• fr
  • en

Quels sont les risques juridiques auxquels faire face si vous avez recours à l’IA ?

Dès lors que l’on est exposé à l’usage de données et à la programmation de raisonnements automatisés, des questions juridiques se posent en nombre. Loin d’être exhaustifs, les développements qui suivent permettent d’en donner quelques exemples.

Tout d’abord, rappelons que l’intelligence artificielle sert la prise de décision des acteurs sur la base d’informations collectées et traitées. Comme toutes décisions, l’IA peut donc engager vis-à-vis des tiers l’acteur économique pour le compte duquel elle agit. En ce sens, le recours à l’IA suscite de nombreuses interrogations sur le régime de responsabilité afférent. Anticiper cette problématique est essentiel.

Le recours à l’IA par les opérateurs économiques fait aussi apparaître des nouvelles failles potentielles dans leur organisation à défaut d’être dûment préparée et structurée. Par exemple, certains considèrent que la simple reconnaissance vocale, façonnée sur un système d’IA suffisamment avancé, pourrait dès à présent être détournée facilement, et participer à certaines méthodes d’espionnage industriel et aux écoutes de conversations privées (on-line ou off-line). Les acteurs doivent donc non seulement comprendre les risques juridiques que l’IA comporte quant à leur responsabilité vis-à-vis de leurs interlocuteurs, mais également les risques qu’elle pourrait impliquer pour leur propre organisation.

Enfin, l’IA requiert la collecte, l’utilisation et l’exploitation de données qui peuvent être personnelles. A cet égard, la nouvelle réglementation européenne sur la protection des données (règlement no. 2016/679 dit « RGPD ») entrée en vigueur le 25 mai 2018 impose des règles nouvelles aux entreprises.  Leur non-respect pourrait entraîner des pénalités significatives.

La définition communautaire de la notion de « donnée à caractère personnel«  y est très large.  Elle englobe en effet les informations classiques relatives à l’identité d’une personne, les données véhiculées sur Internet (adresses IP, cookies…), ainsi que des données particulièrement sensibles relatives à la vie et au mode de vie des personnes (données biométriques, opinions politiques, etc.).

Sont concernées toutes les entreprises, responsables de traitement ou sous-traitants, établies au sein de l’Union européenne (que le traitement des données personnelles ait lieu ou non au sein de l’Union1. Mais également les entreprises, responsables de traitement ou sous-traitants, qui ne sont pas établies au sein de l’UE mais qui traitent des données personnelles en vue de fournir des biens et des services à des personnes au sein de l’Union ou à suivre leur comportement au sein de l’Union2.

Devant à terme fournir un niveau « acceptable » de protection des données personnelles, les entreprises couvertes par le champ d’application du RGPD doivent s’interroger sur la provenance des données personnelles qu’elles utilisent et la manière dont elles en assurent le « traitement » (au sens du Règlement). Elles doivent par exemple sécuriser les données personnelles en empêchant notamment un tiers non autorisé d’y avoir accès.

Des scandales récents ont montré l’importance d’une supervision précise des données que les acteurs peuvent être appelés à collecter. Ainsi, au-delà des contraintes qui pèsent sur les acteurs, ce règlement pourrait constituer une source d’opportunités pour eux, et les inciter à améliorer la visibilité et le contrôle des données personnelles dont ils font usage. Celles-ci sont, dans un grand nombre de cas, enregistrées sur différents systèmes à travers plusieurs pays, transitant souvent via des datacenters et serveurs de cloud mettant en cause certaines notions de territorialité.

Il apparaît donc crucial de maîtriser ledit règlement avant tout usage et création d’outil d’intelligence artificielle car celle-ci repose sur un ensemble de données potentiellement captées par le périmètre d’application de ce texte fondateur. Il conviendra notamment de réaliser au préalable une cartographie mondiale des données personnelles captées par le RGPD, afin de garantir à terme la conformité d’un ensemble de données éclatées au sein de plusieurs serveurs.

Enfin, compte tenu de son fonctionnement, l’IA est susceptible d’impliquer des problématiques de biais (notamment dits « excluant ») introduits dans son paramétrage. Elles illustrent les questions d’éthique qui se dressent face à la montée en puissance de cette technologie qui, faible (traitant uniquement les données) ou puissante (intégrant du « machine learning »), doit désormais être intégrée au développement des modèles d’affaires.

_______

1) Article 3.1 du RGPD (critère de l’établissement).
2) Article 3.2 du RGPD (critère du ciblage).