LEAK : la Commission européenne va proposer une présomption réfragable pour les dommages liés à l’IA
La Commission européenne va présenter un régime de responsabilité pour les dommages découlant de l’intelligence artificielle (IA) qui mettrait la présomption de causalité sur le défendeur, selon un projet de texte obtenu par EURACTIV.
La Commission européenne va présenter un régime de responsabilité pour les dommages découlant de l’intelligence artificielle (IA) qui mettrait la présomption de causalité sur le défendeur, selon un projet de texte obtenu par EURACTIV.
La directive sur la responsabilité de l’IA devrait être publiée le 28 septembre. Elle a pour objectif de venir compléter la législation sur l’intelligence artificielle, un règlement à venir qui introduit des exigences pour les systèmes d’IA en fonction de leur niveau de risque.
« Cette directive prévoit de manière très ciblée et proportionnée des allègements de la charge de la preuve par le recours à la divulgation et aux présomptions réfragables », peut-on lire dans le projet.
« Ces mesures aideront les personnes cherchant à obtenir une indemnisation pour des dommages causés par des systèmes d’IA à gérer la charge de la preuve, de sorte que les demandes de responsabilité justifiées puissent aboutir. »
La proposition fait suite à une résolution du Parlement européen adoptée en octobre 2020 qui appelait à faciliter la charge de la preuve et à mettre en place un régime de responsabilité stricte pour les technologies basées sur l’IA.
Champ d’application
Par souci de cohérence, les définitions des systèmes d’IA, y compris ceux présentant un risque important, des fournisseurs et des utilisateurs de ces systèmes, sont directement mentionnées dans la législation sur l’IA.
La directive s’applique aux plaintes non contractuelles relevant du droit civil pour des dommages causés par un système d’IA dans les régimes de responsabilité pour faute, c’est-à-dire lorsque quelqu’un peut être tenu responsable d’une action ou d’une omission spécifique.
L’idée est que ces dispositions compléteraient les régimes de responsabilité existants en droit civil puisque, outre la présomption, la directive ne modifierait pas les règles nationales relatives à la charge de la preuve, au degré de certitude requis pour le niveau de preuve ou à la définition de la faute.
Si les responsabilités liées au droit pénal ou au domaine des transports sont exclues du champ d’application, les dispositions s’appliqueraient également aux autorités nationales dans la mesure où des obligations les couvrent en vertu de la législation sur l’IA.
Divulgation d’informations
Un requérant potentiel peut demander aux fournisseurs d’un système à haut risque de divulguer les informations que le fournisseur devra conserver dans le cadre de ses obligations en vertu de la législation sur l’IA. Le règlement sur l’IA impose la conservation de la documentation pendant dix ans après la mise sur le marché d’un système d’IA.
Les informations demandées comprendraient les ensembles de données utilisés pour développer le système d’IA, la documentation technique, les fichiers journaux, le système de gestion de la qualité et toute mesure corrective.
Les destinataires peuvent refuser la demande, qui peut alors être réitérée dans le cadre d’une action en justice, où un juge évaluera si elle est justifiée et nécessaire pour soutenir une demande d’indemnisation en cas d’accident impliquant l’IA.
Ces divulgations sont couvertes par des garanties et le principe de proportionnalité, notamment les secrets commerciaux. Le tribunal peut également demander au fournisseur de conserver ces informations aussi longtemps qu’il le juge nécessaire.
Si un fournisseur refuse de se conformer à une demande de divulgation, le tribunal considérera que le fournisseur n’a pas respecté les obligations pertinentes, sauf si le défendeur prouve le contraire.
Non-respect de la législation sur l’IA
La directive vise à fournir une base juridique pour demander une indemnisation à la suite d’un manquement à des obligations spécifiques énoncées dans le règlement de l’UE sur l’IA.
Dans la mesure où un lien de causalité entre le non-respect et le dommage ne peut être établi qu’en expliquant le fonctionnement interne de l’IA, l’approche consiste à présumer le lien de causalité dans certaines circonstances.
Pour les systèmes d’IA qui ne présentent pas un niveau de risque particulier, la présomption s’applique s’il est démontré qu’il y a eu non-respect des règles qui auraient pu prévenir le dommage et si le défendeur est responsable de ce non-respect.
Pour les systèmes présentant un risque élevé, la présomption s’applique à l’encontre du fournisseur lorsque des mesures appropriées de gestion des risques n’ont pas été mises en place, que l’ensemble de données de formation ne répondait pas aux critères de qualité demandés ou que le système ne répond pas aux critères de transparence, d’exactitude, de robustesse et de cybersécurité.
Parmi les autres facteurs, citons l’absence de contrôle humain adéquat ou la négligence dans la mise en œuvre immédiate des mesures correctives nécessaires.
La présomption s’applique aux utilisateurs de systèmes présentant un risque élevé dans le cas où les utilisateurs n’ont pas respecté les instructions d’accompagnement ou que le système a été exposé à des données d’entrée sans rapport avec la finalité du système.
En d’autres termes, il incomberait au fournisseur de systèmes d’IA qui a violé les règles de prouver que sa non-conformité n’a pas causé le dommage en démontrant qu’il existe des explications plus plausibles pour expliquer le dommage.
Non-conformité à d’autres exigences
Un principe similaire a été introduit pour la violation d’autres exigences européennes ou nationales. Dans ce cas également, la présomption de causalité ne s’applique qu’aux cas où le non-respect de ce que l’on appelle le « devoir de vigilance » est pertinent pour le dommage en question et vise à le prévenir.
Dans ce cas, les conditions de la présomption sont que le système d’IA peut être « raisonnablement supposé » être impliqué dans la création du dommage, et que le plaignant a démontré le non-respect des exigences pertinentes.
Pour la Commission, cette approche « constitue la mesure la moins contraignante pour répondre à la nécessité d’une indemnisation équitable de la victime, sans externaliser le coût sur cette dernière ».
Suivi et transposition
L’exécutif européen doit établir un programme de suivi des incidents impliquant des systèmes d’IA, avec un examen ciblé dans les cinq ans pour évaluer si des mesures supplémentaires seraient nécessaires.
Les États membres disposeront de deux ans pour transposer la directive en droit national à compter de son entrée en vigueur. Dans le cadre de leur transposition, les États membres peuvent adopter des règles nationales plus favorables aux demandeurs, pour autant qu’elles soient compatibles avec le droit communautaire.
