Des Intelligences Artificielles sous contrôle

Intégrer l’Intelligence Artificielle (IA) ou des IoT dans son système d’information impose entre autres de prendre en compte les aspects juridiques de ce type d’application. En France, ces derniers sont soumis à des règlements européens, notamment le RGPD, le CRA et l’IA Act. Quelques pistes…

La prise en compte des risques juridiques liés à l’utilisation de l’IA ou encore des IoT peut paraître superflue. Bien que ces technologies soient récentes, une première procédure a été lancée aux États-Unis mettant en cause l’utilisation de l’IA* dans le logiciel de RH de l’éditeur Workday.

Un candidat a avancé que le refus de plusieurs entreprises de l’embaucher reposerait sur l’utilisation d’une IA du logiciel Workday le discriminant. Si la première décision juridique l’a débouté, une seconde l’a prise en compte au motif que l’IA de ce logiciel sert de « Gatekeeper » (contrôleur d’accès).

Quelle que soit la décision de justice qui sera prise, l’affaire met en exergue l’utilisation de l’IA et le partage de responsabilité entre l’éditeur de logiciel et l’entreprise utilisatrice. Si ce cas reste exceptionnel pour l’instant, une initiative de Microsoft concrétise ce risque en particulier pour l’IA générative.

L’éditeur a annoncé qu’il paiera des dommages et intérêts au nom des clients qui utilisent ses produits d’intelligence artificielle, notamment Copilots, et Bing Chat Enterprise, s’ils sont poursuivis pour violation des « droits d’auteur » pour les résultats générés par ces systèmes. Or, il ne peut y avoir de violation de « droits d’auteur » que si ceux-ci existent.

« Une annonce qui a peu de chances de s’appliquer concrètement en Europe, souligne Alexandre Diehl, avocat du cabinet Lawint. Aux États-Unis, le copyright impose de déposer ses « œuvres » auprès du Copyright Office, en Europe, le droit d’auteur est valable sans aucun dépôt. Le risque que les produits de Microsoft violent un droit d’auteur est donc beaucoup plus grand puisque ce droit existe dès la création d’une œuvre originale. Il est donc peu probable que le programme de Microsoft s’applique en Europe ».

Un règlement européen contraignant

En Europe, la réglementation sur le sujet repose principalement sur l’IA Act. Le législateur a assorti son texte d’une série de sanctions financières. Outre la prise en compte du droit d’auteur, ce Règlement européen stipule une série d’exigences dont les grandes lignes semblent claires.

Si les grands modèles d’IA générative, dit de fondation (ChatGPT…) font l’objet d’une réglementation spécifique, toutes les applications d’IA devront faire preuve de transparence, d’auditabilité et d’explicabilité. Ces obligations varient en fonction de la criticité du cas d’usage.

Concrètement, les concepteurs ou les entreprises utilisatrices devront pouvoir documenter ces trois aspects. Il s’agira donc de détailler le processus d’entraînement et de prouver que des tests ont été menés pour réduire les risques d’aberrations.

Également appelées hallucinations, ces erreurs inévitables tiennent à l’approche statistique de cette technologie. Le législateur demande aussi de démontrer que des moyens ont été mis en place pour identifier les données servant à l’entraînement des algorithmes.

Globalement, il s’agit donc de documenter l’ensemble de ces applications, et ce, à la fois lors de la mise en place et ensuite dans la durée. En dehors de quelques entreprises spécialisées ou des grands comptes, ces exigences impliquent de faire intervenir des spécialistes.

« Il est donc essentiel de prévoir des clauses spécifiques avec son fournisseur garantissant la prise en charge de ces aspects », décrit Alexandre Diehl.

Contractualiser avec les utilisateurs

De leur côté, l’utilisation des IoT, objets connectés ou de leurs déclinaisons industrielles posent moins de contraintes mais nécessite tout de même de prendre quelques précautions sur le plan juridique. Ces objets connectés (Internet of Things) sont soumis, depuis 2022, au règlement européen sur la cybersécurité des objets connectés, le CRA (Cyber Resilience Act). Un règlement qui a pour but de promouvoir la cybersécurité des objets connectés en imposant des normes de sécurité minimales pour les fabricants et les éditeurs de logiciels.

Pour une société utilisatrice, il est donc préférable de s’assurer que son fournisseur respecte bien cette législation. Toujours pour les IoT, certaines applications peuvent impliquer une géolocalisation des salariés.

« Quand elles impliquent des données personnelles de la géolocalisation, elles tombent sous la coupe du RGPD. Il est donc nécessaire de contractualiser l’acceptation ou l’information des utilisateurs », explique Alexandre Diehl.

Autre technologie récente, si la Blockchain pose de nombreuses questions juridiques, il n’existe pas à ce jour de texte général européen ou français encadrant son utilisation dans ce cadre. Sur le terrain, elle reste peu utilisée en dehors des cryptomonnaies, et son intérêt n’est pas prouvée dans nombre de cas d’usage.

Au final, l’ajout de son système d’information de technologie récente suppose de prendre en compte la dimension juridique pour limiter les risques et de contractualiser si nécessaire avec ses fournisseurs IT.