Faisant l’objet d’un nouveau « partenariat mondial », annoncé par Emmanuel Macron en juin dernier, l’intelligence artificielle est présentée comme la technologie de demain. « Regroupant aujourd’hui 15 membres fondateurs, le projet conjugue la confiance envers l’apport de l’IA pour répondre aux grands enjeux de la planète, avec la volonté de guider et d’encadrer les usages technologiques en cohérence avec nos valeurs ». Afin de mettre en œuvre une intelligence artificielle tournée vers l’éthique, il est impératif d’encadrer juridiquement cette solution technologique.
Par Sylvain Dumont
La protection des données personnelles
Comment sceller le mariage de l’IA et de la protection des données personnelles ? Si le développement de l’IA est indissociable de l’utilisation massive de données, il convient d’inspirer confiance à l’utilisateur. Anonymisation, pseudonymisation… l’utilisation de l’IA pose un défi sociétal majeur alors même qu’un sentiment de défiance vis-à-vis des Etats et des entreprises de la tech s’installe au sein de la population, française et européenne notamment. Afin de respecter la législation en vigueur instaurée par le RGPD, l’anonymisation des données pourrait être satisfaisante. Plusieurs techniques existent aujourd’hui, comme le hachage dont le principe consiste à modifier, via un algorithme, les données d’entrée pour leur attribuer une valeur différente en sortie. Mais l’anonymisation n’est pas sans faille. C’est pourquoi le RGPD conseille la pseudonymisation, qui consiste en un traitement de données personnelles réalisé de manière à occulter les données d’identification de personnes physiques sans avoir recours à des informations supplémentaires. La DINUM, la direction interministérielle du numérique, a publié au mois de juin dernier un outil open source, développé par le Lab IA d’Etalab, utilisant une intelligence artificielle pour pseudonymiser des documents. Cette solution comporte néanmoins des risques car bien « qu’il s’agisse effectivement d’une mesure de protection (…), le problème est qu’une clé peut permettre de reconstruire les données », indique Damien Clochard, administrateur de données. Et si les données pseudonymisées sont reconstruites, elles redeviennent des données personnelles. S’il y a fuite, « les individus concernés sont privés de leur droit à l’oubli. Car une fois sur Internet, les données personnelles ne peuvent plus être effacées », ajoute-t-il. Une autre crainte est la conception globale des systèmes IA, qui peut porter atteinte aux valeurs sur lesquelles l’UE est fondée et entraîner des violations des droits fondamentaux, tels que les droits à la liberté d’expression et de réunion, la dignité humaine, l’absence de discrimination fondée sur le sexe, l’origine raciale ou ethnique, la religion ou les convictions, le handicap, l’âge ou l’orientation sexuelle. C’est pourquoi le développement du « privacy by design » voulu par le RGPD est essentiel. Il devient indispensable de travailler le design des systèmes algorithmiques au service de la liberté humaine, pour contrer l’effet « boîtes noires ». « Pour développer une IA transparente et de confiance, il faudra avoir accès à ces boîtes noires », souligne Gérard Haas, avocat spécialisé en droit de la propriété intellectuelle et des NTIC. Et d’ajouter : « Le RGPD permet de bien cadrer le marché. En matière de données, il y a des règles. Il faut qu’on développe une souveraineté numérique ». Pour réussir ce mariage, l’IA d’aujourd’hui et surtout de demain devra aussi appliquer le principe de minimisation dans la collecte de données personnelles voulu par l’article 5 du RGPD.
Les droits de propriété intellectuelle
A qui attribuer une œuvre lorsque celle-ci émane d’une intelligence automatisée ? Aujourd’hui, l’IA défie les notions juridiques les plus traditionnelles en matière de propriété intellectuelle, telles que la « copie », l’« originalité », le « créateur », l’ « auteur » ou l’« inventivité ». En ce qui concerne le domaine de la culture, le rapport du Conseil supérieur de la propriété littéraire et artistique (CSPLA), publié en février dernier, propose des solutions. Partant du constat que pour être qualifiée d’œuvre et obtenir protection par le droit d’auteur, la création générée par une intelligence artificielle doit être originale – en ce qu’elle doit refléter la personnalité de son auteur-, le rapport propose de « rechercher une personnalité plus indirecte, plus éloignée, celle du concepteur de l’IA notamment, qui délimite la cadre de la création algorithmique en façonnant le modèle d’inférence ». A la recherche d’une solution harmonieuse à cette question épineuse, le rapport préconise différentes alternatives basées sur un régime propre. Parmi celles-ci, on souligne la proposition de créer un droit d’auteur spécial, à l’instar du droit d’auteur portant sur le logiciel : « Il serait alors loisible d’ajouter un quatrième alinéa à l’article L. 113-2 du code de la propriété intellectuelle pour définir l’œuvre en question, comme “la création générée par une intelligence artificielle et à la réalisation de laquelle n’a concouru aucune personne physique ».
La problématique juridique de l’IA s’inscrit également dans la protection des algorithmes et de leur titularité. « On peut par exemple envisager le recours au secret professionnel, au secret de fabrique ou au droit d’auteur pour protéger sa solution d’intelligence artificielle », indique Antoine Chéron, avocat et docteur en droit de la propriété intellectuelle. Un dialogue a été établi sur la question au sein de l’Organisation mondiale de la propriété intellectuelle (OMPI), qui s’est réunie (virtuellement) en juillet dernier. Plus de 2 000 personnes de 130 pays, dont des représentants des États membres et d’établissements universitaires, scientifiques et du secteur privé ont participé à la réunion afin de débattre autour de plusieurs interrogations fondamentales : « Les applications de données et d’intelligence artificielle devraient-elles être protégées au titre de secrets d’affaires ou existe-t-il un intérêt social ou éthique à passer outre la protection que confère le secret des affaires ? Si les applications ou les algorithmes d’intelligence artificielle sont exclus de la brevetabilité, cela inciterait-il à garder secrets les applications et les algorithmes d’intelligence artificielle, ce qui pourrait exacerber le problème dit de la “boîte noire” ? Une approche harmonisée devrait-elle être envisagée ? »
Le régime de responsabilité
Outre les risques pour les individus concernés, l’absence de règles claires en matière de sécurité peut créer une insécurité juridique pour les entreprises qui commercialisent leurs produits reposant sur l’IA dans l’UE. « Le droit aujourd’hui ne permet pas d’engager une responsabilité. Il faudra redéfinir cela », confirme Gérard Haas. Dans son livre blanc sur l’IA publié en février dernier, la Commission souligne que « les personnes ayant subi un préjudice peuvent ne pas disposer d’un accès effectif aux éléments de preuve nécessaires pour entreprendre une action en justice, par exemple, et leurs possibilités de recours peuvent se révéler moins efficaces que dans les cas où les dommages sont causés par des technologies traditionnelles. Ces risques augmenteront avec la généralisation du recours à l’IA ». Un groupe d’experts sur la responsabilité et les nouvelles technologies a été mis en place dès mars 2018 par la Commission dont le rapport a été rendu public au mois de février dernier. Pour le groupe, la réglementation sur la sécurité des produits garantit à l’utilisateur des droits, dans le cas où il subirait des dommages corporels. Si cela se produit, les victimes demanderont réparation, sur la base des régimes de responsabilité de droit privé, éventuellement en combinaison avec une assurance. Le groupe a mis en exergue que seule la stricte responsabilité des producteurs pour les produits défectueux, est harmonisée au niveau de l’UE par la directive sur la responsabilité du fait des produits, tandis que tous les autres régimes sont réglementés par les États membres eux-mêmes. Si des dispositifs législatifs existent déjà en matière de protection de base aux victimes, le rapport souligne que « les caractéristiques spécifiques de ces technologies et de leurs applications – notamment la complexité, la modification par des mises à jour ou l’auto-apprentissage en cours d’exploitation, la prévisibilité limitée et la vulnérabilité aux menaces de cybersécurité – peuvent rendre plus difficile une demande d’indemnisation (…) ». Le groupe d’experts a donc dégagé dix points d’attention particuliers afin d’ajuster les régimes de responsabilité existants. L’objectif des préconisations est d’assurer la stabilité des investissements et la confiance des utilisateurs. « L’Europe pourrait bien devenir le régulateur mondial en matière de vie privée et de protection des données personnelles », expliquait le professeur de droit américain Frank Pasquale. Pour que l’Europe s’impose comme le numéro 1 mondial, en garantissant l’éthique mais aussi l’innovation, la Commission supérieure du numérique et des postes (CSNP) propose la création d’un « commissaire à l’intelligence artificielle » ou d’un « commissaire aux algorithmes ». Ce commissaire à l’IA aurait pour objectif de vérifier des algorithmes, édités et produits par des entreprises ou des administrations, afin de s’assurer, entre autres, qu’ils ne sont pas biaisés ou qu’ils ne font pas intervenir un traitement totalement automatisé. Le RGPD interdit en effet, dans son article 22, de fonder une décision exclusivement sur un traitement automatisé.
L’avènement d’une justice prédictive ?
La récente publication du décret sur la mise en œuvre de l’open data des décisions de justice soulève de nombreux enjeux en matière de transparence, d’algorithmes ou encore d’anonymisation. En effet, le décret DataJust, entré en vigueur en mars dernier illustre tout spécifiquement les difficultés substantielles de la robotisation de la justice. La justice prédictive émerge déjà à l’étranger. En Estonie, pour les délits mineurs dont les dommages sont inférieurs à 7 000 euros, une intelligence artificielle pourra bientôt déterminer ou non la culpabilité d’une personne. « Toutes ces prises de décision, peuvent nous conduire vers une société cadenassée », explique Gérard Haas. DataJust vise à développer un algorithme, chargé d’extraire de manière automatique et d’exploiter les données contenues dans les décisions de justice portant sur l’indemnisation des préjudices corporels. Il s’agit plus précisément de recenser les montants demandés et offerts par les parties aux instances, les évaluations proposées dans le cadre de procédures de règlement amiable des litiges et les montants alloués aux victimes par les juridictions. L’avènement d’une justice prédictive conduit à une réticence d’une partie des avocats et des magistrats notamment en raison de la construction de référentiel ainsi qu’en raison du caractère conservateur des barèmes. « La justice prédictive risquerait de transformer la liberté en destin », souligne Antoine Garapon, magistrat et secrétaire général de l’Institut des hautes études sur la justice. Si le projet d’une justice prédictive se trouve à un état embryonnaire, elle représenterait pour l’avocat « l’équivalent d’un scanner pour un chirurgien qui facilite la prise de décision », indique Louis Larret-Chahine, co-fondateur de la startup Predictice, qui utilise des outils de traitement automatique du langage juridique pour faciliter le travail des professionnels comme les avocats. Néanmoins, « si vous utilisez des algorithmes d’intelligence artificielle pour faire de la justice prédictive […], cela signifie de mon point de vue qu’il y a un remplacement de la justice – qui est une justice faite par les hommes, pour les hommes, donnée par les hommes- par une automatisation de prises de décisions qui sont issues de statistiques. La personne n’est donc pas jugée en elle-même mais par rapport à son appartenance statistique sur la base de données qui peuvent être tout à fait biaisées », souligne Raja Chatila, professeur de robotique, d’intelligence artificielle et d’éthique à l’ISIR-CNRS et à l’Université Pierre et Marie Curie.
« L’obéissance aux lois que l’on s’est prescrite est synonyme de liberté », écrivait Jean-Jacques Rousseau. Le débat sur l’encadrement juridique est ouvert en Europe comme en France, où la liberté du citoyen droit primer.