Dorothée Ciolino, Counsel & Nam Nguyen-Groza, Counsel Norton Rose Fulbright

Dorothée Ciolino, Counsel & Nam Nguyen-Groza, Counsel Norton Rose Fulbright

En pleine croissance, l’utilisation de l’Intelligence Artificielle (IA) se développe également dans le secteur financier notamment en matière de détection de fraude/AML, d’automatisation des processus, de digital onboarding, cybersécurité, de trading algorithmique et de robo advisors.

En dehors des questions éthiques, les problématiques juridiques liées à l’IA sont multiples et incluent notamment :

-        la responsabilité civile: en l’absence de personnalité juridique de l’IA, qui, parmi les intervenants (créateur, propriétaire, utilisateur, distributeur), peut être tenu responsable d’une faute / d’un dommage ? Comment démontrer le lien de causalité si des décisions de l’IA ne sont pas prévisibles ?

-        la protection des données personnelles : comment s’assurer d’une base légale de traitement compte tenu du volume des données traitées ?

-        la propriété intellectuelle : l’IA peut-elle être une personnalité juridique, créateur, inventeur ou contrefacteur ?

-        le secteur des assurances : comment calculer les risques et primes d’assurance si les décisions d’IA ne sont pas prévisibles ?

-        le droit du travail : les IA utilisées dans le processus de recrutement peuvent être sujets à des préjugés conduisant à des discriminations.

-        Le domaine réglementaire : l’activité de l’IA requiert elle un agrément (e.g. robo advisor fournissant du conseil en investissement) ?

Un projet de règlement européen établissant des règles harmonisées en matière d’IA (le Règlement) est attendu pour la fin de l’année 2023. La Commission Européenne a également publié en septembre 2022 deux propositions de directives liées à l’IA, relatives à la responsabilité civile extracontractuelle et à la sécurité des produits défectueux.

Le Règlement définit l’IA comme un système « conçu pour fonctionner avec des éléments d'autonomie et qui, sur la base des données et des entrées générées par la machine et/ou par l'homme, déduit la manière d'atteindre un ensemble donné d'objectifs en faisant appel à l'apprentissage automatique et/ou à des approches axées sur la logique et les connaissances, et produit des résultats générés par le système sous la forme de contenu (systèmes d'IA générative), ainsi que de prédictions, de recommandations ou de décisions qui influencent l'environnement avec lequel le système interagit ».

Il classifie les IA selon leur degré de risque et impose des obligations selon le type d’intervenant :

-        pratiques interdites (par ex. IA recourant à des techniques subliminales, exploitant des vulnérabilités, classant selon le comportement social (social scoring), systèmes d'identification biométrique à distance en temps réel),

-        IA à haut risque (par ex. IA utilisées dans le cadre des ressources humaines, évaluation de solvabilité des personnes physiques, évaluation et tarification en matière d'assurance-vie) : selon la qualification de l’intervenant (fournisseur, utilisateur, distributeur, importateur, opérateur);

-        IA à usage général (e.g. exécutant des fonctions de portée générale telles que la reconnaissance d'images ou de la parole, génération de contenus, traitement de requêtes) : ces IA peuvent potentiellement avoir une finalité à haut risque ou en être une composante ;

-        IA à risque moyen (e.g. interagissant avec des personnes physiques, reconnaissance biométrique, reconnaissance des émotions, manipulation d’image ou de son).

Ce Règlement prévoit des sanctions importantes en cas de manquement allant jusqu’à 6% du chiffre d’affaires annuel mondial dans certains cas et s’applique également aux fournisseurs et utilisateurs d’IA prohibées et à haut risques dans certains cas, localises hors UE.

Bien que visant à fixer pour la première fois un cadre juridique des IA au niveau européen, le Règlement laisse subsister de nombreuses interrogations :

·       les IA à haut risque mises sur le marché ou en service jusqu’à 36 mois suivant la publication du Règlement tomberaient en dehors de son champ d’application (soit jusqu’en 2026 si le Règlement était publié en 2023) ;

·       les IA à usage général pourraient être exemptées des obligations applicables aux IA à haut risque du simple fait qu’un fournisseur a expressément exclu, de bonne foi, toutes les utilisations à haut risque dans la notice d'utilisation ;

·       le Règlement ne fixe qu’un cadre général imposant des obligations aux intervenants selon le type d’IA concerné, mais ne règle ni les problématiques éthiques, ni les problèmes juridiques évoqués ci-dessus ;

·       les obligations contenues dans le Règlement doivent s’articuler avec les autres réglementations existantes (e.g. RGPD, DORA, sous-traitance etc.)

Plus d’informations sur