Comment se protéger en l’absence de réglementation claire sur l’IA ?
La croissance fulgurante de l’usage de services tiers en intelligences artificielles (IA) pose de nouvelles questions juridiques pour les entreprises : quid du droit d’auteur ? Quid de la confidentialité des informations ? Quid de la territorialisation des données ? Face à ces enjeux, les parties prenantes s’organisent. Entre les recommandations d’approches réglementaires vis-à-vis des technologies IA, les décisions récentes et les appels d’experts à ralentir le développement de l’intelligence artificielle, voici un tour d’horizon à date du cadre juridique applicable aux usages de l’IA dans les entreprises.
Quel est le cadre juridique actuel de l’IA ?
Dans les entreprises, la présence d’algorithmes d’intelligences artificielles n’est pas nouvelle. En revanche, c’est la première fois qu’elle s’ouvre au plus grand nombre, par le biais de produits ou de services tiers accessibles depuis un navigateur web.
C’est aussi la première fois qu’une application « grand public » connaît une croissance aussi rapide. Selon une étude menée par UBS, relayée par siecledigital.fr, ChatGPT d’OpenAI a atteint en quelques semaines 100 millions d’utilisateurs mensuels actifs. Comme le rappelle le média en ligne, TikTok a mis 9 mois pour atteindre ce chiffre, et Instagram environ 2 ans et demi.
Face à l’ampleur du phénomène, des personnalités du monde de la tech et de l’intelligence artificielle ont appelé dans une lettre publiée le 29 mars à une « pause d’au moins 6 mois » dans le développement d’IA plus puissantes que ChatGPT-4, évoquant « des risques majeurs pour l’humanité ». D’autres comme Bill Gates (qui a investi 10 milliards de dollars dans OpenAI) trouvent qu’au contraire son développement « est aussi fondamental que la création du microprocesseur, de l’ordinateur personnel, de l’internet et du téléphone portable ».
Une chose est sûre, tout le monde s’accorde sur le fait que nous sommes à l’aube d’une nouvelle révolution des usages et qu’il conviendra de réfléchir rapidement à des garde-fous juridiques et éthiques. Oui, mais lesquels ?
Pas une IA mais des IA
L’intelligence artificielle, en tant que « discipline » scientifique, est bien trop vaste et trop hétérogène pour être encadrée par une réglementation d’un seul tenant. Chaque cas d’usage aura sans doute ses propres problématiques réglementaires, selon le type d’IA concernée : IA embarquée, IA de confiance, IA au service de la transition écologique, etc.
Par ailleurs, certaines composantes de l’intelligence artificielle sont susceptibles d’être protégées par un cadre législatif existant. Par exemple, dans le cas d’une IA génératrice « d’œuvres » la propriété intellectuelle (droit d’auteur, brevet, droit sui generis des bases de données…) peut s’appliquer dès lors qu’il est possible d’établir une intervention humaine suffisante dans le processus de création.
En revanche, la création générée par l’IA génératrice n’est pas protégeable en tant que telle : seuls les éléments effectivement créés par la personne humaine sont protégeables (par exemple, le « text prompt » utilisé et dicté à l’IA pour créer une image, la disposition des éléments, la composition).
Le Golden Rush des services à base d’IA amène aussi certains éditeurs de solutions à prendre quelques libertés avec le droit. Dans le cas des applications génératrices de code informatique, il semblerait que certaines IA se bornent parfois à recréer ligne par ligne du code déjà présent dans la masse de données sur laquelle elle a été entrainée. Et ce, sans pour autant reproduire la licence open source protégeant le code original : l’utilisateur final peut donc porter atteinte à la licence et ainsi aux droits des auteurs du code sans le savoir.
Face aux différentes zones d’ombre juridique entourant l’IA, un certain nombre de décisions ont déjà été prises au cas par cas par différentes instances, à l’échelle nationale ou supranationale. Nous listons ci-dessous les principales décisions rendues.
Décision du Copyright Office américain
Le 21 février 2023, le Copyright Office est revenu sur sa décision d’attribuer à l’artiste Kris Kashtanova la titularité des droits sur la bande dessinée Zarya of the Dawn, dont les images sont entièrement créées par l’outil Midjourney. Dans son courrier, le Copyright Office atteste que « Mme Kashtanova est l’autrice des textes de l’œuvre, mais aussi de la sélection, coordination et de l’organisation des éléments écrits et visuels de l’œuvre ». Toutefois les images générées par Midjourney, utilisées par l’artiste dans sa bande dessinée, ne sont plus couvertes par le droit d’auteur, contrairement au premier avis rendu en septembre par le Copyright Office. Ces images peuvent donc être réutilisées individuellement par d’autres artistes dans leurs propres œuvres.
Décision de l’autorité italienne de protection des données personnelles
La GDDP, équivalent en Italie de la CNIL française, a bloqué temporairement l’accès à l’application ChatGPT en raison de manquements constatés dans l’utilisation des données des utilisateurs italiens. L’autorité a relevé plusieurs problèmes : l’absence d’informations de la part d’OpenAI sur une perte de données survenues en mars, ayant permis à certains utilisateurs de voir le nom, l’email et les 4 derniers chiffres de la carte bancaire d’autres utilisateurs ; « l’absence d’une base juridique justifiant le recueil et la conservation en masse des données personnelles, dans le but d’entrainer les algorithmes faisant fonctionner la plateforme » ; et l’absence de vérification de l’âge des utilisateurs, exposant potentiellement des mineurs à des réponses non adaptées à leur niveau de développement.
OpenAI ayant pris des mesures pour satisfaire les principales exigences de la GDDP, l’application ChatGP a pu rouvrir ses services aux utilisateurs italiens. Cependant, l’autorité affirme maintenir sa surveillance pour s’assurer que la start-up californienne poursuive ses efforts pour se conformer à la législation européenne en matière de protection des données.
Préconisations du DCMS anglais sur l’approche réglementaire des technologies d’IA
Le ministère anglais du Numérique, de la Culture, des Médias et des Sports (DCMS) a publié en juillet 2022 un document d’orientation intitulé « Establishing a pro-innovation approach to regulating AI : policy statement ». Le rapport préconise un cadre juridique flexible par secteur pour éviter tout risque d’entrave à la liberté des entreprises anglaises d’innover. Chaque caractéristique de l’IA entrant dans le futur cadre réglementaire pourra être adaptée par les différents régulateurs britanniques aux spécificités de leurs domaines ou secteurs d’activité concernés.
Projet de règlement sur l’IA de la Commission européenne
L’Europe travaille sur divers cadres réglementaires pour encadrer l’utilisation de l’intelligence artificielle (IA) et la protection des données. Parmi ceux-ci, le règlement ePrivacy, successeur de la directive actuelle, déterminera les règles du RGPD applicables à la vie privée en ligne, impactant les acteurs de l’IA offrant des services de communication électronique.
Le Digital Markets Act (DMA), le Digital Services Act (DSA) et le Digital Governance Act (DGA) régiront le marché des grandes plateformes numériques. Le DSA vise à renforcer la transparence et la responsabilisation des plateformes envers les utilisateurs, affectant celles qui utilisent des algorithmes de recommandation. Le Data Act, plus récent, facilitera les échanges de données au sein de l’Europe.
Le règlement sur l’intelligence artificielle (RIA), proposé en avril 2021, adoptera une approche basée sur les risques pour réguler les systèmes d’IA et promouvoir des solutions innovantes respectueuses des droits et libertés individuels. La CNIL et ses homologues européens se sont exprimés sur ce texte, et la CNIL est prête à assumer le rôle d’autorité de contrôle pour appliquer ce règlement en France.
Ces régulations auront des implications en matière de protection des données et de responsabilité pour les acteurs de l’IA, les plateformes numériques et les entreprises européennes dans les années à venir.
Comment protéger l’IA ?
En l’absence à date de cadre réglementaire sécurisant le développement de systèmes d’IA, le niveau de risques encourus par les entreprises (cyberattaques, contrefaçons, fuite de données, etc.) est particulièrement fort. Les collaborateurs utilisateurs de services tiers peuvent également exposer l’entreprise à des litiges et à des sanctions, en cas d’infraction ou d’absence de garanties sur la pleine propriété des services rendus aux clients.
Pour pallier les insuffisances du droit en vigueur, la solution pour les entreprises est le recours au contrat. Celui-ci permet d’organiser la protection de l’IA en définissant le rôle de chaque partie prenante, en répartissant les droits entre eux et en assurant l’effectivité de la nécessaire confidentialité. Le contrat permet également d’assurer la collecte licite des données et de leur utilisation. De même le contrat organise les droits d’utilisation du résultat de l’IA, ainsi que la rémunération associée et les responsabilités encourues.
Quels sont les obstacles juridiques à l’IA ?
Au-delà de la seule propriété intellectuelle, l’évolution des technologies d’IA et de l’open source poseront des questions de respect de la protection des données à caractère personnel. Dans le cas de figure de l’application ChatGPT notamment, la politique de confidentialité mentionne les résidents de l’EEE, de Suisse et du Royaume-Uni, sans pour autant se référer à aucun texte de loi qui s’appliquerait en dehors du droit californien. Il est peu probable que l’intégralité des droits prévus par le RGPD soit garantie par cette IA : quid du droit à la rectification de ses données personnelles ? Quid du droit à ne pas être soumis à une décision automatisée ?
La généralisation de la présence des IA dans notre quotidien, et dans les métiers, posera également la question de la responsabilité civile et pénale. D’autant que dans certains cas d’usages, les individus pourraient être tentés de transférer leur propre responsabilité sur l’entité qui « fait » de manière « autonome » l’action entrainant le préjudice. La Communauté européenne a déjà précisé qu’il n’était pas nécessaire de donner à l’IA une personnalité juridique pour la rendre responsable. Mais il conviendra de déterminer le niveau de responsabilités de chaque acteur de la chaîne de valeur (autorité, concepteur, prestataires de services, exploitant, utilisateurs, etc.) pour garantir l’ensemble des risques relatifs à l’usage des technologies IA.
À retenir
- Compte tenu des lacunes actuelles en matière de réglementation, une réflexion doit être menée en amont du développement de systèmes d’IA pour définir le cadre juridique le plus adapté à la technologie employée, aux finalités de l’outil et à la stratégie de protection souhaitée.
- Au sein des entreprises, chacun devra s’assurer au maximum, dans la mesure du possible, du respect des droits existants lors de l’usage de supports pouvant faire l’objet de droits de propriété intellectuelle (notamment dans le cadre des codes : des licences d’utilisation open source).
- Dans le cadre d’usage de l’IA pour la création « d’œuvre de l’esprit », les utilisateurs doivent s’assurer d’y apporter un aspect émanant de la créativité humaine pour lui conférer une protection en droits d’auteur. Si une image est générée par l’IA, il convient d’y apporter des modifications substantielles.
Dans tous les cas, le contrat est un outil indispensable pour sécuriser le développement de systèmes d’IA.