La Commission européenne publie deux propositions de directive en matière de responsabilité applicables aux produits basés sur l’intelligence artificielle
Ce 28 septembre 2022, la Commission européenne a publié deux propositions de directives ayant pour objet de moderniser les règles applicables en matière de responsabilité. Le but de la Commission est d’adapter ces règles aux évolutions technologiques récentes et aux nouveaux usages de l’intelligence artificielle (<< IA >>) afin d’apporter davantage de sécurité juridique aux entreprises, d’une part ; et de mieux protéger les consommateurs en cas de dommage subi du fait de l’utilisation d’un produit ou service basé sur l’IA, d’autre part.
En proposant de réformer les règles de responsabilité pour les dommages liés à l’IA, la Commission européenne apporte au futur règlement sur l’IA1 (dit << AI-Act >>) une série de mesures complémentaires afin de renforcer la confiance des citoyens dans l’IA. Si le but de l’AI-Act est de mettre en place une série d’actions préventives et notamment des exigences de sécurité élevées, pesant sur les acteurs de la chaîne d’un système d’IA2, le but des deux nouveaux textes proposés est davantage de faciliter les actions civiles en réparation d’un éventuel dommage subi.
La Commission européenne a donc publié les deux propositions de directive suivantes :
1) LA RÉVISION DE LA DIRECTIVE DE 19853 SUR LA RESPONSABILITÉ DU FAIT DES PRODUITS DÉFECTUEUX4
Le régime de la responsabilité délictuelle du fait des produits défectueux pose un régime de responsabilité objective (sans faute) des fabricants.
La Directive de 1985 a été transposée en droit français et est codifiée aux articles 1245 à 1245-17 du Code civil. Or, ce régime datant de près de 40 ans, ne prend pas en compte les évolutions technologiques majeures de ces dernières années. Pour ce faire, la Commission européenne propose les adaptations et modifications suivantes du régime actuel.
- La notion de produit, aujourd’hui limitée aux seuls biens meubles, est étendue aux logiciels, y compris les systèmes d’IA tels que définis dans l’AI-Act. Les dommages pouvant être réparés sont de la même façon élargis aux lésions corporelles, dommages causés aux biens ainsi qu’aux pertes de données.
- Le fabricant (ou son représentant sur le territoire de l’UE) d’un produit ou d’un service basé sur l’IA pourrait désormais voir sa responsabilité engagée en cas de défaut du système d’IA embarqué dans le produit (tel qu’un robot de nettoyage) ou service (application médicale pour smartphone par exemple) commercialisé. Cela vaudra également en cas de défaut d’un produit ou service provenant d’une mise à jour logicielle ainsi que les produits issus de l’économie circulaire, c’est-à-dire les produits reconditionnés, mis à niveau ou modifiés dès lors que ces modifications sont substantielles.
- Dans cette optique de faciliter l’indemnisation des victimes, le texte prévoit également d’assouplir les règles de prescription mais aussi d’alléger la charge de la preuve en créant certaines règles de << présomption de défectuosité >> et en instaurant une obligation de divulgation d’éléments de preuve.
Cela étant, ce régime de responsabilité objective, ne permet pas d’englober toutes les potentielles actions en responsabilité. En particulier, en cas de dommage consistant en une violation des droits fondamentaux ou une action dirigée contre un acteur de la chaîne de l’IA qui n’est pas un fabricant, le demandeur ne pourra pas se fonder sur le régime de la responsabilité du fait des produits défectueux. Il s’agirait par exemple d’un acte de discrimination résultant d’un logiciel de recrutement utilisé par une entreprise. Dans ce cas le candidat devra agir en responsabilité pour faute.
2) LA RESPONSABILITÉ EN MATIÈRE D’IA5
Ce pan du projet de la Commission européenne résulte du constat de l’inadaptation des règles nationales actuelles et de la nécessité de permettre aux victimes de dommages causés par un système d’IA d’accéder à une réparation « de la même manière que si elles avaient été lésées dans d’autres circonstances », pour reprendre les termes de la Commission européenne.
En droit français, il existe à ce jour un régime commun de responsabilité délictuelle (pour faute) au sein des articles 1240 et 1241 du Code civil.
Or, selon la Commission européenne, la démonstration de la faute, du dommage et du lien de causalité entre les deux, est souvent difficile voire impossible pour les victimes d’un dommage tant les systèmes d’IA s’avèrent complexes et opaques. C’est pourquoi la Commission européenne envisage de créer des dérogations au régime de responsabilité délictuelle pour les dommages causés par des produits basés sur l’IA.
Ainsi, les mesures phares à cet égard au sein de la proposition de directive sont :
- La création d’une « présomption de causalité » si la victime parvient à démontrer (i) qu’une personne a commis une faute en ne respectant pas une obligation à sa charge qui est pertinente pour le dommage ; et (ii) que l’existence d’un lien de causalité avec la performance du système d’IA est raisonnablement probable. Il ne s’agit cependant que d’une présomption réfragable permettant au défendeur de l’action en cause d’apporter une preuve contraire quant à ce lien de causalité.
- La mise en place d’une garantie supplémentaire aux demandeurs d’une action en responsabilité afin de lutter contre l’opacité des systèmes d’IA. Cette garantie consisterait en l’obligation qui peut être faite aux entreprises et fournisseurs de divulguer certaines informations qui aideront les victimes à accéder aux éléments de preuve pertinents, mais ce, dans le respect des règles relatives au secret des affaires. Il est à noter cependant que cette faculté du demandeur ne pourrait porter que sur les systèmes d’IA catégorisés comme étant à haut-risque.
S’agissant de directives, les Etats membres auront la possibilité d’adapter ces nouvelles règles à la spécificité de leurs régimes nationaux. La Commission européenne propose un délai de transposition des directives dans les législations nationales d’un an à compter de l’entrée en vigueur du texte pour la réforme de la Directive de 1985 et de deux ans pour les règles de responsabilité pour faute propres à l’IA. Il conviendra de suivre de près la façon dont la France compte ou non prendre en compte ces textes dans le cadre du projet de réforme de la responsabilité civile.
1 Proposition de règlement du Parlement européen et du Conseil établissant des règles harmonisées concernant l’intelligence artificielle (législation sur l’intelligence artificielle) et modifiant certains actes législatifs de l’union, Commission européenne, 21 avril 2021 (2021/0106 (COD)).
2 Voir à ce titre notre propos introductif au sein du Guide du Numérique édition 2022, < Le guide 3 du Numérique : analyse sectorielle de l’intelligence artificielle >, publié en partenariat avec la LJA.
3 Directive du Conseil du 25 juillet 1985 relative au rapprochement des dispositions législatives, réglementaires et administratives des Etats membres en matière de responsabilité du fait des produits défectueux (85/374/CEE).
4 Proposition de directive du Parlement européen et du Conseil relative à la responsabilité du fait des produits défectueux, Commission européenne, 28 septembre 2022 (2022/0302 (COD)).
4 Proposition de directive du Parlement européen et du Conseil relative à l’adaptation des règles en matière de responsabilité civile extracontractuelle au domaine de l’intelligence artificielle (directive sur la responsabilité en matière d’IA), Commission européenne, 28 septembre 2022 (2022/0303 (COD)).