LegalTech
Intelligence artificielle
Ne bridons pas l’innovation !
Emanant d’une volonté gouvernementale, le rapport France IA, rendu public il y a quelques semaines, met notamment en lumière la nécessité de créer un cadre juridique adapté aux problématiques soulevées par l’intelligence artificielle (IA). Un équilibre délicat doit ainsi être recherché entre promotion de l’innovation et protection des intérêts des utilisateurs de l’IA. A cet égard, l’analyse des auteurs du rapport varie sensiblement selon la question juridique considérée. Si une évolution de la législation leur paraît d’ores et déjà souhaitable en matière de protection des œuvres réalisées de façon autonome par un système d’IA, et s’ils préconisent l’élaboration de bonnes pratiques relatives au statut des données, d’autres aspects du droit ne leur semblent pas devoir donner lieu à la création de règles additionnelles à ce stade. Tel est en particulier le cas de la protection des logiciels et des algorithmes. De même, la mise en place d’une réglementation dédiée ne leur apparaît pas forcément requise pour répondre à l’impératif de transparence des traitements algorithmiques, sous réserve de l’introduction d’un code de conduite et d’un mécanisme de certification. Par ailleurs, s’agissant de la responsabilité applicable aux machines intelligentes, les auteurs du rapport estiment que la création immédiate d’un régime spécifique, sans avoir pu prendre en compte les retours d’expérience (issus, entre autres, du monde assurantiel) serait prématurée. Une exception est cependant consentie concernant le véhicule autonome pour lequel des règles spéciales pourraient dès à présent être adoptées.
Consciente des riches opportunités offertes par les technologies de l’intelligence artificielle (IA), à la fois en matière de recherche et de créations de filières innovantes, la France entend devenir l’un des leaders mondiaux du secteur. Pour s’en donner les moyens, le gouvernement a lancé, le 20 janvier dernier, une initiative visant à développer une stratégie nationale et à fédérer les acteurs français du marché. Dans ce cadre, 10 groupes de travail constitués de chercheurs, d’experts, d’entreprises et de startups se sont réunis jusqu’à la mi-mars 2017, aux fins de formuler des propositions d’actions et de politique publique. Le rapport établi par ces groupes de travail, intitulé France IA, a été dévoilé le 21 mars dernier[1].
Les propositions énoncées dans ce rapport s’organisent autour de grands axes tels que : l’attribution de financements à la recherche, le développement de formations et d’expertises dédiées, la construction d’un écosystème national propice à l’émergence de « champions » de l’IA, l’intensification des transferts technologiques, l’anticipation des impacts économiques et sociaux, et la définition d’un cadre d’utilisation de l’IA favorisant son acceptabilité par les citoyens. En outre, sept domaines d’activité de prédilection sont identifiés : le véhicule autonome, la relation client, la finance, l’éducation numérique, la santé, l’énergie et la robotique.
Ce rapport dresse par ailleurs un certain nombre de constats, parmi lesquels la nécessité pour la France de ne pas manquer le virage de l’IA. Bien que dotée de chercheurs reconnus sur la scène mondiale, la France (et plus généralement l’Europe) souffre en effet d’un certain retard par rapport aux acteurs américains et chinois. Il est donc primordial qu’elle puisse disposer d’un environnement attractif et favorisant la compétitivité des entreprises nationales.
Sur le plan juridique, cet objectif se traduit par la délicate conciliation entre la mise en place d’un corpus de règles ne réfrénant pas l’innovation et la sauvegarde des intérêts légitimes des utilisateurs de l’IA.
A cet égard, le rapport France IA aborde un certain nombre de questions incluant notamment : la protection et la valorisation de l’innovation, la transparence des traitements algorithmiques, l’accessibilité et le statut des données, la responsabilité du fait des objets intelligents, et la protection des œuvres créées via l’assistance d’un système doté d’IA.
S’agissant de la protection et de la valorisation de l’innovation :
Concernant l’IA, cette problématique revient en fait essentiellement à s’interroger sur la protection des logiciels et des algorithmes.
Le rapport France IA observe que les outils juridiques existants offrent une protection relativement limitée.
Ainsi, le droit d’auteur est susceptible de protéger un logiciel, ou même, un algorithme mis en forme par un logiciel, sous la condition de pouvoir revendiquer une certaine originalité et de démontrer « la marque de l’apport intellectuel » de son auteur (soit un « effort intellectuel personnalisé »).
Le droit des brevets, quant à lui, n’a pas vocation à protéger directement les programmes d’ordinateurs (puisque leur brevetabilité est expressément exclue par le code de la propriété intellectuelle). Toutefois, il est possible de protéger une invention intégrant un tel programme d’ordinateur, à condition d’être en mesure d’établir que cette invention remplit les critères classiques de nouveauté, d’inventivité et d’application industrielle. La protection offerte par le droit des brevets revêt donc, là encore, un caractère indirect.
Les auteurs du rapport France IA relèvent que les entreprises corrigent cette carence en ayant recours à la confidentialité et au secret des affaires, dont elles aménagent les conditions à leur convenance, par voie contractuelle.
Précisant en outre que la Directive 2016/943 du 8 juin 2016 sur le secret des affaires[2] permettra de protéger les algorithmes, et plus largement, le patrimoine immatériel des entreprises, le rapport semble considérer cette protection adéquate, sans qu’il soit besoin de procéder à la création de règles additionnelles.
S’agissant de l’impératif de transparence des traitements algorithmiques :
Les algorithmes concentrent un certain nombre de craintes légitimes au titre desquelles leur manque éventuel d’objectivité, du fait de leur dépendance aux données pouvant provoquer des biais dans les résultats.
La préoccupation des auteurs du rapport France IA est donc là encore de promouvoir un cadre permettant la satisfaction de cette exigence de transparence, sans décourager l’innovation.
En substance, il s’agit de rendre clair et compréhensible, pour l’utilisateur, l’origine des données utilisées par la machine dotée d’IA, de même que la finalité poursuivie par cette dernière.
Pour l’heure, deux outils législatifs, non spécifiques à l’IA, permettent déjà de converger vers cet objectif :
la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique, laquelle impose entre autres à l’administration d’informer expressément l’intéressé lorsqu’une décision individuelle est prise sur le fondement d’un traitement algorithmique et de lui communiquer les règles définissant ce traitement s’il en fait la demande ;
le règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD)[3], lequel prévoit en particulier que le traitement équitable et transparent des données à caractère personnel suppose que le responsable du traitement informe la personne concernée, au moment où ces données sont obtenues, de l’existence d’une prise de décision automatisée (y compris un profilage), de la logique sous-jacente de ce traitement, et des conséquences prévues pour la personne concernée.
Si les auteurs du rapport France IA ne considèrent pas requis, pour l’instant, d’adopter une règlementation spécifique relative à la transparence et à la protection des données en matière d’IA (les algorithmes et les données constituant un tout indissociable), ils jugent en revanche essentiel d’établir sans délai un code de conduite et d’introduire un mécanisme de certification visant à attester que le responsable du traitement s’est bien conformé à ses obligations.
La confiance de l’utilisateur s’avère en effet être un prérequis et un avantage compétitif pour les entreprises conceptrices d’IA.
S’agissant de l’accessibilité et du statut des données :
L’accessibilité des données
Les auteurs du rapport France IA rappellent entre autres que si les technologies de l’IA ont récemment franchi un palier significatif sous l’impulsion de l’augmentation de la puissance de calcul et des progrès des algorithmes, la constitution de très importantes bases de données est également au centre de ces progrès remarquables. Ainsi, s’agissant d’apprentissage profond (deep learning), plus une machine aura pu être entraînée en recourant à un volume de données conséquent, plus son taux d’erreur sera faible, et plus son fonctionnement sera performant. Autrement dit, un algorithme de qualité médiocre sera supérieur à un algorithme qualitatif dès lors qu’il sera mieux entraîné. Il en résulte que les données sont le « carburant » de l’IA et que l’accès à de larges bases de données représente un actif de premier ordre.
Une telle accessibilité doit, certes, être encadrée en ce qui concerne les données à caractère personnel. En France, la loi Informatique et libertés[4] impose ainsi certaines formalités préalablement à la collecte et à la mise en place du traitement automatisé de ces données. La propagation des données personnelles sur internet, doublée de la création d’algorithmes de plus en plus puissants, amplifie en effet le risque de violation de la vie privée et de profilage. Le rapport France IA précise d’ailleurs que le croisement entre données, même anonymisées, peut permettre la ré-identification des personnes. Les recommandations formulées par les auteurs du rapport incluent donc la promotion de solutions techniques reposant sur le concept de protection de la vie privée dès la conception (privacy by design) et de travaux en matière de cryptologie.
Il demeure, aux termes du rapport France IA, qu’à l’exception de ces données à caractère personnel, l’accessibilité des données doit être facilitée, en tant que vecteur de compétitivité.
La loi pour une République numérique (précitée), qui prévoit la mise en place de dispositifs d’open data sectoriels (c’est-à-dire une ouverture des données publiques du type décisions de justice, consommations énergétiques, données foncières, etc.), répond partiellement à cet objectif. Ainsi, en application de ses dispositions, l’Etat, les collectivités territoriales de plus de 3500 habitants et les personnes de droit public ou de droit privé chargées d’une mission de service public se voient imposer l’obligation de communiquer les documents administratifs qu’ils détiennent aux autres administrations qui en font la demande pour l’accomplissement de leurs missions de service public.
Toutefois, tel que le soulignent les auteurs du rapport France IA, cette loi ne traite pas du cas de l’accessibilité aux autres catégories de données, en particulier les données brutes (non modifiées depuis leur collecte) et anonymes.
La Commission européenne[5] et le Parlement européen[6] partagent quant à eux la visée tendant à promouvoir un environnement ouvert permettant une utilisation généralisée des données à caractère non personnel produites par les machines.
Le statut des données
Qu’elles soient appréhendées par l’IA ou par des procédés plus classiques, les données sont le « nouvel or noir » sur lequel s’appuie une grande majorité des stratégies de valorisation économique. Malgré l’importance de l’enjeu, les auteurs du rapport France IA constatent que seuls les contrats entre les différents acteurs du marché de l’IA semblent aujourd’hui à même d’arbitrer les intérêts en présence.
Ainsi, les plateformes, les réseaux, les fournisseurs d’algorithmes ou de données sont déjà en mesure, grâce aux contrats, d’organiser leurs droits et leurs obligations, ainsi que ceux des utilisateurs. Si le contrat se présente comme un outil souple et agile permettant d’appréhender ce que le rapport qualifie de « technologie fugitive », il peut tout de même présenter des risques de déséquilibre entre les intérêts des diverses parties impliquées. Les auteurs du rapport préconisent donc que soit mise en place une veille sur les clauses contractuelles utilisées par les opérateurs économiques afin d’identifier et de développer de bonnes pratiques en la matière.
Le rapport mentionne également que l’étude de la question de la « propriété » des données brutes par la Commission européenne[7]pourrait déboucher sur une nouvelle réglementation. Selon les auteurs du rapport, la révision en cours de la Directive 96/9/CE du 11 mars 1996 concernant la protection juridique des bases de données s’orienterait non seulement vers un partage de « propriété » de ces données (notamment entre l’utilisateur et le fabricant), mais en outre, vers la reconnaissance d’un droit sui generis de propriété intellectuelle au profit du « producteur des données », à l’instar de la protection actuelle des producteurs de bases de données[8]. Protéger et valoriser l’innovation (et en particulier toutes les technologies issues du data mining) requiert en effet une réglementation adaptée visant à libérer et récompenser les investissements.
Les thématiques relatives aux données occupent donc une place centrale dans la définition de la stratégie française en matière d’IA, l’une des priorités étant d’éviter de renforcer la dépendance de la France aux solutions technologiques et aux bases de données des acteurs étrangers du marché. Le périmètre de l’étude menée par les auteurs du rapport France IA comprend d’ailleurs un volet entier consacré aux enjeux de l’IA relatifs à la souveraineté nationale, lesquels recouvrent entre autres la question de la maîtrise des données.
S’agissant du régime de responsabilité applicable aux machines intelligentes
Tandis que d’aucuns plaident en faveur de la reconnaissance d’une personnalité juridique spécifique aux robots pourvus d’une IA forte (c’est-à-dire aptes à prendre des décisions de manière autonome, interagissant avec leur environnement et dotés d’une capacité d’apprentissage), les auteurs du rapport France IA considèrent cette conception « aussi inutile que dangereuse » et adoptent une position résolument contraire.
Pour mémoire, les tenants de la création d’une « personnalité robot » préconisent la mise en place d’un régime reposant sur :
l’identification obligatoire des robots interagissant avec le public (via leur enregistrement dans un registre public s’apparentant au registre du commerce et des sociétés) ;
l’attribution à chaque robot d’un capital d’indemnisation (assorti de garanties bancaires) visant à réparer les dommages qu’il pourrait être amené à causer ;
l’institution, au bénéfice des victimes, d’un fonds d’indemnisation prenant le relais du capital d’indemnisation en cas d’insuffisance de ce dernier ;
et l’instauration d’un régime de responsabilité en cascade, partagée entre les différents intervenants, mais pesant en priorité sur le concepteur de l’IA, puis sur le fabricant du robot intégrant cette IA, et sur son propriétaire ou son utilisateur lorsqu’ils sont distincts.
Tout en rappelant que la résolution adoptée par le Parlement européen le 16 février 2017[9] évoque elle-même explicitement la réflexion menée autour de la création d’un statut juridique propre aux robots[10], les auteurs du rapport France IA concluent néanmoins qu’en l’état actuel des technologies de l’IA, le droit positif demeure pertinent.
Plus précisément, ils estiment que les mécanismes de responsabilité devant être mis en œuvre sont à déterminer en fonction de la nature des risques considérés. En d’autres termes, à supposer que les risques de dommages encourus résident dans la conception (ou la structure) de l’objet intelligent, il devrait être recouru à la responsabilité du producteur du fait des produits défectueux (à charge pour le fabricant et le concepteur de l’IA de s’opposer les clauses limitatives ou exonératoires figurant dans les contrats les liant). A l’inverse, les risques liés à l’utilisation (c’est-à-dire au comportement) de l’objet intelligent incriminé donneraient lieu à l’application de la responsabilité de droit commun du fait des choses du propriétaire ou de l’utilisateur à l’égard des tiers.
Reste que, dans le cadre de la responsabilité du fait des produits défectueux, la réparation du dommage est circonscrite aux atteintes physiques à la personne et aux atteintes causées aux biens autres que le bien défectueux lui-même.
De surcroît, la notion de risque de développement (soit l’exonération du producteur tirée du fait que « l’état des connaissances scientifiques et techniques, au moment où il a mis le produit en circulation, n’a pas permis de déceler l’existence du défaut »[11]) devra être clarifiée s’agissant des objets intelligents.
Quoi qu’il en soit, le rapport France IA considère prématurée, et donc inopportune, la construction d’un régime juridique spécifique, la prise en compte des retours d’expérience s’avérant indispensable, notamment au regard des orientations qui seront impulsées par le secteur assurantiel. Il est vrai que nombre d’experts s’accordent sur le fait que l’avènement de robots réellement dotés d’une IA forte ne se profilera vraisemblablement qu’à l’horizon 2030.
Le rapport consent néanmoins à une exception en ce qui concerne les véhicules autonomes. Des règles spéciales pourraient d’ores et déjà être adoptées en vue d’en permettre un usage sécurisé et d’aménager les conditions d’indemnisation des dommages éventuels en résultant. Ce faisant, ces règles pourraient faciliter l’acceptabilité sociale du véhicule autonome.
S’agissant des œuvres créées par une IA en l’absence d’intervention humaine
En sus de l’hypothèse dans laquelle une personne physique recourt à l’IA comme outil d’assistance à la création, apparaît aujourd’hui un second cas de figure dans lequel un système d’IA, de manière autonome (c’est-à-dire sans intervention humaine) réalise une production qui serait susceptible d’être qualifiée d’œuvre.
Dans la première hypothèse, la situation est assez clairement appréhendée. La création générée par une IA, grâce aux données sélectionnées par l’utilisateur compte tenu de ses préférences, et donc de sa personnalité, est protégeable par le droit d’auteur, sous réserve, bien entendu, de satisfaire au critère d’originalité.
En revanche, le second cas de figure ne semble pas pouvoir donner lieu, sur la base du régime juridique actuel, à une protection similaire. En effet, le critère de l’originalité de l’œuvre étant étroitement rattaché à la personnalité de l’auteur (c’est-à-dire sa subjectivité, son talent créatif), il ne saurait y avoir de création protégeable par le droit d’auteur sans intervention humaine.
Observant à juste titre que l’absence de protection des créations réalisées de façon autonome par une IA pourrait priver les entreprises de la valorisation de certains actifs immatériels, les auteurs du rapport France IA se déterminent en faveur de la mise en place d’un régime de protection distinct (lequel ne remettrait donc pas en cause le droit d’auteur existant, fondé sur le lien entre l’œuvre et l’humain).
Il ressort très clairement de chacune des cinq problématiques abordées ci-dessus que la mise en place progressive d’un cadre juridique adapté aux spécificités de l’IA devra en tout état de cause s’attacher à ne pas brider l’innovation. Cette nécessité, largement prise en compte dans le rapport France IA, l’est également dans la résolution susmentionnée du Parlement européen du 16 février 2017 contenant des recommandations à la Commission en matière de robotique[12]. La Commission européenne, qui n’est pas contrainte de suivre ces recommandations, devra néanmoins exposer ses raisons en cas de refus.
Sophie Henry, Magalie Dansac Le Clerc, Laurent Szuskin
Avocats
Baker McKenzie à Paris
- Rapport de synthèse France IA : http://www.economie.gouv.fr/files/files/PDF/2017/Rapport_synthese_France_IA_.pdf Conclusions complètes des groupes de travail : http://www.economie.gouv.fr/files/files/PDF/2017/Conclusions_Groupes_Travail_France_IA.pdf
- Directive (UE) 2016/943 du Parlement européen et du Conseil du 8 juin 2016 sur la protection des savoir-faire et des informations commerciales non divulgués (secrets d’affaires) contre l’obtention, l’utilisation et la divulgation illicites, dont la transposition devra intervenir pour le 9 juin 2018.
- Il entrera en vigueur en mai 2018.
- Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
- Voir Communication du 10 janvier 2017 annonçant de nouvelles étapes en vue de la création d’une économie européenne fondée sur les données.
- Voir Résolution du 16 février 2017 contenant des recommandations à la Commission concernant des règles de droit civil sur la robotique (considérant n°9).
- Voir Communication du 10 janvier 2017 précitée.
- Le producteur de bases de données est protégé par le code de la propriété intellectuelle lorsque la constitution de la base « atteste d’un investissement financier, matériel ou humain substantiel » (art. L.341-1).
- (précitée).
- Voir notamment l’introduction en vertu de laquelle « l’autonomie des robots pose la question de leur nature à la lumière des catégories juridiques existantes ou de la nécessité de créer une nouvelle catégorie dotée de ses propres caractéristiques et effets spécifiques » (considérant AC).
- Article 1245-10 du Code civil.
- Cette Résolution, qui décrit l’avènement de l’IA comme la très probable « nouvelle révolution industrielle » précise en effet qu’ « il est d’une importance fondamentale pour le législateur d’examiner les conséquences et les effets juridiques et éthiques d’une telle révolution, sans pour autant étouffer l’innovation » (voir le considérant B de l’introduction)