Un nouveau cadre pour l’IA dans l’Union européenne : un règlement et deux directives 

Dans son livre blanc sur l’IA, publié le 19 février 2020, la Commission européenne s’est engagée à promouvoir le recours à l’IA et à tenir compte des risques associés à certaines de ses utilisations, en favorisant l’innovation et la confiance. Les réflexions et travaux initiés en 2018 ont abouti, le 21 avril 2021, à l’adoption par la Commission européenne du règlement établissant des règles harmonisées concernant l’intelligence artificielle (AI Act).

Au terme du processus législatif européen, ce Règlement a été voté par le Parlement le 13 mars 2024. Il entrera en vigueur 20 jours après sa publication au journal officiel de l’UE. Plusieurs étapes sont prévues dans la mise en œuvre des dispositions du Règlement.

Le Règlement repose sur une approche de l’IA fondée sur les risques et introduit une distinction entre les utilisations de l’IA selon les risques qu’elles représentent pour « la santé, la sécurité ou les droits fondamentaux des personnes » : risque inacceptable, élevé et faible ou minimal.

Selon les risques qu’ils induisent, les systèmes d’IA seront soit totalement interdits, soit autorisés et soumis à des obligations. Des sanctions sont prévues en cas de non-respect des dispositions du Règlement sur l’IA. Concernant les pratiques interdites en matière d’IA (article 5), le non-respect de leur interdiction fait l’objet d’amendes administratives pouvant aller jusqu’à 35 millions d’euros ou, si l’auteur de l’infraction est une entreprise, jusqu’à 7 % de son chiffre d’affaires annuel mondial total réalisé au cours de l’exercice précédent, le montant le plus élevé étant retenu (article 99).

Parallèlement à ce Règlement, la Commission européenne a proposé d’établir un régime de responsabilité concernant les produits et services utilisant l’IA, s’articulant autour de deux propositions législatives, adoptées le 28 septembre 2022 :

• La révision de la Directive sur la responsabilité du fait des produits défectueux (dite Nouvelle Directive Produits Défectueux) ; et

• la Directive relative à l’adaptation des règles en matière de responsabilité civile extracontractuelle au domaine de l’intelligence artificielle (dite Directive sur la responsabilité en matière d’IA)

Ces deux propositions de directives ont pour objectif de faciliter la mise en œuvre de la responsabilité extracontractuelle en cas de dommages causés par des produits ou services issus de l’IA

En matière d’IA, que prévoit la nouvelle Directive sur les produits défectueux ?

La proposition de Directive révisée renforce les règles actuelles, bien établies depuis près de 40 ans (depuis la Directive 85/374/CEE du Conseil du 25 juillet 1985), qui prévoient la responsabilité sans faute des fabricants et la réparation des dommages corporels, des dommages aux biens ou des pertes de données causées par des produits défectueux. Elle garantit des règles équitables et prévisibles tant pour les entreprises que pour les consommateurs.

La proposition de nouvelle Directive sur les produits défectueux modernise les règles de responsabilité pour les produits à l’ère numérique, permettant ainsi la réparation des dommages lorsque des produits tels que « des robots, des drones ou des systèmes domestiques intelligents sont rendus dangereux par les mises à jour logicielles, l’IA ou les services numériques nécessaires au fonctionnement du produit, ainsi que lorsque les fabricants ne parviennent pas à remédier à des vulnérabilités en matière de cybersécurité ».

Le texte prévoit un allègement de la charge de la preuve pour les victimes dans les cas complexes, « tels que ceux impliquant des produits pharmaceutiques, des produits intelligents ou des produits utilisant l’IA ».

Quel est l’apport de la directive sur la responsabilité en matière d’IA ?

Alors que le Règlement sur l’IA vise à prévenir les dommages, la directive sur la responsabilité en matière d’IA « établit un filet de sécurité pour obtenir réparation en cas de dommage. »

L’objectif de la directive sur la responsabilité en matière d’IA est triple :

• établir des règles uniformes pour l’accès à l’information et l’allègement de la charge de la preuve en ce qui concerne les dommages causés par des systèmes d’IA,
• instaurer une protection plus large pour les victimes (qu’il s’agisse de particuliers ou d’entreprises) et
• promouvoir le secteur de l’IA en renforçant les garanties.

Elle harmonisera certaines règles pour les actions en réparation ne relevant pas du champ d’application de la directive sur la responsabilité des produits défectueux, dans les cas où des dommages sont causés par un comportement fautif (atteintes à la vie privée, dommages causés par des problèmes de sécurité…).

Plus spécifiquement, la directive sur la responsabilité en matière d’IA complète le cadre européen en matière de responsabilité civile, en introduisant des règles spécifiques aux dommages causés par des systèmes d’IA, reposant sur deux mesures principales :

• l’accès aux éléments de preuve détenus par les entreprises ou les fournisseurs, lorsque ces derniers utilisent de l’IA à « haut risque », au sens du Règlement sur l’IA (article 3) ; et
• la « présomption de causalité », qui dispensera les victimes de l’obligation d’expliquer en détail comment le dommage a été causé par une faute ou une omission spécifique (article 4).

En effet, partant du constat que les systèmes d’IA peuvent être complexes, opaques, rendant difficile, voire impossible, pour la victime de s’acquitter de la charge de la preuve, le législateur européen a considéré que le régime de responsabilité doit permettre un accès effectif à la justice, se concrétisant par un accès à la réparation, pour la victime, conformément à la Charte des droits fondamentaux de l’Union européenne.

Selon la Commission, la nouvelle directive sert aussi les intérêts des entreprises, qui seront plus à même d’anticiper la manière dont les règles de responsabilité en vigueur seront appliquées et, ainsi, d’évaluer et d’assurer leur exposition aux risques en matière de responsabilité. « C’est particulièrement le cas pour les entreprises exerçant des activités transfrontières, notamment pour les petites et moyennes entreprises (PME), qui comptent parmi les plus actives dans le secteur de l’IA. »

Prochaines étapes

Les deux propositions de directives, adoptées par la Commission européenne le 28 septembre 2022, devront à présent être adoptées par le Parlement européen et le Conseil.

Il est proposé que, cinq ans après l’entrée en vigueur de la directive sur la responsabilité en matière d’IA, la Commission réexaminera l’application de la directive (dans le cadre d’un rapport qui sera transmis au Parlement) et, en particulier :

« évaluer[a] le caractère approprié des règles de responsabilité stricte pour les actions intentées contre les opérateurs de certains systèmes d’IA, dans la mesure où elles ne sont pas déjà couvertes par d’autres règles de l’Union en matière de responsabilité, et la nécessité d’une couverture d’assurance, tout en tenant compte de l’effet et de l’incidence sur le déploiement et l’adoption des systèmes d’IA, en particulier pour les PME. » (article 5)

S’agissant d’une directive, ses dispositions devront être transposées en droit national, au plus tard deux ans après la date de son entrée en vigueur. (article 7)

Mathias Avocats vous accompagne dans le cadre de votre mise en conformité avec ces nouvelles réglementations.

Ensemble, développons vos projets et formons vos équipes ! Partageons nos expertises !