IA et droit : dépasser la fiction pour une approche juridique raisonnée - De Gaulle Fleurance & Associés
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Dossier
IA et droit : dépasser la fiction pour
une approche juridique raisonnée
L
’Intelligence Artificielle (« IA ») berce nos existences à travers les plus grandes œuvres
de science-fiction. L’IA y est présentée comme une menace ou comme une solution
pour l’humanité. La remise au premier plan de l’IA grâce aux progrès du numérique a
logiquement été accompagnée d’une résurgence de ces réflexes et biais culturels, créant un
véritable mythe autour de l’IA.
Cette mystification de l’IA provient d’une erreur d’analyse initiale qui consiste à croire, comme l’a
présenté la science-fiction, que l’IA est quasiment omnisciente, généraliste, qu’elle comprendrait
par elle-même et qu’elle aurait quasiment conscience de sa propre existence. en somme, l’IA telle
qu’elle est fantasmée est une IA « forte » qui ne correspond aujourd’hui à aucune réalité que ce
soit au regard du niveau d’avancée des travaux de recherche et développement ou des applications
d’IA intégrées aux produits ou services sur le marché.
en effet, l’IA telle qu’elle existe aujourd’hui est loin d’avoir ces caractéristiques. Les IA qui nous
entourent au quotidien sont des IA spécialisées, extrêmement performantes dans des domaines
très pointus, pour lesquels elles ont été spécifiquement entrainées. C’est ce que l’on appelle des IA
faibles. Cette appellation ne doit en aucun cas minimiser les résultats exceptionnels obtenus grâce
à ces IA dans des domaines divers tels que la médecine, la mobilité, la finance, l’énergie ou plus
généralement toute activité basée sur l’exploitation de données. SOMMAIRE
Notre réalité est qu’à chaque instant, des algorithmes sondent, calculent et analysent un nombre
impressionnant de données, qui serviront à trouver un diagnostic, définir des offres, à améliorer un Intelligence artificielle :
quels objets de droit
service ou encore, à proposer un prix. pour quel encadrement
Face à la montée en puissance des IA et de leur utilisation par divers acteurs économiques et contractuel ? P. 22
politiques, les questions juridiques et éthiques relatives à cette utilisation se posent. La première Georgie COURTOIS et Jean-
Sébastien MARIEZ
question à se poser est d’ailleurs d’examiner la manière dont notre législation actuelle permet
d’ores et déjà d’accueillir ces solutions et d’apporter les garanties nécessaires à la sécurité juridique. IA et assurance P. 28
ensuite, dans des cas spécifiques, il faut s’interroger sur la nécessité d’adopter des règles spéciales. Luc GRYNBAUM
Il est donc nécessaire d’anticiper les conséquences juridiques qui découleront de l’utilisation des
Les données publiques
IA, que ce soit en matière de protection des droits de propriété intellectuelle, de protection des au cœur de l'IA et
données à caractère personnel, de responsabilités, de mobilité urbaine ou encore de concurrence. au service de la ville
Au sein de l’Union européenne, la Commission développe des mesures pour encadrer les règles intelligente P. 32
en matière de responsabilité et de transparence des IA. Les récents développements autour Gaïa WITZ et Jean-Sébastien
MARIEZ
notamment de la reconnaissance faciale font partie des priorités.
L’heure n’est donc plus à la fiction et au droit prospectif, mais bien à l’analyse concrète des effets Intelligence artificielle
et droit de la
des IA sur notre droit et du droit sur les IA. n
concurrence P. 36
Georgie COURTOIS, Jean-Sébastien MARIEZ et Thierry TITONE Thierry TITONE et Roxane
Avocats associés, De Gaulle Fleurance et Associés CHANALET-QUERCY
Nº 151 septembre 2019 Revue Lamy Droit des Affaires 21RLDA 6781
Intelligence artificielle : quels
objets de droit pour quel
encadrement contractuel ?
Georgie
COURTOIS
Tout d’abord est exposée ici une proposition de modèle d'analyse des composantes Avocat associé
d'une solution d'intelligence artificielle, avant de présenter un panorama des De Gaulle
problématiques juridiques récurrentes dans le cadre de la sécurisation des rapports Fleurance et
transactionnels entre fournisseurs d’intelligence artificielle et clients.(1) Associés
Le regain que l’intelligence artificielle sur la base de ce modèle d’analyse, il est
(« IA ») connait depuis quelques années ensuite possible d’aborder les probléma-
conduit à la multiplication des rapports tiques juridiques qui, de manière trans-
transactionnels impliquant, d’une part, versale, doivent être traitées quel que
les fournisseurs de produits ou services soit le type d’application d’IA en cause.
informatiques et, d’autre part, leurs Dans cette perspective, la seconde par-
clients personnes morales de droit privé tie de cet article présente les principales
ou de droit public. questions qui doivent retenir l’attention
des co-contractants : la protection des
Dans ce contexte, il est parfois difficile droits de propriété intellectuel ; la pro- Jean-Sébastien
de faire le distinguo entre d’une part, tection des données à caractère person- MARIEZ
les fournisseurs qui, sous couvert d’IA, nel ; et la répartition contractuelle des
proposent en réalité des produits ou ser- Avocat associé
responsabilités(2). Les régulations secto- De Gaulle
vices informatiques ne générant pas de rielles dont l’examen peut s’avérer essen- Fleurance et
spécificités sous un angle juridique (par tiel ne seront pas abordées ici. Associés
exemple, un progiciel) et d’autre part, des
solutions d’IA à proprement parler qui
méritent une attention particulière dès
lors que leur encadrement contractuel
I. – Proposition d'un modèle
reste à baliser (solution d’IA). d'analyse juridique des
objets de droit composant
Dans cette seconde hypothèse, afin de une solution « IA »
sécuriser autant que possible le rapport
Afin de sécuriser contractuellement la
contractuel en cause, il est nécessaire de
mise à disposition et l’exploitation d’une
comprendre quels objets de droit com-
solution d’IA, il est nécessaire de s’inté-
posent une IA, afin de déterminer en
resser d’une part au modèle économique
toute connaissance de cause le régime
du fournisseur d’IA et d’autre part, au ré-
que les parties souhaitent convenir. À cet
gime qui conduira le sort des objets de
égard, la première partie de cet article
droits constitutifs d’une solution IA.
expose un modèle d’analyse des compo-
santes d’une solution d’IA, ses éléments s’agissant d’abord des modèles écono-
et leurs interactions. miques qui peuvent être actuellement
rencontrés sur le marché, une première
typologie permet de distinguer trois
(1) Cet article fait suite à la conférence « Démystifier principaux modèles :
et comprendre l'Intelligence Artificielle : condi-
tions nécessaires à une approche juridique sereine
• IA « sur l’étagère » : IA, type progi-
et sécurisée » organisée le 14 mars 2019 par le ciel, très spécialisée, dont la struc-
cabinet De Gaulle Fleurance et Associé. Les au- ture n’évolue pas ou peu au contact
teurs remercient m. Coulaud, Directeur juridique,
microsoft France et m. Hindi, président fondateur,
snips, pour leur participation ainsi que J. roussel,
avocat et J. bader, juriste, pour leurs précieuses (2) Les régulations sectorielles dont l’examen peut
contributions. s’avérer essentiel ne seront pas abordées ici.
22 Revue Lamy Droit des Affaires Nº 151 septembre 2019Dossier
IA et droit : dépasser la fiction pour une approche juridique raisonnée
des données intégrées. La fourniture de ce type de ensuite, il est nécessaire d’appréhender les objets de
solution d’IA est le plus souvent encadrée par des droit composant une solution d’IA. Une bonne compré-
conditions générales d’utilisation similaires à celles hension des éléments en présence et de leurs interactions
d’un progiciel ; est en effet essentielle lorsqu’il s’agit d’encadrer contrac-
tuellement un projet d’IA « sur mesure ».
• IA « as a service » : IA mise à disposition sur une
plateforme Cloud permettant à l’utilisateur d’ex- Comme le montre le schéma ci-dessous, une solution d’IA
ploiter des modèles d’IA (ex : microsoft Azure, Goo- peut être présentée comme étant composée de quatre
gle Cloud platform, Amazon Web services). La four- éléments majeurs :
niture de ce type de solution d’IA est le plus souvent
encadrée par des conditions générales d’utilisation résultat de ce processus d’apprentissage, le modèle est
similaires à celles d’un service de Cloud ; alors mis en exploitation pour générer, sur la base de don-
nées d’exploitation, un ensemble d’informations présen-
• IA « sur mesure » : IA intégrée et développée ad hoc tées sous une forme quelconque, les données de résultat.
dans le cadre d’un projet informatique pour les be-
soins d’une activité spécifique d’une organisation. Ces quatre objets peuvent être regroupés en deux
selon son niveau de complexité la fourniture de ce sous-ensembles.
type de solution d’IA devra être encadrée par un Un premier ensemble regroupe les objets constitutifs des
contrat ad hoc de type projet informatique. prérequis au développement d’une solution d’IA. Il s’agit
des données d’apprentissage et l’algorithme initial, dési-
gnés ci-dessous sous l’intitulé technologie de base (Back-
ground technology). selon les modèles, ces deux objets
peuvent résulter d’apports exclusifs (le fournisseur ap-
porte l’algorithme initial et le client apporte les données
d’apprentissage) ou d’apports croisés (l’algorithme initial
résulte de la combinaison des algorithmes du fournisseur
et de technologies du client ou encore, les données d’ap-
prentissage apportées par le client sont toutefois cali-
brées par le fournisseur).
Un second ensemble regroupe les objets qui résultent du
processus d’apprentissage conduisant au développement
du modèle et à l’exploitation de celui-ci pour générer les
données de résultat : technologie développée (Foreground
premier objet, le moteur d’une solution d’IA performante technology) (v. schéma p. 24).
est constitué par la combinaison d’algorithmes auxquels
peuvent s’ajouter d’autres technologies (par exemple :
logiciel, savoir-faire) : l’algorithme initial. en vue de son II. – Encadrement contractuel d’une
exploitation pour une finalité spécifique, ce premier objet solution d’IA : points d'attention sur
doit faire l’objet d’un processus d’apprentissage. les problématiques récurrentes et
Cet apprentissage implique l’élaboration d’un deuxième recommandations
objet : un ou plusieurs jeux de données (les données d’ap- Une fois bien intégrés les objets de droit composants
prentissage) dont la nature propre permet de développer, d’une solution d’IA, il est possible d’analyser toute ques-
sur la base de l’algorithme initial, un troisième objet : une tion juridique susceptible d’être levée dans le cadre de son
solution d’IA appliquée à un domaine spécifique et répon- cycle de vie. La seconde partie de cet article se concentre
dant à une fonctionnalité particulière (le modèle). sur les problématiques récurrentes que les parties à un
Nº 151 septembre 2019 Revue Lamy Droit des Affaires 23contrat de fourniture de solution d’IA ne manqueront pas lors, ces éventuelles licences, leur périmètre d’utilisation
d’aborder afin de sécuriser leur relation. et la gestion du savoir-faire associé, doivent être prévus
contractuellement entre les parties.
A. – Propriété intellectuelle : de la
bien évidemment, une confidentialité particulièrement
détermination des apports à la
stricte doit encadrer ces rapports et la fourniture des ob-
technologie de base aux droits
jets respectifs par les parties.
d’exploitation de la technologie
développée Après avoir encadré les objets respectifs apportés par
les parties dans le cadre du projet IA (« technologie de
pour chacun des objets de droit constitutifs d’une IA (voir
base »), les parties devront prévoir les conséquences de
ci-dessus I), il est nécessaire de s’interroger sur le meilleur
cette union des apports (« technologie développée »).
encadrement contractuel susceptible d’apporter un équi-
libre entre le client et le fournisseur d’IA.
➜ Technologie développée
➜ Technologie de base Le point essentiel qu’il est nécessaire de prévoir est ce-
lui de la propriété et de l’éventuelle réutilisation du mo-
pour ce faire, dès le stade des « technologies de base»,
dèle entrainé. C’est le cœur même de la spécificité de la
il faut être capable d’identifier précisément les apports
contractualisation de l’IA. en effet, le modèle entrainé
(informations, données, technologies…) de chacune des
constitue la fusion des apports respectifs des parties : le
parties et les règles d’utilisation de ces apports.
modèle ne pourrait exister sans les données d’apprentis-
en premier lieu, le sort des données d’apprentissage du sage du client, ni sans l’algorithme initial. mais surtout,
client qui serviront à nourrir l’algorithme doit être préci- en ayant été nourri par les données d’apprentissage, il
sément encadré. Ces données constituent une partie in- constitue en quelque sorte une synthèse des données du
déniable du patrimoine du client. s’il fait appel à l’IA, c’est client ayant servi à son apprentissage, ce dont le client n’a
pour extraire de ces données toute leur valeur. Contrac- pas forcément conscience. Ces données d’apprentissage,
tuellement, le client autorisera au fournisseur d’IA à accé- souvent amassées sur de très longues années, ont une va-
der, extraire et utiliser ces données dans le cadre du projet leur particulièrement importante. Le modèle entrainé est
les liant, en excluant tout transfert de propriété sur ces donc susceptible d’intégrer des données d’apprentissage
données. dans lesquelles le client a investi énormément de temps
et d’argent.
en second lieu, le rôle joué par l’algorithme initial est
également central. Cet algorithme initial est fourni par Ces points de négociation sont fondamentaux pour le
le fournisseur d’IA. souvent composé d’une combinaison client et peuvent-être de nature à orienter le choix entre
d’algorithmes open source, il n’en demeure pas moins que plusieurs fournisseurs d’IA, notamment selon la typologie
la question de sa protection et de sa propriété doit être de projet pour lequel la solution d’IA est développée.
prévue dans le cadre contractuel. bien qu’un algorithme À titre d’exemple, dans un environnement fortement
ne soit pas protégeable au titre du droit d’auteur par na- concurrentiel, le client pourrait souhaiter que le modèle
ture(3), les algorithmes sont intégrés à un logiciel qui est entrainé, en ce qu’il intègre ses données d’apprentissage,
susceptible de leur conférer une protection au titre du reste sa seule propriété afin d’éviter, par exemple, qu’un
droit d’auteur des logiciels ou éventuellement à un brevet, concurrent bénéficie du modèle entrainé grâce à ces don-
sous réserve de satisfaire aux critères de brevetabilité. Dès nées.
Dans d’autres typologies de solution, le fournisseur d’IA
(3) rapport France IA, mars 2017, Intelligence artificielle et enjeux juri- pourrait souhaiter réutiliser le modèle entrainé grâce
diques, p. 295. aux données d’apprentissage d’un client auprès de ses
24 Revue Lamy Droit des Affaires Nº 151 septembre 2019Dossier
IA et droit : dépasser la fiction pour une approche juridique raisonnée
propres clients. Le fournisseur d’IA est même susceptible que le fournisseur n’a pas de contrôle sur ces données.
de mettre en avant son savoir-faire dans un secteur par- toutefois, la responsabilité pourrait être distribuée entre
ticulier et ses modèles déjà pré-entrainés pour conquérir le fournisseur et le client, voire peser sur le fournisseur
de nouveaux marchés. Cette autorisation d’utilisation du dans l’hypothèse où ce dernier a également pour mission
modèle entrainé peut faire l’objet d’une rémunération du de configurer et de nettoyer le jeu de données fourni par
client (si on estime qu’il est copropriétaire du modèle en- le client. en effet, les projets d’IA contiennent souvent une
trainé) ou d’une réduction du prix de la solution d’IA. phase préparatoire de calibration des données d’appren-
tissage qui seront utilisées pour nourrir l’algorithme. Le
Les parties pourront également négocier, à titre d’exemple,
fournisseur d’IA est censé aider le client, au moins au titre
une propriété exclusive, une copropriété ou encore une li-
de son obligation de conseil, pour calibrer les données
cence d’utilisation du modèle entrainé au fournisseur d’IA
pour les besoins du projet d’IA.
pour ses besoins de recherche et de développement, sans
qu’il puisse céder le modèle entrainé à des tiers. L’encadre- en tout état de cause, il faut avoir conscience que des dif-
ment contractuel devra également prévoir le cas échéant ficultés pourront se poser quant à la détermination de la
les modalités de dépôt et de cession d’éventuels brevets composante à l’origine du fait générateur, cause du dom-
issus du modèle entrainé. mage. en effet, les solutions d’intelligence artificielle ne
enfin, les parties pourront également prévoir le sort des sont pas toujours transparentes. C’est notamment le cas
données de résultat issues du traitement par le modèle. des solutions d’intelligence artificielle utilisant la tech-
Ces données sont de nature à intéresser le fournisseur nologie du deep learning (apprentissage profond) dont
d’IA pour mieux comprendre le fonctionnement du mo- l’utilisation crée un phénomène appelé « boîte noire » : il
dèle créé et, partant, celui des autres modèles qu’il déve- est possible de comprendre quelles données entrent dans
loppe pour ses autres clients. bien que la propriété de ces la « boîte » et les résultats qui en sortent, mais sans sa-
données de résultat au client ne fasse pas de doute(4), ce voir ni comprendre ce qui se passe à l’intérieur. Dès lors,
dernier peut accorder au fournisseur d’IA une licence pour il est parfois impossible de comprendre les étapes ayant
une utilisation limitée en interne. conduit au résultat erroné.
B. – Responsabilité : recherche d'un équilibre L’enjeu pour le client sera donc de comprendre quelles
au vu des contributions respectives technologies sont utilisées et les conséquences de leur uti-
lisation afin de pouvoir négocier en connaissance de cause
La gestion de contours de la responsabilité et ses limita- les éventuelles répartitions et limitations de responsabi-
tions dans le cadre d’un projet d’IA est complexe. Une so- lité avec le fournisseur d’IA. Dans ce cadre, compte tenu
lution d’IA est développée le plus souvent pour constituer de la complexité technologique, il peut être opportun de
une aide à la décision. Dès lors, si la solution préconisée prévoir en amont un système d’audit et d’expertise de la
par l’IA cause un dommage, toute personne ayant subi un solution d’IA par un tiers qui sera à même d’apprécier les
préjudice direct est susceptible d’en demander réparation. causes de défaillance potentielles du système.
L’origine distribuée des apports respectifs du fournisseur
d’IA et du client entraine des conséquences en terme de C. – Protection des données à caractère
responsabilité qu’il est nécessaire de prévoir dès le stade personnel et Big Data : une réconciliation
de la contractualisation. nécessaire
À titre d’exemple, la responsabilité du fournisseur d’IA
La question de la protection des données à caractère per-
pourrait être engagée dans l’hypothèse où le fait géné-
sonnel mérite une attention particulière dans le cadre
rateur du dommage est lié à un dysfonctionnement de
du développement et de l’exploitation de solutions d’IA.
l’algorithme initial qu’il a fourni. Dans cette hypothèse,
en effet, l’IA et en particulier le Big Data(5) se distinguent
le client devrait pouvoir être garanti et ne pas subir les
par une série de caractéristiques aux implications im-
conséquences d’un défaut de son fournisseur.
portantes quant au respect des exigences issues de la loi
en revanche, la responsabilité du client pourrait être en- n° 78-17 du 6 janvier 1978 relative à l’informatique (LIL),
gagée dans l’hypothèse où le fait générateur du dommage aux fichiers et aux libertés et du règlement (Ue) 2016/679
est lié à la fourniture de données d’apprentissage biaisées du parlement européen et du Conseil du 27 avril 2016, re-
ou défectueuses ayant conduit à l’entrainement défaillant latif à la protection des personnes physiques à l’égard du
de l’algorithme. Le client est en effet responsable du jeu traitement des données à caractère personnel et à la libre
de données d’apprentissage qu’il décide d’utiliser, tant circulation de ces données (rGpD).
(4) Une clause permettant la réversibilité pour récupérer l’ensemble (5) ensembles de données très volumineux dont le traitement et l’ana-
des données initiales et des données de résultat est conseillée pour lyse dépasse l’intuition et les capacités informatiques et humaines
gérer le sort des données à l’issue du contrat. classiques.
Nº 151 septembre 2019 Revue Lamy Droit des Affaires 25Au-delà de la nécessité de déterminer contractuelle- thèse, l’audit révèle que les jeux de données comportent
ment les responsabilités respectives du fournisseur d’IA des données à caractère personnel non-anonymisées. Il
et de son client en tant que responsable de traitement, s’agira alors de se poser la question de la nécessité d’uti-
responsables conjoints ou sous-traitants, un certain liser des données à caractère personnel. si l’anonymisa-
nombre de points de vigilance doivent nécessairement tion n’est pas adaptée au projet, alors il faudra organiser
être abordés par les parties. sans vocation exhaustive, la mise en conformité de la solution d’IA avec l’ensemble
nous abordons ici les problématiques qui semblent in- des exigences énoncées par la LIL et le rGpD. Dans cha-
contournables. cune de ces situations, l’analyse devra tenir compte du
statut des données à la fois au stade du développement
premier point d’attention à considérer : la notion même de la solution d’IA et au stade de son exploitation qui,
de donnée à caractère personnel dans le contexte du Big si elle induit des recoupements, peut faire émerger un
Data. Étant rappelé qu’une donnée est qualifiée de per- risque de ré-identification n’existant pas ab initio. enfin,
sonnelle dès lors qu’elle permet d’identifier un individu il faut souligner que cet audit peut utilement être mis
directement ou indirectement(6), certaines études sou- à profit afin, d’une part, de garantir l’intégrité, l’exacti-
tiennent que la notion d’identification indirecte prend tude, la nécessité et la pertinence des données objet du
une nouvelle dimension dans le cadre de traitements traitement(9) et, d’autre part, mettre en œuvre le principe
Big Data dès lors que cette technologie induit un risque de protection des données dès la conception (privacy by
exponentiel de ré-identification(7). La mise en œuvre de design) et celui de protection des données par défaut
techniques de recoupement massifs et d’agrégation de (privacy by default)(10).
données, qui, prises isolément sont considérées comme
anonymes, permettrait de manière indirecte, dans de ensuite, il convient de mettre en regard les principales
nombreux cas, la ré-identification d’individus et donc caractéristiques des traitements reposant sur une tech-
l’application des exigences issues des textes précités. nologie Big Data avec les règles de protection des don-
nées à caractère personnel.
Ce constat conduit à une première recommandation
pratique : la nécessité de conduire un audit des jeux de
en premier lieu, le Big data implique la collecte et le
données utilisées tant en leur qualité de données d’ap-
traitement d’autant de données que possible. Comment
prentissage que de données d’exploitation. La raison
ménager cet impératif technique avec le principe de mi-
d’être de cette analyse sera de déterminer l’applicabilité
nimisation des données issu de l’article 5(1)(c) ?
des règles de protection des données à caractère per-
sonnel. trois situations principales peuvent être distin-
s’il n’existe pas de réponse tranchée à cette question,
guées. en premier lieu, l’étude permet de confirmer que
une première piste de gestion du risque réside sans doute
les jeux de données n’ont pas de caractère personnel et
dans la réalisation de l’audit des jeux de données préco-
donc d’écarter a priori l’application du rGpD et de la LIL.
nisée ci-dessus. Cette analyse doit permettre d’écarter
en second lieu, il peut s’avérer que les jeux de données
les données dont le caractère adéquat et nécessaire ne
contiennent au moins en partie des données à caractère
pourrait être démontré. De même, un jeu de données
personnel qui ont cependant été l’objet d’un procédé
qui révèlerait des inexactitudes devrait faire l’objet d’un
d’anonymisation. Il s’agira alors de vérifier la robus-
nettoyage, en particulier dès lors qu’il pourrait générer
tesse du procédé employé(8) pour écarter tout risque de
des biais dans le fonctionnement de la solution d’IA. Une
ré-identification et, par voie de conséquence, l’applica-
seconde piste consiste à réaliser une analyse d’impact
tion des règles issues des textes précités. Dernière hypo-
au sens des articles 35 et 36 du rGpD. son objet est pré-
cisément d’évaluer la nécessité et la proportionnalité
des opérations de traitement au regard de leurs finali-
(6) rGpD, art. 4(1) « "données à caractère personnel", toute informa- tés afin d’identifier et d’atténuer le risque élevé pour les
tion se rapportant à une personne physique identifiée ou identifiable
(ci-après dénommée "personne concernée") ; est réputée être une personnes concernées. Il faut préciser que la réalisation
"personne physique identifiable" une personne physique qui peut être d’une telle analyse est obligatoire dans de nombreuses
identifiée, directement ou indirectement, notamment par référence à situations. par exemple, en cas de traitement à grande
un identifiant, tel qu’un nom, un numéro d’identification, des données échelle de données sensibles au sens de l’article 9 du
de localisation, un identifiant en ligne, ou à un ou plusieurs éléments
spécifiques propres à son identité physique, physiologique, génétique,
psychique, économique, culturelle ou sociale ».
(7) Dans ce sens, par exemple : President’s Council of Advisors on Science (9) rGpD, art. 5(1). : « Les données à caractère personnel doivent être : […]
and Tecnology. Big data and privacy. A technological perspective. (c) adéquates, pertinentes et limimtées à ce qui est nécessaire au regard
White House, mai 2014 ; C. Zolynski et A. bensamoun, Actes du col- des finalités pour lesquelles elles sont traitées (minimisation des don-
loque big data et privacy : comment concilier nouveaux modèles nées) ; (d) exacte et, si nécessaire, tenues à jour, toutes les mesures raison-
d’affaires et droits des utilisateurs ?, montréal, 15 oct. 2013 : LpA, nables doivent être prises pour que les données à caractère personnel qui
18 août 2014. sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées,
(8) V. Groupe de travail protection des données, l’article 29, opinion soit effacées ou rectifiées sans tarder (exactitude) ».
05/2014 on Anonymisation techniques, 10 avr. 2014. (10) rGpD, art. 25.
26 Revue Lamy Droit des Affaires Nº 151 septembre 2019Dossier
IA et droit : dépasser la fiction pour une approche juridique raisonnée
rGpD ou de profilage de personnes sur la base de don- nation de la ou les finalités correspondant au traitement
nées provenant de sources externes(11). Big data. Cette réflexion doit intégrer les finalités suscep-
tibles d’être anticipées ab initio ainsi que leur compati-
en deuxième lieu, le Big Data repose sur une exploitation bilité avec la finalité initiale. pour ce faire, il s’agit de se
des données ne permettant pas toujours de déterminer la référer au test de compatibilité issu de l’article 6.4 du
finalité des traitements de manière précise, en amont de rGpD(19). Les critères énoncés par cet article reposent sur
leur mise en œuvre. en effet, le processus d’apprentissage le lien suffisant avec la finalité initiale, le contexte et les
de l’algorithme initial donne lieu en cours de processus attentes raisonnables des personnes concernées au stade
à des calculs et corrélations non anticipées. Ces opéra- de la collecte, la nature des données et en particulier leur
tions sont susceptibles de réorienter les finalités du trai- caractère sensible ou non(20), les conséquences possibles
tement(12). De prime abord, cette caractéristique semble du traitement ultérieur envisagé et les garanties mises en
difficilement réconciliable avec le principe de finalité(13) œuvre, y compris, le chiffrement ou la pseudonymisation.
qui, selon l’article 5 du rGpD, impose de déterminer à
l’avance, de manière spécifique, l’objectif ou les objectifs
du traitement(14) afin de les porter à la connaissance des Une seconde recommandation concerne la transparence
personnes concernées(15) dès le stade de la collecte(16). et la loyauté vis-à-vis des personnes concernées. Le niveau
d’information fourni par le responsable de traitement par-
en pratique, il faut d’abord relever que cette question ticipe de la compréhension des finalités du traitement. Ain-
aura une acuité variable selon le type de solution d’IA si, le contexte du traitement, son objectif, le type de don-
dont le développement ou l’exploitation est envisagée. nées collectées, leurs destinataires sont autant d’éléments
par exemple, une IA « sur l’étagère » proposant une fonc- qui doivent entrer en considération afin de déterminer si
tionnalité spécifique ne semble pas poser de difficulté. De une finalité nouvelle peut être anticipée par les personnes
plus, il faut préciser que s’agissant de traitements à des concernées au titre de leurs attentes raisonnable(21).
« fins statistiques », le rGpD et la LIL apportent des pré-
cisions qui peuvent permettre de diminuer le risque d’in- en troisième et dernier lieu, selon les technologies mises
compatibilité avec la finalité initiale(17). en œuvre, le Big Data se caractérise par une opacité des
traitements. Comme exposé précédemment, certaines
pour les solutions d’IA plus complexes, la gestion du risque
solutions d’intelligence artificielle utilisant la technologie
associé à cette question de la finalité doit être abordée
du Deep Learning engendrent, en effet, un phénomène
sous le double prisme de la notion de traitement ultérieur
appelé « boîte noire ». Cette caractéristique mérite une
compatible avec la finalité initiale(18), d’une part, et de l’in-
attention particulière au regard des obligations de trans-
formation des personnes concernées, d’autre part.
parence et d’explicabilité issues du rGpD. tout spécia-
Une première recommandation consiste à travailler au- lement, s’agissant des applications d’IA en matière de
tant que possible, en amont du traitement, à la détermi- « prise de décision automatisée, y compris de profilage »(22),
les articles 13 et 14 imposent une information relative à la
« logique sous-jacente » de la prise de décision automa-
(11) CNIL, Liste des types d’opérations de traitement pour lesquelles une tisée(23). L’article 47 de la LIL évoque la communication des
analyse d’impact relative à la protection des données est requise règles du traitement et de ses principales caractéristiques
. cipe de prohibition des décisions prises sur le seul fonde-
(12) N. Forgo, s. Hänold, b. schütze, The Principle of Purpose Limitation and ment d’un traitement automatisé de données à caractère
Big Data, in New Technology, Big Data and the Law : springer, 2017.
personnel. n
(13) Cons. const., 21 fevr. 2008, n° 2008-562 DC et G29, Wp203, Opi-
nion on purpose limitation, 2 avr. 2013, p. 14.
(14) s. soltani, « big data » et le principe de finalité, rLDI 2013/97,
n° 3233. (19) V. aussi rGpD, cons. 50.
(15) rGpD, art. 13 et 14. (20) GpD art. 9 et 10.
(16) rGpD, cons. 39. (21) G29, Wp203, Opinion on purpose limitation, 2 avr. 2013.
(17) LIL, art. 79 et rGpD, art. 14(5) et cons. 162 : « […] Par "fins statis- (22) rGpD, art. 22 qui prévoit au bénéfice des personnes concernées, le
tiques", on entend toute opération de collecte et de traitement de don- « droit de ne pas faire l'objet d'une décision fondée sur un traitement
nées à caractère personnel nécessaires pour des enquêtes statistiques automatisé, y compris le profilage, produisant des effets juridiques la
ou la production de résultats statistiques. Ces résultats statistiques concernant ou l'affectant de manière significative de façon similaire »
peuvent en outre être utilisés à différentes fins, notamment des fins de et LIL, art. 47.
recherche scientifique. Les fins statistiques impliquent que le résultat (23) V. aussi rGpD, cons. 71 : « En tout état de cause, un traitement de ce
du traitement à des fins statistiques ne constitue pas des données à ca- type devrait être assorti de garanties appropriées, qui devraient com-
ractère personnel mais des données agrégées, et que ce résultat ou ces prendre une information spécifique de la personne concernée ainsi
données à caractère personnel ne sont pas utilisés à l’appui de mesures que le droit d’obtenir une intervention humaine, d’exprimer son point
ou de décisions concernant une personne physique en particulier ». de vue, d’obtenir une explication quant à la décision prise à l’issue de
(18) rGpD, art. 5 autorise les traitements ultérieurs dès lors qu’ils sont ce type d’évaluation et de contester la décision. Cette mesure ne de-
compatibles avec la finalité initiale. vrait pas concerner un enfant. ».
Nº 151 septembre 2019 Revue Lamy Droit des Affaires 27RLDA 6782
IA et assurance
Les assureurs peuvent bénéficier de l'IA afin d'améliorer les techniques de
souscription, de gestion de sinistre et de lutte contre la fraude. Les assureurs de
responsabilité civile des professionnels voient un nouveau marché s'ouvrir : celui de
Luc GRYNBAUM
la responsabilité du fait de l'utilisation d'une IA et de la responsabilité du fait d'une
Professeur à
IA défectueuse. l’Université Paris
Descartes
théorisé dans les 1950(1), le concept d’in- rale »(4) qui correspond peu ou prou à celle Avocat Of
telligence artificielle a pu se réaliser plei- entre IA faible et IA forte. Dans une sorte de Counsel De Gaulle
nement grâce à la rencontre du Big Data et situation intermédiaire on peut identifier l’IA Fleurance &
en apprentissage profond qui est en mesure associés
de l’accroissement des capacités de stoc-
kage et de calcul. Aussi, en adoptant la d’améliorer ses performances en apprenant
définition de la Commission européenne, au fur et à mesure de sa mise en œuvre.
peut-on considérer que l’intelligence arti-
si, en France, le rapport Villani(5) a permis
ficielle (IA) « désigne les systèmes qui font
une réflexion ordonnée sur les grands mé-
preuve d’un comportement intelligent en rites du développement de l’IA, c’est au
analysant leur environnement et en pre- parlement et à la Commission européenne
nant des mesures avec un certain degré que reviennent le mérite d’une incitation
d'autonomie pour atteindre des objectifs à une évolution législative à propos de l’IA
spécifiques »(2). La même Commission pré- et des robots qui sont des IA dotées d’une
cise que « les systèmes dotés d'IA peuvent enveloppe physique « qui agit par le mouve-
être purement logiciels, agissant dans le ment par et sur le monde réel »(6).
monde virtuel (assistants vocaux, logiciels
d'analyse d'images, moteurs de recherche pour que le robot soit considéré comme in-
ou systèmes de reconnaissance vocale et telligent, le parlement européen a mis en
faciale, par exemple) mais l'IA peut aussi exergue les critères suivants :
être intégrée dans des dispositifs maté- • « acquisition d’autonomie grâce à des
riels (robots évolués, voitures autonomes, capteurs et/ou à l’échange de données
drones ou applications de l'internet des ob- avec l’environnement (interconnectivité)
jets, par exemple) »(3). et à l’échange et l’analyse de ces don-
nées ;
On établit souvent une distinction entre IA
• capacité d’auto-apprentissage à travers
faible et IA forte, cette dernière étant ca-
l’expérience et les interactions (critère
pable de produire un comportement intel- facultatif) ;
ligent et d’éprouver une conscience de soi.
L’IA faible, qui résulte d’algorithmes créés • existence d’une enveloppe physique,
par des ingénieurs, ne peut qu’exécuter des même réduite ;
tâches spécifiques. Dans le même esprit, • capacité d’adaptation de son compor-
mais plus récemment, une distinction a tement et de ses actes à son environne-
été opérée entre « l'intelligence artificielle ment ;
étroite et l'intelligence artificielle géné- • non vivant au sens biologique du
terme »(7).
(1) A. turing, Computing machinery and intelligence,
Oxford University press, vol. 59, n° 236, oct.
1950 ; F. rosenblatt, Principles of Neurodynamics: (4) pe, rés. 12 févr. 2019, sur une politique industrielle
Perceptrons and the Theory of Brain Mechanisms, européenne globale sur l’intelligence artificielle
éd. spartan books, 1962. et la robotique (2018/2088(INI)), n° 116.
(2) Comm. Ue, communication, COm(2018) 237 fi- (5) Donner un sens à l’intelligence artificielle,
nal, L’intelligence artificielle pour l’europe, 25 avr. 28 mars 2018.
2018, p. 1. (6) Ibid.
(3) Ibid, p. 1. (7) pe, rés. 12 févr. 2019, préc.
28 Revue Lamy Droit des Affaires Nº 151 septembre 2019Dossier
IA et droit : dépasser la fiction pour une approche juridique raisonnée
enfin la notion d’autonomie, fréquemment évoquée pour Le chatbot permet de mieux orienter le candidat souscrip-
caractériser une IA forte a été caractérisée pour le robot teur à un contrat d’assurance et de dispenser le devoir de
comme « la capacité à prendre des décisions et à les mettre conseil renforcé depuis la réforme de la distribution d’as-
en pratique dans le monde extérieur, indépendamment de surance(14). en outre la blockchain (sorte de registre éten-
tout contrôle ou influence extérieurs »(8). du de transactions horodatées et classées, distribuées sur
un ensemble de machines) offre la sécurité d’une base de
Après avoir posé les définitions, dans une approche
données, sécurisée, inviolable et non falsifiable qui n’est
normative, de l’IA et du robot, il convient de relater les
pas contrôlée par une personne déterminée.
ébauches d’encadrement juridique de ces entités. Dans
une première résolution le parlement européen a consi-
déré qu’il était « utile et nécessaire de définir une série de Le secteur de l’assurance peut
règles, notamment en matière de responsabilité, de trans-
parence, et d'obligation de rendre des comptes », mais
bénéficier comme les autres
« que ces règles ne doivent pas brider la recherche, le dé- services des apports des nouvelles
veloppement et l'innovation dans le domaine de la robo-
tique »(9). puis, la Commission européenne dans une com-
technologies pour renouveler sa
munication du 25 avril 2018 a souhaité qu’il soit établi des pratique.
lignes directrices concernant l’éthique de l’IA dans le res-
pect des droits fondamentaux, qu’il soit publié un docu-
ment d’orientation sur l’interprétation de la directive sur L’une des autres applications consiste de la blockchain
la responsabilité du fait des produits défectueux et que les dans l’outil smart contract. L’expression constitue à nos
lacunes en matière de responsabilité soient identifiées(10). yeux un faux ami. Il ne s’agit pas d’une convention née de
Le parlement européen a repris l’initiative en adoptant la rencontre d’une offre et d’une acceptation produisant
une nouvelle résolution dans laquelle il est demandé à des effets de droit. Nous sommes en présence le plus sou-
la Commission d’améliorer la réglementation en ce qui vent, d’un procédé automatique d’exécution d’un contrat
concerne l’IA(11) tout en constatant qu’un groupe de travail cadre plus vaste et/ou préexistant. par exemple, une assu-
sur la modification de la directive sur la responsabilité du rance retard dans laquelle l’indemnisation serait déclen-
fait des produits défectueux a été installé(12). Il demande chée par le chaînage avec le logiciel du transporteur qui
en outre la mise en place de règles éthiques, que le dé- enregistre les heures d’arrivée ; ce système de paiement
veloppement de l’IA respecte les règles sur les données automatisé constituerait un smart contract ; de même que
personnelles et qu’il soit laissé une place aux citoyens eu- le paiement par un régime de base en assurance maladie
ropéens qui souhaitent vivre hors ligne(13). déclencherait automatiquement le paiement du complé-
ment. en outre, l’IA peut aider à la détection des fraudes.
Le secteur de l’assurance peut, comme tous les autres, bé-
néficier de ces nouvelles technologies et il lui appartient A. – IA et souscription du contrat d’assurance
aussi d’apporter une réponse d’accompagnement aux
éventuelles responsabilités. La première étape pour un assureur consiste à l’identifi-
cation de son souscripteur (celui qui conclue le contrat)
et de son assuré (celui sur qui pèse le risque). L’IA per-
met déjà de créer des chatbots qui orientent le choix du
I. – L'assurance bénéficiaire de l'IA souscripteur en ligne ou par téléphone(15). Le choix du bon
Le secteur de l’assurance peut bénéficier comme les contrat et la réalisation du devoir de conseil par une telle
autres services des apports des nouvelles technologies méthode permettent de tracer les échanges et de les en-
pour renouveler sa pratique. en effet, dans le cadre de registrer dans un secteur où l’ACpr est très vigilante.
la souscription, le chatbot intelligent et la technologie
blockchain sont en mesure d’opérer une nouvelle évolu- De surcroît, pour mieux connaître le souscripteur et lui
tion. permettre aussi de fournir des informations plus rapide-
ment, il serait possible que ce dernier dispose d’un « je-
ton » toujours identique sur la blockchain avec ses infor-
mations identifiantes ; elles pourraient être utilisées pour
toutes sortes de services de nature financière. en premier
(8) pe, rés. 12 févr. 2019, préc. lieu, il faut qu’une telle pratique soit en accord avec l’ar-
(9) pe, rés. 16 févr. 2017, contenant des recommandations à la Com- ticle 6 du règlement (Ue) n° 2016/679 du 27 avril 2016,
mission concernant des règles de droit civil sur la robotique
(2015/2103(INL).
(10) Comm. Ue, communication préc., p. 20.
(14) C. assur., art. L. 511-1 et s. ; ord. n° 2018-361, 16 mai 2018, transpo-
(11) pe, rés. 12 févr. 2019, préc., n° 114. sant la directive distribution d’assurance 2016/97 du 20 janv. 2016.
(12) pe, rés. 12 févr. 2019, préc., n° 131. (15) en respectant les prescriptions de l’art. L. 112-2-1 du code des assu-
(13) pe, rés. 12 févr. 2019, préc., n° 138 à 142. rances.
Nº 151 septembre 2019 Revue Lamy Droit des Affaires 29relatif à la protection des personnes physiques à l’égard dernier ne peut donc imposer aucune forme spécifique(18).
du traitement des données à caractère personnel et à la L’IA peut donc se déployer librement dans la gestion de
libre circulation de ces données entré en vigueur le 25 mai sinistre et le règlement des prestations prévues par le
2018 (ci-après rGDp). contrat.
en outre, en matière de garantie IArD portant sur de l’as- en premier lieu, le smart contract, outil d’exécution du
surance de choses (vol, incendie, dégât des eaux…), si l’as- contrat cadre d’assurance, peut devenir le support du dé-
sureur veut pouvoir opposer à son assuré ses déclarations clenchement du remboursement automatique de pres-
préalables pour lui imputer ensuite une mauvaise ou une tations qui sont commandées par la mise en œuvre d’un
fausse déclaration, il doit le faire par un questionnaire et régime de base en santé. Cet outil peut également être
non par une simple affirmation préétablie(16). Les réponses utilisé pour le paiement de dommages quand des logiciels
recueillies par le chatbot et le « jeton » comportant des associés à des capteurs transmettent des informations
informations sur l’assuré, que nous avons évoqué dans la livrées par un objet connecté. en assurance auto des pro-
technologie blockchain, pourraient être intéressants, mais fessionnels de santé, un dépannage ou une mise à disposi-
l’assureur devra continuer de poser systématiquement tion d’un véhicule de prêt est tout à fait imaginable.
des questions s’il souhaite des informations plus précises
en assurance vie-décès, la mise en place d’un smart
ou renouvelées sur le risque à assurer.
contract n’est pas, en revanche, d’emblée convaincante
pour verser le capital ou la rente au bénéficiaire, car il
Si l’IA est un outil prometteur, elle convient de bien identifier ce dernier avant de procéder
au versement de la prestation. tout au plus, cela permet-
doit aussi pour l’assureur consister trait-il à l’assureur vie de déclencher une alerte avec une
en un nouvel objet à assurer. obligation de recherche du bénéficiaire.
par ailleurs, l’IA permet de créer de puissants outils contre
Il est également évoqué, grâce au recueil d’informations la fraude en détectant les anomalies dans les déclarations
par une IA parcourant les données disponibles sur le ré- de sinistres grâce au rapprochement de données propres
seau Internet et à la technologie blockchain, la possibili- à l’assuré et de données plus générales collectées grâce
té de mesurer la fiabilité des informations sur un assuré. au Big Data. par exemple, des informations recueillies par
Cependant, une fois encore la limite de l’usage de toutes l’assureur sur un réseau social dédié aux carrières profes-
donnée quelle que soit sa source réside dans la conformité sionnelles pourraient être intéressantes comme élément
du traitement des données au rGDp. de fait pour prouver une éventuelle fraude de l’assuré ;
toutefois la collecte de la preuve doit être loyale(19) et, de
enfin, en matière de conclusion du contrat, il est évoqué nouveau, la collecte des données identifiantes doit être
les contrats collaboratifs en assurance qui utiliseraient le conforme au rGDp.
p2p (peer to peer). Cette technique pourrait servir entre
si l’IA est un outil prometteur, elle doit aussi pour l’assu-
assureurs, voire, par l’usage de la DAO (Decentralized Au-
reur consister en un nouvel objet à assurer.
tonomous Organization), entre individus non assureurs.
sur ce dernier point toutefois, rappelons qu’il n’est pas
possible de développer une activité d’assurance sans agré-
ment en France ou au sein de l’Union européenne(17). Ce II. – Assurance et responsabilité du fait
que l’on peut imaginer, c’est que le développement de ces d'une IA
technologies facilite l’entrée de nouveaux acteurs sur les
Il existe d’ores et déjà en droit une réponse si un dommage
garanties non obligatoires en assurance exploitation et,
était provoqué par le fonctionnement d’une IA ou d’un ro-
pour l’essentiel, en complémentaire santé. Ces nouvelles
bot. en effet, un juge qui serait saisi de la réparation d’un
technologies sont également porteuses d’évolution en
dommage du fait d’une IA ou d’un robot serait obligé de
matière de demande de prestations et de déclaration de
statuer sur la demande d’indemnisation en appliquant le
sinistre.
droit positif.
B. – IA et gestion des prestations On peut alors prendre deux exemples qui pourraient il-
lustrer les solutions applicables en cas de dommage : le
L’article L. 113-2, 4° du code des assurances impose à l’as- chatbot intelligent utilisé par un assureur, qui conduirait
suré de déclarer son sinistre. Cette déclaration consiste à systématiquement à délivrer un conseil erroné à un sous-
porter à la connaissance de l’assureur un fait juridique, ce
(18) Cass. civ. 4 juin 1945, rGAt 1945, p. 151, note A. besson.
(16) Cass. ch. mixte, 7 févr. 2014, n° 12-85.107, bull. ch. mixte, n° 1. (19) Cass. ass. plén., 7 janv. 2011, n° 09-14.316 et 09-14.667, bull. Ass.
(17) C. assur., art. L. 310-1. plén. n° 1.
30 Revue Lamy Droit des Affaires Nº 151 septembre 2019Vous pouvez aussi lire
