Comment naviguer dans l’environnement juridique de l’IA
26/02/2025
11 min
Partage
Alors que l’intelligence artificielle (IA) continue d’avoir un impact sur différents secteurs d’activité et industries, les entreprises se retrouvent face à un paysage de défis juridiques complexes. L’adoption rapide de cette technologie offre des opportunités, mais elle présente également des risques à la fois sur le plan juridique et éthique, que les entreprises ne peuvent pas se permettre de négliger. Dans la première partie de cet entretien avec Maximiliano MARZETTI et Clare SHIN, de l’IÉSEG, nous nous penchons sur les risques juridiques que les entreprises doivent appréhender et sur les mesures qu’elles peuvent prendre pour s’assurer de respecter les réglementations en vigueur.
Quels sont les principaux risques d’ordre juridique que les entreprises doivent prendre en compte avec l’évolution rapide de l’environnement juridique de l’IA ?
Maximiliano MARZETTI (MM) : Comprendre l’environnement juridique des entreprises est une compétence clé pour tout dirigeant, non seulement pour minimiser les risques juridiques, mais aussi pour exploiter les avantages concurrentiels que le système juridique peut offrir. Le marché de l’IA n’est pas « non réglementé » comme certains peuvent le penser. Derrière les systèmes d’IA (AIS), il y a des personnes physiques et morales (entreprises) qui sont responsables et soumises à la loi comme n’importe qui d’autre.
Toutefois, il reste à déterminer si les règles et théories juridiques actuelles suffisent ou devraient être adaptées à l’IA. Quoi qu’il en soit, il existe des domaines juridiques spécifiques auxquels les entreprises d’IA devraient commencer à prêter une attention particulière :
Lois sur la protection des données et de la vie privée : Les systèmes d’IA recquièrent souvent de grandes quantités d’informations qui peuvent inclure des données à caractère personnel. Garantir la conformité avec les lois applicables en matière de protection des données, comme le Règlement Général sur la Protection des Données (RGPD) de l’UE ou le California Consumer Privacy Act (CCPA), est donc crucial pour les entreprises.
Règles juridiques contre les préjugés et la discrimination : Les systèmes d’IA peuvent être biaisés et adopter des pratiques discriminatoires, telles que la discrimination raciale ou la discrimination de genre. Cela n’est pas forcément intentionnel et peut être la conséquence de données d’entraînement limitées ou de la partialité inconsciente d’un programmeur. Quel que soit le cas, pour éviter d’engager leur responsabilité et de nuire à leur réputation, les entreprises doivent prendre des mesures pour les minimiser, par exemple en garantissant la transparence et l’explicabilité de l’IA.
Lois ad hoc sur l’IA : Le récent essor de l’IA, porté par des technologies telles que les grands modèles de langage (LLM) et l’IA générative (GenAI), a ravivé les inquiétudes quant aux risques intrinsèques potentiels posés par l’IA avancée. Cela a alimenté les débats et conduit à l’introduction de lois ad hoc sur l’IA, dont la loi européenne sur l’intelligence artificielle (AI Act) est l’exemple le plus frappant, afin de répondre à ces défis. Toutefois, malgré certains efforts, il n’existe pas d’approche globale au niveau mondial de la réglementation des systèmes d’IA. Anu BRADFORD (Columbia Law School) identifie trois modèles réglementaires internationaux concurrents pour réglementer les technologies numériques, y compris l’IA : (a) le modèle américain basé sur le marché, qui adopte une perspective de laissez-faire avec une intervention minimale du gouvernement ; (b) le modèle chinois dirigé par l’État, caractérisé par un contrôle strict et centralisé des technologies numériques et des données ; et (c) le modèle européen basé sur les droits, qui met l’accent sur la protection des droits fondamentaux par le biais de réglementations strictes pour les entreprises technologiques, telles que l’AI Act. Cette disparité réglementaire peut rendre la conformité particulièrement difficile pour les entreprises opérant dans plusieurs juridictions, les exposant à des conflits dus à des règles et normes juridiques contradictoires.
Propriété intellectuelle et droit du secret des affaires : La propriété intellectuelle est le domaine qui a connu le plus grand nombre de litiges jusqu’à présent, notamment en ce qui concerne les plaintes pour violation des droits d’auteur liées à la formation des systèmes d’intelligence artificielle. La protection des algorithmes par le biais des secrets d’affaires et les exceptions à cette protection en raison de préoccupations sociétales plus larges, telles que les violations des droits de l’homme ou l’application de l’État de droit, pourraient également donner lieu à des litiges à l’avenir.
Droit de la concurrence : La structure oligopolistique du marché du développement de systèmes d’IA, dominé par une poignée d’entreprises, dont la plupart sont situées aux États-Unis, peut soulever des problèmes anticoncurrentiels. Certaines autorités de la concurrence surveillent déjà de près cette nouvelle structure du marché et émettent des avertissements ou des recommandations. Par exemple, l’Autorité française de la concurrence a récemment émis un avis sur le marché de l’IA générative (GenAI).
Dans cet environnement juridique complexe et en évolution rapide, quelles mesures les entreprises (y compris celles qui utilisent l’IA) peuvent-elles prendre pour s’assurer qu’elles respectent ces réglementations ?
Clare SHIN (CS) : Naviguer dans le paysage juridique de l’IA peut s’avérer difficile, mais il existe des mesures concrètes que les entreprises peuvent prendre pour se mettre en conformité et limiter les risques. Les entreprises devraient se concentrer sur trois catégories différentes : (1) la documentation, (2) la mise en place d’une équipe et d’une politique de gouvernance de l’IA, et (3) la formation et la sensibilisation.
Une documentation complète et précise est essentielle pour les entreprises qui souhaitent se conformer aux réglementations comme la loi européenne sur l’intelligence artificielle (AI Act) tout en conservant une compréhension globale de l’utilisation de l’IA dans tous les départements. Des pratiques de conservation des dossiers efficaces permettent aux organisations de réagir rapidement en cas de problème de conformité ou de violation et fournissent un référentiel centralisé pour une prise de décision éclairée. Les éléments clés de la documentation sur l’IA devraient inclure l’objectif visé par le système d’IA, les types de données concernées, les risques identifiés et les mesures prises pour réduire ces risques.
L’AI Act impose spécifiquement plusieurs formes de documentation, telles que la documentation technique (article 11), l’archivage standard (articles 12 et 18), la déclaration de conformité de l’UE (article 47) et l’enregistrement dans la base de données IA de l’UE (article 49). Ces documents doivent être exacts, transparents et faire l’objet d’une surveillance humaine permanente, les contrôles étant effectués par l’équipe de gouvernance de l’IA de l’organisation afin de garantir l’alignement sur les exigences réglementaires et les politiques internes.
La mise en place d’une équipe de gouvernance de l’IA est essentielle pour créer un cadre solide de supervision de la mise en œuvre et de la conformité de l’IA. Cette équipe doit être composée d’un groupe diversifié d’experts ayant des perspectives multidisciplinaires, pour leur permettre de relever efficacement les défis éthiques, juridiques et opérationnels. L’équipe est chargée de rédiger et d’appliquer des politiques claires sur l’utilisation de l’IA, d’élaborer des stratégies pour garantir la conformité avec les réglementations applicables, d’effectuer des évaluations de conformité et d’aligner les pratiques sur des normes harmonisées. Elle doit également veiller à la transparence et aux pratiques éthiques de l’utilisation de l’IA.
Par exemple, si la politique d’une organisation en matière d’IA stipule que « nous n’utilisons pas l’IA pour traiter les données sensibles des clients », l’équipe doit veiller à ce qu’elle soit strictement respectée, jusqu’à interdire des outils tels que les services de transcription automatique lors de réunions en ligne comprenant des discussions à caractère sensible. Ces politiques doivent être communiquées clairement et appliquées par le biais de programmes de formation des employés.
Dans tous les cas, indépendamment de l’IA, les entreprises doivent prendre les mêmes mesures de base en vue de se conformer aux réglementations grâce à la formation et à la surveillance, suivies de mesures correctives en cas d’erreurs ou d’écarts à la règle. L’IA doit être développée, déployée et corrigée comme s’il s’agissait d’un employé humain. Même s’ils sont formés, les employés humains peuvent toujours commettre des erreurs, qui doivent être identifiées et corrigées.
Même s’il s’agit d’une machine, l’IA est similaire à son homologue humain en ce sens qu’elle peut également s’écarter des normes au fur et à mesure de son apprentissage. Par conséquent, l’IA doit être développée, déployée et corrigée comme s’il s’agissait d’un employé humain. Cependant, si les mêmes processus généraux de formation, de suivi et de correction s’appliquent aux humains et à l’IA, la manière dont ils sont mis en œuvre est différente.
L’entraînement spécifique de l’IA devrait commencer dès la phase de développement, avec un code conçu pour intégrer les exigences réglementaires et atténuer les risques tels que les biais. Les organisations qui adoptent des outils d’IA doivent s’assurer que ces systèmes sont conformes à leurs objectifs éthiques et réglementaires spécifiques. Tout comme les employés humains, les systèmes d’IA nécessitent des qualifications initiales, suivies de modifications permanentes pour répondre à l’évolution des normes réglementaires.
Il est tout aussi important de former les employés à l’utilisation efficace et responsable de l’IA. À mesure que des outils tels que l’IA générative (par exemple, ChatGPT) et les systèmes de prise de décision alimentés par l’IA deviennent partie intégrante des opérations quotidiennes, les organisations doivent donner la priorité à la formation à l’IA. Cette formation devrait comprendre une sensibilisation aux risques liés à la protection de la vie privée, par exemple en évitant d’aborder des questions personnelles lors de réunions en ligne utilisant l’IA, et une compréhension des meilleures pratiques pour protéger les données sensibles de l’entreprise ou des clients, notamment en s’abstenant d’introduire directement des informations confidentielles dans les systèmes d’IA générative.
En développant une main-d’œuvre compétente en matière d’IA et en maintenant une surveillance rigoureuse des systèmes d’IA, les organisations peuvent naviguer dans les complexités de l’environnement juridique avec confiance et intégrité. Cette approche structurée garantit non seulement la conformité avec les cadres réglementaires tels que le AI Act, mais permet également aux organisations d’exploiter le potentiel de transformation de l’IA de manière responsable et éthique.
Les systèmes d’IA nécessitent souvent de grandes quantités de données. Pouvez-vous expliquer comment les entreprises qui utilisent des outils d’IA peuvent assurer la protection et la sécurité des données ?
CS : En effet, l’IA repose sur une base constituée de données massives. Cela signifie que la protection et la sécurité des données sont primordiales, pas seulement pour respecter les exigences réglementaires, mais aussi en termes d’éthique et d’avantages concurrentiels. Lorsque les entreprises qui déploient des outils d’IA traitent de grandes quantités de données sensibles, y compris des informations personnelles, des données commerciales exclusives et même des informations importantes pour la sécurité nationale, elles doivent assurer la protection et la sécurité de ces données. Ces responsabilités sont essentielles pour maintenir la confiance du public, respecter les obligations légales et diminuer les risques d’atteinte à la réputation et de sanctions financières.
L’importance de la protection des données en matière d’IA est essentielle. Des données mal gérées peuvent conduire à des violations, à des accès non autorisés et à des utilisations abusives, ce qui peut entraîner des préjudices humains réels. C’est pourquoi, de nombreuses juridictions ont mis en place des réglementations contrôlant la sécurité des données personnelles à l’intérieur de leurs frontières, comme l’UE avec le Règlement général sur la protection des données (RGPD) et la Corée du Sud avec la Loi sur la protection des informations personnelles (PIPA). Le non-respect de ces réglementations peut entraîner de lourdes amendes et des restrictions opérationnelles. En plus de ces lois sur les données personnelles, ces juridictions ont également mis en œuvre des réglementations détaillant des exigences spécifiques pour les systèmes d’IA à haut risque, faisant de la protection des données un élément central de la gouvernance de l’IA.
Pour assurer la protection et la sécurité des données, les entreprises qui utilisent des outils d’IA devraient adopter une approche globale, flexible et multidisciplinaire qui donne la priorité à la sécurité et aux droits des personnes concernées. Par exemple, la mise en œuvre de la minimisation des données et de la limitation de la finalité peut contribuer à la base fondamentale de la protection des données. Les organisations ne devraient collecter et traiter que les données strictement nécessaires à la fonction du système d’IA. Ce faisant, elles peuvent réduire les risques associés au stockage de données excessives susceptibles d’être compromises, tout en s’alignant sur les pratiques légales et éthiques.
Il est tout aussi important de mettre en place des cadres solides de gouvernance des données. Ces cadres fournissent des politiques et des procédures claires pour le traitement des données, y compris la classification des données, les contrôles d’accès et les calendriers de conservation, garantissant la responsabilité et la cohérence dans l’ensemble de l’organisation.
Des techniques telles que l’anonymisation et la pseudonymisation peuvent encore renforcer la sécurité des données en garantissant que même si des données personnelles sont consultées par des parties non autorisées, il n’est pas facile de remonter jusqu’aux personnes concernées. Des évaluations régulières des risques et des analyses d’impact, telles que les analyses d’impact relatives à la protection des données (DPIA), sont également essentielles. Ces évaluations aident à identifier les risques potentiels et les vulnérabilités des systèmes d’IA, ce qui permet aux organisations de mettre en œuvre les mesures d’atténuation nécessaires de manière proactive.
Les entreprises peuvent également intégrer la sécurité directement dans leur fonctionnement en utilisant les concepts de protection de la vie privée dès la conception des systèmes d’IA. Il s’agit d’intégrer des mesures de sécurité telles que le cryptage, des protocoles d’authentification sécurisés et une surveillance en temps réel des anomalies directement dans l’architecture des solutions d’IA. En abordant la question de la sécurité dès le début, les entreprises peuvent éviter que les vulnérabilités ne deviennent des problèmes systémiques par la suite.
Enfin, lorsqu’elles travaillent avec des fournisseurs tiers pour des solutions d’IA, les entreprises doivent faire preuve d’une grande vigilance pour s’assurer qu’elles respectent les normes de protection des données. Les contrats conclus avec les fournisseurs devraient comporter des clauses de protection des données solides et prévoir des audits pour vérifier la conformité, et une communication claire sur la manière dont les données sont collectées, traitées et protégées devrait être partagée avec les parties prenantes afin de faire preuve de transparence et de renforcer la confiance et la réputation.
La deuxième partie de cet entretien est disponible ici.
Cet entretien est une traduction d’une interview publié pour la première fois en anglais en janvier 2025.
Évolutions jusqu’au 20 février 2025
Par Maximiliano Marzetti
Les premières semaines de 2025 ont apporté des mises à jour importantes au paysage réglementaire de l’IA. Le droit et la géoéconomie de l’IA sont en constante évolution. Les récentes déclarations et actions de l’administration Trump aux États-Unis, depuis son entrée en fonction, suggèrent que les divergences politiques en matière d’IA de part et d’autre de l’Atlantique continueront de s’accentuer. Le 20 janvier 2025, le président Trump a signé le décret présidentiel (Executive Order) n° 14148, révoquant notamment le décret du président Biden de 2023.
Quelques jours plus tard, le nouveau président a signé un nouveau décret présidentiel (n° 14179) sur la suppression des obstacles au leadership américain en matière d’IA. Alors que les États-Unis semblent supprimer les obstacles juridiques aux développements de l’IA, l’UE continue de mettre en œuvre sa loi sur l’IA. Cependant, le projet de « code de bonnes pratiques » de l’UE a fait l’objet de vives critiques de la part des grandes entreprises d’IA.
Ce clivage était évident lors du sommet de Paris sur l’IA en février, où plus de 60 pays et organisations régionales, dont la Chine et l’UE, ont signé la déclaration sur l’intelligence artificielle inclusive et durable pour les peuples et la planète.
Cependant, les États-Unis et le Royaume-Uni ne l’ont pas signée. Le vice-président américain Vance, qui a assisté au sommet, a clairement exprimé la position des États-Unis. Les éditeurs et les autres industries du droit d’auteur n’étaient pas non plus satisfaits de la Déclaration de Paris. Même si elle mentionne « la nécessité d’une réflexion globale” intégrant, entre autres, les questions de droits de propriété intellectuelle , elle ne fait pas, selon eux, de la protection du droit d’auteur une priorité.
En outre, la première décision rendue sur la question de savoir si l’utilisation de contenus protégés par le droit d’auteur pour la formation à l’IA peut être qualifiée de “fair use” a été rendue. Le 11 février, le juge Bias de la Cour fédérale de district du Delaware (tribunal de première instance), dans l’affaire opposant Thomson Reuters Enterprise Centre GmbH et al. à ROSS Intelligence Inc., a déclaré sans ambiguïté que l’utilisation d’œuvres protégées par le droit d’auteur pour la formation à l’IA ne pouvait être qualifiée de “fair use”.
