLD) semble être le texte vers lequel se tourner pour commencer à dessiner les contours du droit de la responsabilité en matière d’IA.
Un système d’IA peut-il être un produit défectueux ?
L’article 3 du RIA définit un SIA) comme « un système automatisé qui est conclu pour fonctionner à différents niveaux d’autonomie et peut faire preuve d’une capacité d’adaptation après son déploiement, et qui, pour des objectifs explicites ou implicites, déduit, à partir des entrées qu’il reçoit, la manière de générer des sorties telles que des prédictions, du contenu, des recommandations ou des décisions qui peuvent influencer les environnements physiques ou virtuels ».
Une articulation cohérente entre le RIA et la PLD commande de reprendre cette définition pour déterminer dans quelle mesure un SIA peut être considéré comme un produit défectueux au sens de la PLD :
L’article 4 de la PLD retient une définition large de ce qu’il faut entendre par « produit », définition qui couvre les logiciels ainsi que les systèmes interconnectés ou intégrés, et donc les SIA.
L’article 7 de la PLD rappelle qu’un produit est défectueux « lorsqu’il n’offre pas la sécurité à laquelle une personne peut légitimement s’attendre » et que, pour évaluer cette défectuosité certaines circonstances spécifiques peuvent être prises en compte, telles que « l’effet sur le produit de toute capacité à poursuivre son apprentissage ou à acquérir de nouvelles caractéristiques après sa mise sur le marché ou sa mise en service ».
La PLD couvre donc, sans nul doute, la responsabilité du fait des SIA. La question qui se pose alors est de savoir dans quelle mesure. En effet, quelle est la sécurité qui peut être légitimement attendue d’un SIA ? Quels sont les critères à utiliser pour évaluer cette sécurité (violation du RIA, taux d’hallucinations...) ? Et enfin, quid du défaut d’un SIA qui ne porterait pas atteinte à la sécurité de ses utilisateurs ?
Qui est responsable du fait d’un SIA défectueux ?
Pour allouer les responsabilités résultant de dommages causés par un produit défectueux, la PLD fait appel à la notion d’opérateur économique désormais bien connue du droit européen (art. 8).
A ce titre, la responsabilité est d’abord celle du fabricant d’un produit ou composant défectueux, étant précisé que par fabricant il faut entendre « toute personne physique ou morale qui : a) met au point, fabrique ou produit un produit ; b) fait concevoir ou fabriquer un produit ou qui, en apposant sur ce produit son nom, sa marque ou d’autres caractéristiques distinctives, se présente comme son fabricant ; ou c) met au point, fabrique ou produit un produit pour son propre usage ».
A titre subsidiaire, si le fabricant n’est pas établi dans l’Union européenne, c’est la responsabilité d’autres acteurs de la chaîne de distribution qui peut être engagée, tels que l’importateur, le mandataire du fabricant, le prestataire de services d’exécution des commandes ou encore le distributeur.
Le RIA n’utilise pas le terme d’opérateur économique mais celui de fournisseur, qui est défini comme « une personne physique ou morale, une autorité publique, une agence ou tout autre organisme qui développe ou fait développer un système d’IA ou un modèle d’IA à usage général et le met sur le marché ou met le système d’IA en service sous son propre nom ou sa propre marque, à titre onéreux ou gratuit ».
Tout comme la PLD met en place un système de responsabilité solidaire des divers acteurs de la chaîne de distribution, le RIA contient – en ce qui concerne les SIA à haut risque - une disposition « balai » dont l’objectif est de définir les responsabilités « tout au long de la chaîne de valeur de l’IA » (art. 25). Cette chaîne de valeur a vocation à englober tout distributeur, importateur, déployeur ou autre tiers qui est considéré, au titre du RIA, comme fournisseur d’un SIA et soumis aux obligations incombant aux fournisseurs, dès lors notamment que cette personne « commercialise sous son propre nom ou sa propre marque un système d’IA à haut risque déjà mis sur le marché ou mis en service… ».
La différence de vocabulaire employé dans le RIA et la PLD est regrettable mais, dans un souci de cohérence et d’effectivité, il est fort probable que les notions de « fabricant » et de « fournisseur » soient assimilées par les législateurs et juges européens et nationaux. Malgré l’absence d’uniformisation des termes définis par le RIA et la PLD, ces deux textes seront certainement utilisés à une fin commune : permettre aux utilisateurs de SIA de pouvoir, en toutes hypothèses, se retourner contre un responsable établi dans l’Union européenne.
Comment prouver qu’un SIA est défectueux ?
Dans un environnement aussi complexe et opaque que celui de l’IA, la question de la charge de la preuve reposant sur la victime est cruciale. Le législateur européen a choisi d’aménager le régime probatoire en matière de responsabilité du fait des produits défectueux en faveur des victimes (art. 9 à 11).
A ce titre, les juridictions nationales pourront notamment – dans le respect de ce qui est nécessaire et proportionné ainsi que du secret des affaires - exiger du défendeur la divulgation des éléments de preuve pertinents dont il dispose dès lors que le demandeur aura présenté des éléments établissant la plausibilité de sa demande en réparation.
Les victimes pourront également recourir à de nouvelles présomptions de défaut et/ou de lien de causalité pour établir la responsabilité du défendeur.
Par exemple, le demandeur pourra présumer le défaut du produit lui ayant causé un dommage s’il prouve que ce produit n’est pas conforme aux exigences obligatoires en matière de sécurité des produits prévues par le droit européen ou national destinées à protéger contre le risque de survenance du dommage subi. Est-ce à dire qu’un SIA à haut risque pourrait être présumé défectueux du seul fait qu’il ne respecte pas l’une des nombreuses prescriptions du RIA ?
De même, les tribunaux nationaux pourront présumer le défaut d’un produit et/ou le lien de causalité entre la défectuosité d’un produit et le dommage subi si le demandeur fait face à des difficultés excessives, notamment en raison d’une complexité technique, pour prouver la défectuosité du produit et/ou le lien de causalité entre cette défectuosité et le dommage. Il est facile d’anticiper l’application d’une telle présomption aux SIA, systèmes hautement techniques et donc fortement complexes.
Pour se prémunir contre une responsabilité au titre d’un SIA défectueux, les fournisseurs de SIA pourront essayer de se retrancher derrière la fameuse « exonération pour risque de développement » mais la tâche va certainement s’avérer difficile.
A ce jour, les interactions entre responsabilité du fait des produits défectueux et IA ne peuvent qu’être esquissées. Il faudra attendre le 9 décembre 2026, date d’entrée en vigueur de la PLD, et les premiers contentieux en la matière pour comprendre comment les juridictions françaises vont se saisir de ce pan du droit de l’IA.
