Deux propositions européennes en matière de responsabilité applicables aux produits et à l'IA
Le 28 septembre 2022, la Commission européenne a publié deux propositions visant à adapter les règles de responsabilité à l'ère numérique et de l’intelligence artificielle, à l'économie circulaire et à l'impact des chaînes de valeur mondiales.
Il importe de rappeler que les règles européennes en matière de responsabilité du fait des produits, fondées sur la responsabilité objective des fabricants, datent de près de 40 ans. Dès lors, ces deux textes visent à moderniser les règles existantes concernant la responsabilité objective des fabricants pour les produits défectueux (des technologies intelligentes aux produits pharmaceutiques). Il s’agit de garantir que les victimes puissent obtenir une indemnisation équitable lorsque des produits défectueux, y compris des produits numériques et remis à neuf, causent un préjudice. Autrement dit, les victimes bénéficieront des mêmes normes de protection lorsqu'elles sont lésées par des produits ou services d'IA que si un préjudice était causé dans d'autres circonstances.
Révision de la directive sur la responsabilité du fait des produits, adaptée à la transition écologique et numérique et aux chaînes de valeur mondiales
La Commission propose en premier lieu une révision de la directive sur la responsabilité du fait des produits, adaptée à la transition écologique et numérique et aux chaînes de valeur mondiales. Ce texte vise à moderniser et renforcer les règles actuelles fondées sur la responsabilité objective des fabricants, pour la réparation des dommages corporels, des dommages aux biens ou des pertes de données causées par des produits dangereux. La Commission européenne précise que la directive révisée " garantit des règles équitables et prévisibles tant pour les entreprises que pour les consommateurs, et ce :
- en modernisant les règles de responsabilité pour les modèles économiques de l'économie circulaire, de sorte que les règles de responsabilité soient claires et équitables pour les entreprises qui modifient substantiellement des produits ;
- en modernisant les règles de responsabilité pour les produits à l'ère numérique, permettant ainsi la réparation des dommages lorsque des produits tels que des robots, des drones ou des systèmes domestiques intelligents sont rendus dangereux par les mises à jour logicielles, l'IA ou les services numériques nécessaires au fonctionnement du produit, ainsi que lorsque les fabricants ne parviennent pas à remédier à des vulnérabilités en matière de cybersécurité ;
- en créant des conditions de concurrence plus équitables entre les fabricants de l'UE et ceux des pays tiers: lorsque des consommateurs sont lésés par des produits dangereux importés de pays tiers, ils pourront s'adresser à l'importateur ou au représentant du fabricant dans l'UE pour obtenir réparation ;
- en mettant les consommateurs sur un pied d'égalité avec les fabricants, en exigeant de ces derniers qu'ils divulguent des éléments de preuve, en instaurant une plus grande souplesse concernant les restrictions temporelles applicables à l'introduction des actions en réparation et en allégeant la charge de la preuve pour les victimes dans les cas complexes, tels que ceux impliquant des produits pharmaceutiques ou l'IA ".
Introduction de règles spécifiques aux dommages causés par des systèmes d'IA
La directive sur la responsabilité en matière d'IA poursuit trois objectifs principaux : établir des règles uniformes pour l'accès à l'information et l'allègement de la charge de la preuve en ce qui concerne les dommages causés par des systèmes d'IA, instaurer une protection plus large pour les victimes (qu'il s'agisse de particuliers ou d'entreprises) et favoriser le secteur de l'IA en renforçant les garanties. Ce texte s'applique aux dommages causés par tout type de système d'IA, qu'ils soient ou non à haut risque. Les nouvelles règles devraient, par exemple, permettre d'obtenir plus facilement réparation si une personne a subi une discrimination au cours d'une procédure de recrutement faisant appel à une technologie d'IA.
Les nouvelles règles couvrent les actions en responsabilité intentées au niveau national pour faute ou omission, quelle que soit la personne ayant commis celle-ci (fournisseurs, développeurs, utilisateurs), qui visent à obtenir réparation pour tout type de dommage couvert par le droit national (vie, santé, biens, vie privée, etc.) et pour tout type de victime (particuliers, entreprises, organisations, etc.). Elles introduisent deux garanties principales :
- premièrement, la directive sur la responsabilité en matière d'IA dispense les victimes de s'acquitter de la charge de la preuve en introduisant la « présomption de causalité » : selon cette dernière, si les victimes parviennent à démontrer que quelqu'un a commis une faute en ne respectant pas une obligation donnée pertinente pour le dommage et que l'existence d'un lien de causalité avec la performance de l'IA est raisonnablement probable, la juridiction peut présumer que ce non-respect a causé le dommage. La personne responsable peut, quant à elle, renverser cette présomption (par exemple en prouvant qu'une autre cause a entraîné le dommage) ;
- deuxièmement, lorsqu'un dommage survient, la nouvelle directive sur la responsabilité en matière d'IA aidera les victimes à accéder aux éléments de preuve pertinents. Ces dernières pourront demander à la juridiction d'ordonner la divulgation d'informations concernant des systèmes d'IA à haut risque. Cela leur permettra d'identifier la personne qui pourrait être tenue pour responsable et de découvrir la cause du problème. Par ailleurs, la divulgation sera soumise à des garanties appropriées afin de protéger les informations sensibles, telles que les secrets d'affaires.
Dans ses questions et réponses sur le texte, la Commission européenne précise que la législation sur l'IA et la directive sur la responsabilité en matière d'IA sont les deux faces d'une même médaille : elles s'appliquent à des moments différents et elles se renforcent mutuellement. Les règles axées sur la sécurité visent principalement à réduire les risques et à prévenir les dommages, mais ces risques ne seront jamais totalement supprimés. Des dispositions en matière de responsabilité sont nécessaires pour que, dans l'hypothèse où un risque se matérialise en dommage, la réparation soit effective et réaliste.
Alors que la législation sur l'IA vise à prévenir les dommages, la directive sur la responsabilité en matière d'IA établit un filet de sécurité pour obtenir réparation en cas de dommage subi.
La directive sur la responsabilité en matière d'IA
- reprend les mêmes définitions que la législation sur l'IA ;
- maintient la distinction entre systèmes d'IA à haut risque et systèmes d'IA qui ne sont pas à haut risque ;
- reconnaît les exigences en matière de documentation et de transparence de la législation sur l'IA en les rendant opérationnelles en matière de responsabilité au moyen du droit à la divulgation d'informations ;
- et incite les fournisseurs/utilisateurs de systèmes d'IA à se conformer aux obligations qui leur incombent en vertu de la législation sur l'IA.
La directive s'appliquera aux dommages causés par les systèmes d'IA, qu'ils soient ou non à haut risque au sens de la législation sur l'IA.
Il est prévu que, cinq ans après l'entrée en vigueur de la directive sur la responsabilité en matière d'IA, la Commission évalue s'il est nécessaire de créer des règles de responsabilité stricte pour les actions en lien avec l'IA, le cas échéant.