Comment naviguer dans l’environnement juridique de l’IA (partie 2)
26/02/2025
11 min
Partage
Alors que l’intelligence artificielle (IA) continue d’avoir un impact sur différents secteurs d’activité et industries, les entreprises sont confrontées à un paysage de défis juridiques complexes. Dans la deuxième partie de cet entretien avec les experts Maximiliano MARZETTI et Clare SHIN de l’IÉSEG, nous nous penchons sur les défis liés à la propriété intellectuelle, sur la manière dont les entreprises peuvent protéger leurs activités et sur leur responsabilité légale en matière de transparence…
La première partie de cet entretien est également disponible ici.
L’une des principales questions soulevées par le développement de l’IA concerne la propriété intellectuelle. Pouvez-vous donner quelques exemples de défis liés à la propriété intellectuelle et expliquer ce que les entreprises peuvent faire pour protéger leur propriété intellectuelle ou éviter d’éventuels litiges ?
Maximiliano MARZETTI – MM : Les pratiques de certaines entreprises d’IA, telles que la récupération de contenus sur le web et leur utilisation pour développer leurs algorithmes, ont donné lieu à de nombreuses poursuites pour violation des droits d’auteur, principalement aux États-Unis (où ces entreprises sont basées juridiquement). Les systèmes d’IA ont besoin de données pour apprendre et améliorer leurs capacités. Si ces données sont des œuvres protégées par le droit d’auteur, dont l’utilisation n’est pas autorisée par le titulaire du droit d’auteur, des plaintes pour violation de droit d’auteur peuvent être déposées.
Pour enfreindre le droit exclusif de reproduction de l’auteur, par exemple, il suffit que l’œuvre protégée soit reproduite à des fins d’entraînement de l’IA, même si l’œuvre n’apparaît pas dans le résultat. À l’heure actuelle, plus de 30 actions en justice pour violation des droits d’auteur à l’encontre de sociétés d’IA ont été déposées devant les tribunaux fédéraux américains, comme Getty Images c. Stability AI ; The New York Times c. OpenAI ; et Authors Guild c. OpenAI.
De leur côté, les entreprises d’IA soutiennent que leur utilisation d’œuvres protégées par le droit d’auteur pour entraîner des algorithmes relève du fair use, un moyen de défense qui repose sur l’interprétation d’un test à quatre facteurs. Pour l’instant, aucune décision définitive n’a été prise.
Dans l’UE, il n’existe pas de système de fair use, mais un système différent, plus restrictif, d’« exceptions et limitations » (au droit exclusif des titulaires de droits d’auteur) qui sont limitées (numerus clausus) et (généralement) interprétées de manière restrictive par les tribunaux. Les articles 3 et 4 de la directive de l’UE sur le marché unique numérique de 2019 ont chargé les États membres d’inclure deux exceptions relatives à l’extraction de textes et de données (« Text and Data Mining exceptions ») afin de permettre l’extraction et la reproduction de contenus protégés par le droit d’auteur légalement accessibles sans exiger le consentement préalable du titulaire du droit d’auteur.
Les « Text and Data Mining exceptions » (TDME) ont été intégrées pour faciliter et soutenir les efforts de développement de l’IA. Mais il y a un hic. L’exception s’applique pleinement à la recherche scientifique et aux institutions culturelles, mais pour être utilisée par des entreprises commerciales, le titulaire du droit d’auteur ne doit pas s’être opposé à cette exception. Ainsi, si les titulaires de droits d’auteur ont choisi de s’opposer à l’exception TDM, toute reproduction de leurs œuvres, par exemple à des fins de formation à l’IA, serait illégale.
Le dispositif d’opposition (opt-out) au TDME, prévu à l’article 4, paragraphe 3, du DSM (Digital Single Market), n’est pas clair, ce qui aggrave l’insécurité juridique tant pour les titulaires de droits d’auteur que pour les développeurs d’IA. Pour dissiper ces inquiétudes, certaines institutions, comme W3C, ont proposé des protocoles. Un tribunal allemand a récemment statué qu’il suffisait que l’option de refus soit mentionnée en langage clair dans les conditions d’utilisation d’un site web. Le dispositif d’opt-out est renforcé par l’AI Act (loi européenne sur l’intelligence artificielle), dont l’article 53 stipule que les fournisseurs de modèles d’IA générative (GenAI) à usage universel doivent mettre en place une politique visant à respecter le dispositif d’opt-out prévu par l’article 4, paragraphe 3, du DSM. Récemment, GEMA, une société allemande de gestion collective des licences, a intenté une action en justice devant le tribunal régional de Munich afin de clarifier les obligations de rémunération de la part de fournisseurs d’IA en Europe pour l’utilisation sans licence d’œuvres musicales protégées. Cette action, probablement la première de ce type en Europe mais sans doute pas la dernière, est spécifiquement dirigée contre la société américaine OpenAI.
En ce qui concerne les résultats générés par l’IA, l’Office américain du droit d’auteur a été catégorique en refusant l’attribution du droit d’auteur à une œuvre générée uniquement par un système d’IA, une décision confirmée ultérieurement par un tribunal (Thaler v. Perlmutter). Toutefois, la situation n’est pas la même pour les œuvres contenant un mélange d’éléments générés par l’IA et d’éléments créés par l’homme, qui peuvent être protégés par le droit d’auteur dans certaines circonstances, selon les récentes lignes directrices publiées par l’Office américain du droit d’auteur.
Adoptant une position différente, le tribunal de l’internet de Pékin a accordé cette année la protection du droit d’auteur à une image entièrement générée par l’IA. Dans l’UE, une affaire présentant des caractéristiques similaires a été jugée en République tchèque, mais elle n’a pas fourni de lignes directrices claires puisqu’elle a été rejetée pour motif procédural. Bien que les traités internationaux sur le droit d’auteur établissent certaines obligations communes, le droit d’auteur reste une question de législation nationale interprétée par les tribunaux nationaux.
Les brevets jouent également un rôle important dans le développement des systèmes d’IA. Comme dans le cas des droits d’auteur, les demandes de brevet mentionnant un système d’IA en tant qu’inventeur ont été rejetées dans divers territoire comme les États-Unis, le Royaume-Uni et l’Union européenne, entre autres. Un rapport de l’Organisation Mondiale de la Propriété Intellectuelle (OMPI) souligne qu’après l’introduction des modèles de transformeurs en 2017, les demandes de brevets et les publications scientifiques ont augmenté, ces dernières ayant explosé après la sortie de ChatGPT en 2022.
En outre, les secrets d’affaires sont couramment utilisés pour protéger les algorithmes ou d’autres informations précieuses qui ne peuvent pas être brevetées ou que les entreprises préfèrent ne pas divulguer. Bien que le secret d’affaires soit une pratique légitime, il peut parfois avoir un impact sur la transparence et l’explicabilité de l’IA, ce qui nécessite un calibrage minutieux de la part des tribunaux, comme l’a exprimé l’avocat général, Monsieur de la Tour, dans une affaire concernant le RGPD.
Pourriez-vous nous donner quelques exemples pratiques sur la manière dont les entreprises peuvent prendre en compte les questions de propriété intellectuelle pour protéger leurs activités ?
Clare SHIN (CS) : À mesure que l’IA devient plus sophistiquée et est utilisée dans davantage de domaines, l’impact de l’IA sur la propriété intellectuelle crée un paysage en constante évolution. Les programmes conçus pour protéger la propriété intellectuelle dans cet environnement doivent être revus régulièrement pour s’adapter à l’évolution des capacités et des utilisations de l’IA. Une coordination étroite entre les équipes juridiques et informatiques d’une entreprise, avec le soutien total de la direction générale, est nécessaire. L’équipe juridique doit fournir à l’équipe informatique des informations précises sur ce qui constitue une violation des droits de propriété intellectuelle. L’équipe informatique doit ensuite concevoir les moyens d’identifier ces violations et de les signaler à l’équipe juridique pour qu’elle prenne les mesures qui s’imposent. La direction générale doit être tenue informée par les deux équipes de ce qui se passe afin que des plans d’action puissent être mis en œuvre et que des ressources puissent être allouées en fonction des besoins.
Ensuite, la réalisation d’audits réguliers de la propriété intellectuelle devrait être considérée comme une pratique essentielle. Ces audits permettent aux entreprises d’identifier les vulnérabilités potentielles de leur portefeuille de propriété intellectuelle, en s’assurant que toutes les innovations sont correctement documentées et protégées, et qu’aucune violation n’a été commise et largement répandue. Ces audits proactifs contribuent à atténuer les risques d’exposition involontaire ou d’utilisation non autorisée des droits de propriété. Les entreprises peuvent également surveiller régulièrement le marché à la recherche de violations de la propriété intellectuelle en s’appuyant sur des outils pilotés par l’IA pour détecter l’utilisation non autorisée de technologies ou de contenus. Ces mesures simples peuvent permettre aux entreprises d’agir rapidement pour faire respecter leurs droits, dissuader les utilisations abusives et préserver la propriété intellectuelle.
Former les employés est une composante souvent négligée et pourtant essentielle de la protection de la propriété intellectuelle. La formation des employés aux politiques de propriété intellectuelle favorise une culture de respect de la propriété intellectuelle et réduit le risque de violations en interne. Cette formation permet de s’assurer que le personnel comprend son rôle dans le maintien de la confidentialité des informations sensibles et qu’il agit de manière éthique et responsable.
Enfin, il est essentiel d’élaborer une stratégie solide de protection de la propriété intellectuelle. L’équipe juridique peut concentrer ses ressources sur l’obtention de brevets pour les technologies liées à l’IA, sur le développement de secrets d’affaires pour protéger les algorithmes et les ensembles de données exclusifs, et sur les droits d’auteur pour protéger le contenu généré par l’IA, en accordant la propriété et en permettant l’application des résultats créatifs.
Les entreprises peuvent également garantir la confidentialité grâce à des contrôles d’accès stricts et à des contrats tels que des accords de non-divulgation ou des accords de licences croisées avec d’autres entreprises. Les avantages comprennent la réduction des risques de litige et la promotion de l’innovation et de la créativité en permettant l’utilisation mutuelle des technologies de l’IA.
Quelles sont les obligations légales des entreprises en matière de transparence dans l’utilisation des modèles d’IA ?
MM : Tout d’abord, précisons qui doit se conformer à l’IA Act (AIA). L’essentiel des obligations de l’AIA incombe aux fournisseurs, définis à l’article 3, paragraphe 3, comme des personnes physiques ou morales, publiques ou privées, qui développent des systèmes d’IA ou des modèles d’IA à usage général mis sur le marché de l’UE, même s’ils ne sont pas rémunérés. Les déployeurs ont également certaines obligations. Conformément à l’article 3, paragraphe 4, les déployeurs sont des personnes physiques ou morales, publiques ou privées, qui utilisent un système d’IA sous leur autorité, sauf si le système est utilisé pour des activités personnelles et non professionnelles. Par conséquent, un professeur d’université utilisant un système d’IA pour préparer ses cours serait soumis à l’AI Act. Enfin, l’AIA impose certaines obligations aux fabricants, importateurs et distributeurs de produits.
La transparence de l’IA est devenue une revendication très répandue et, dans certains contextes, comme dans le cadre de la loi européenne sur l’intelligence artificielle, il peut même s’agir d’une obligation légale. De manière générale, la transparence de l’IA est considérée comme une exigence en matière d’éthique ou de bonnes pratiques. La transparence de l’IA et la diffusion responsable d’informations figurent parmi les recommandations de l’OCDE en matière d’IA, une source non contraignante de droit souple. Ainsi, les entreprises d’IA devraient divulguer « des informations pertinentes, adaptées au contexte et conformes à l’état de l’art ».
Abstraction faite des engagements éthiques et volontaires, diverses règles juridiques de l’UE imposent différents degrés de transparence concernant les systèmes d’intelligence artificielle et les données personnelles lorsqu’elles servent de base de données. Par exemple, l’obligation d’information prévue aux articles 13 et 14 du RGPD peut s’appliquer aux développeurs d’IA. Le préambule 27 de l’AIA stipule que « la transparence signifie que les systèmes d’IA sont développés et utilisés de manière à permettre une traçabilité et une explicabilité appropriées, tout en faisant prendre conscience aux humains qu’ils communiquent ou interagissent avec un système d’IA, ainsi qu’en informant dûment les utilisateurs et les personnes affectées, des capacités et des limites de ce système d’IA et de leurs droits ». L’AIA met l’accent sur la transparence par le biais de diverses dispositions, telles que l’article 13 (instructions d’utilisation concernant les systèmes à haut risque) et l’article 50 (obligations d’informer les utilisateurs qu’ils interagissent avec un système d’IA).
Toutefois, une transparence totale n’est pas toujours nécessaire ou possible. Les entreprises devraient plutôt s’efforcer d’adopter une norme de transparence réaliste tout en se conformant aux règles juridiques applicables. Les meilleures pratiques à prendre en compte par les entreprises en ce qui concerne les obligations de transparence comprennent l’enregistrement et le suivi complets de toutes les activités de traitement des données et de l’IA, ainsi que la tenue d’une documentation claire.
Certains secteurs sont fortement réglementés (par exemple la santé, la finance, etc.). Comment les organisations/entreprises de ces secteurs peuvent-elles s’assurer que l’adoption de l’IA est conforme aux réglementations en vigueur dans leur secteur et qu’elles sont prêtes à faire face à d’éventuelles répercussions si l’IA commet des erreurs ? (responsabilité)
MM : Pour les secteurs déjà très réglementés, des lois comme l’AIA ajoutent une couche de complexité supplémentaire à leurs stratégies de conformité. Par exemple, la plupart des systèmes d’IA dans les secteurs de la santé et de la finance peuvent être classés comme étant à haut risque en vertu de la loi européenne sur l’IA, ce qui les soumet à des exigences de conformité strictes. Pour s’assurer que l’adoption de l’IA s’aligne sur d’autres réglementations sectorielles, les entreprises de ces secteurs peuvent tirer des enseignements précieux de la conformité au RGPD, auquel elles sont également soumises en raison du traitement de données à caractère personnel sensibles.
En cas d’erreurs de l’IA causant un préjudice à des clients ou à d’autres individus, les entreprises sont soumises aux règles communes du droit de la responsabilité civile (dans les pays du Common Law) ou de la responsabilité extracontractuelle (dans les pays de droit civil). Par conséquent, la meilleure politique est d’investir dans la prévention, car elle est plus rentable que la résolution et contribue à préserver la réputation de l’entreprise.
Au-delà des préoccupations juridiques, l’IA pose également de nombreuses questions éthiques aux entreprises. Que peuvent faire les entreprises pour s’assurer qu’elles répondent aux défis éthiques et juridiques liés à cette technologie ?
MM : Il est important de faire la distinction entre les obligations légales et les obligations éthiques. Les obligations légales sont imposées par les gouvernements et leur non-respect entraîne des sanctions. En revanche, les règles éthiques, qui résultent volontairement d’un consensus entre les parties concernées, n’entraînent généralement pas de sanctions juridiques.
Parfois, les lois peuvent incorporer des normes éthiques, les transformant en obligations légales. Par exemple, la loi sur l’IA impose des obligations de transparence et d’explicabilité, qui étaient auparavant des « desiderata » éthiques, afin de minimiser le risque de biais algorithmiques et de discrimination, entre autres.
Bien que l’adoption de normes éthiques plus strictes allant au-delà de la conformité légale et réglementaire soit facultative, elle peut constituer une stratégie gagnante, en particulier dans l’environnement juridique de l’IA, qui est fragmenté à l’échelle mondiale. Relever la barre de la responsabilité d’entreprise pour y inclure les normes éthiques les plus élevées peut contribuer à minimiser le risque de non-conformité aux règles juridiques dans différentes juridictions et avoir un impact positif sur la réputation. Toutefois, il est important de noter que cette approche s’accompagne de coûts supplémentaires.
Enfin, certains chercheurs estiment que les droits de l’homme pourraient constituer un meilleur cadre pour relever les défis de l’IA, d’autant plus que l’IA est un phénomène qui transcende les frontières nationales, ce qui appelle des solutions internationales. En septembre 2024, le Conseil de l’Europe a ouvert à la signature la Convention-cadre sur l’intelligence artificielle, les droits de l’homme, la démocratie et l’État de droit, premier traité international juridiquement contraignant dans ce domaine. Ce traité vise à garantir que les activités des systèmes d’IA sont pleinement compatibles avec les droits de l’homme, la démocratie et l’État de droit, tout en favorisant le progrès technologique et l’innovation. Il a déjà été signé par les États-Unis, le Royaume-Uni et l’Union européenne, entre autres.
Cet entretien est une traduction d’une interview publié pour la première fois en anglais en janvier 2025.
