Comment se protéger en l’absence de réglementation claire sur l’IA ?

La croissance fulgurante de l’usage de services tiers en intelligences artificielles (IA) pose de nouvelles questions juridiques pour les entreprises : quid du droit d’auteur ? Quid de la confidentialité des informations ? Quid de la territorialisation des données ? Face à ces enjeux, les parties prenantes s’organisent. Entre les recommandations d’approches réglementaires vis-à-vis des technologies IA, les décisions récentes et les appels d’experts à ralentir le développement de l’intelligence artificielle, voici un tour d’horizon à date du cadre juridique applicable aux usages de l’IA dans les entreprises.

Les usages de l’intelligence artificielle (IA) sont encore peu encadrés par des lois spécifiques
Les usages de l’intelligence artificielle (IA) sont encore peu encadrés par des lois spécifiques

Quel est le cadre juridique actuel de l’IA ?

Dans les entreprises, la présence d’algorithmes d’intelligences artificielles n’est pas nouvelle. En revanche, c’est la première fois qu’elle s’ouvre au plus grand nombre, par le biais de produits ou de services tiers accessibles depuis un navigateur web.

C’est aussi la première fois qu’une application « grand public » connaît une croissance aussi rapide. Selon une étude menée par UBS, relayée par siecledigital.fr, ChatGPT d’OpenAI a atteint en quelques semaines 100 millions d’utilisateurs mensuels actifs. Comme le rappelle le média en ligne, TikTok a mis 9 mois pour atteindre ce chiffre, et Instagram environ 2 ans et demi.

Face à l’ampleur du phénomène, des personnalités du monde de la tech et de l’intelligence artificielle ont appelé dans une lettre publiée le 29 mars à une « pause d’au moins 6 mois » dans le développement d’IA plus puissantes que ChatGPT-4, évoquant « des risques majeurs pour l’humanité ». D’autres comme Bill Gates (qui a investi 10 milliards de dollars dans OpenAI) trouvent qu’au contraire son développement « est aussi fondamental que la création du microprocesseur, de l’ordinateur personnel, de l’internet et du téléphone portable ».

Une chose est sûre, tout le monde s’accorde sur le fait que nous sommes à l’aube d’une nouvelle révolution des usages et qu’il conviendra de réfléchir rapidement à des garde-fous juridiques et éthiques. Oui, mais lesquels ?

Pas une IA mais des IA

L’intelligence artificielle, en tant que « discipline » scientifique, est bien trop vaste et trop hétérogène pour être encadrée par une réglementation d’un seul tenant. Chaque cas d’usage aura sans doute ses propres problématiques réglementaires, selon le type d’IA concernée : IA embarquée, IA de confiance, IA au service de la transition écologique, etc.

Par ailleurs, certaines composantes de l’intelligence artificielle sont susceptibles d’être protégées par un cadre législatif existant. Par exemple, dans le cas d’une IA génératrice « d’œuvres » la propriété intellectuelle (droit d’auteur, brevet, droit sui generis des bases de données…) peut s’appliquer dès lors qu’il est possible d’établir une intervention humaine suffisante dans le processus de création.

En revanche, la création générée par l’IA génératrice n’est pas protégeable en tant que telle : seuls les éléments effectivement créés par la personne humaine sont protégeables (par exemple, le « text prompt » utilisé et dicté à l’IA pour créer une image, la disposition des éléments, la composition).

Le Golden Rush des services à base d’IA amène aussi certains éditeurs de solutions à prendre quelques libertés avec le droit. Dans le cas des applications génératrices de code informatique, il semblerait que certaines IA se bornent parfois à recréer ligne par ligne du code déjà présent dans la masse de données sur laquelle elle a été entrainée. Et ce, sans pour autant reproduire la licence open source protégeant le code original : l’utilisateur final peut donc porter atteinte à la licence et ainsi aux droits des auteurs du code sans le savoir.

Face aux différentes zones d’ombre juridique entourant l’IA, un certain nombre de décisions ont déjà été prises au cas par cas par différentes instances, à l’échelle nationale ou supranationale. Nous listons ci-dessous les principales décisions rendues.

Le 21 février 2023, le Copyright Office est revenu sur sa décision d’attribuer à l’artiste Kris Kashtanova la titularité des droits sur la bande dessinée Zarya of the Dawn, dont les images sont entièrement créées par l’outil Midjourney. Dans son courrier, le Copyright Office atteste que « Mme Kashtanova est l’autrice des textes de l’œuvre, mais aussi de la sélection, coordination et de l’organisation des éléments écrits et visuels de l’œuvre ». Toutefois les images générées par Midjourney, utilisées par l’artiste dans sa bande dessinée, ne sont plus couvertes par le droit d’auteur, contrairement au premier avis rendu en septembre par le Copyright Office. Ces images peuvent donc être réutilisées individuellement par d’autres artistes dans leurs propres œuvres.

Décision de l’autorité italienne de protection des données personnelles

La GDDP, équivalent en Italie de la CNIL française, a bloqué temporairement l’accès à l’application ChatGPT en raison de manquements constatés dans l’utilisation des données des utilisateurs italiens. L’autorité a relevé plusieurs problèmes : l’absence d’informations de la part d’OpenAI sur une perte de données survenues en mars, ayant permis à certains utilisateurs de voir le nom, l’email et les 4 derniers chiffres de la carte bancaire d’autres utilisateurs ; « l’absence d’une base juridique justifiant le recueil et la conservation en masse des données personnelles, dans le but d’entrainer les algorithmes faisant fonctionner la plateforme » ; et l’absence de vérification de l’âge des utilisateurs, exposant potentiellement des mineurs à des réponses non adaptées à leur niveau de développement.

OpenAI ayant pris des mesures pour satisfaire les principales exigences de la GDDP, l’application ChatGP a pu rouvrir ses services aux utilisateurs italiens. Cependant, l’autorité affirme maintenir sa surveillance pour s’assurer que la start-up californienne poursuive ses efforts pour se conformer à la législation européenne en matière de protection des données.

Préconisations du DCMS anglais sur l’approche réglementaire des technologies d’IA

Le ministère anglais du Numérique, de la Culture, des Médias et des Sports (DCMS) a publié en juillet 2022 un document d’orientation intitulé « Establishing a pro-innovation approach to regulating AI : policy statement ». Le rapport préconise un cadre juridique flexible par secteur pour éviter tout risque d’entrave à la liberté des entreprises anglaises d’innover. Chaque caractéristique de l’IA entrant dans le futur cadre réglementaire pourra être adaptée par les différents régulateurs britanniques aux spécificités de leurs domaines ou secteurs d’activité concernés.

Projet de règlement sur l’IA de la Commission européenne

L’Europe travaille sur divers cadres réglementaires pour encadrer l’utilisation de l’intelligence artificielle (IA) et la protection des données. Parmi ceux-ci, le règlement ePrivacy, successeur de la directive actuelle, déterminera les règles du RGPD applicables à la vie privée en ligne, impactant les acteurs de l’IA offrant des services de communication électronique.

Le Digital Markets Act (DMA), le Digital Services Act (DSA) et le Digital Governance Act (DGA) régiront le marché des grandes plateformes numériques. Le DSA vise à renforcer la transparence et la responsabilisation des plateformes envers les utilisateurs, affectant celles qui utilisent des algorithmes de recommandation. Le Data Act, plus récent, facilitera les échanges de données au sein de l’Europe.

Le règlement sur l’intelligence artificielle (RIA), proposé en avril 2021, adoptera une approche basée sur les risques pour réguler les systèmes d’IA et promouvoir des solutions innovantes respectueuses des droits et libertés individuels. La CNIL et ses homologues européens se sont exprimés sur ce texte, et la CNIL est prête à assumer le rôle d’autorité de contrôle pour appliquer ce règlement en France.

Ces régulations auront des implications en matière de protection des données et de responsabilité pour les acteurs de l’IA, les plateformes numériques et les entreprises européennes dans les années à venir.

Comment protéger l’IA ?

En l’absence à date de cadre réglementaire sécurisant le développement de systèmes d’IA, le niveau de risques encourus par les entreprises (cyberattaques, contrefaçons, fuite de données, etc.) est particulièrement fort. Les collaborateurs utilisateurs de services tiers peuvent également exposer l’entreprise à des litiges et à des sanctions, en cas d’infraction ou d’absence de garanties sur la pleine propriété des services rendus aux clients.

Pour pallier les insuffisances du droit en vigueur, la solution pour les entreprises est le recours au contrat. Celui-ci permet d’organiser la protection de l’IA en définissant le rôle de chaque partie prenante, en répartissant les droits entre eux et en assurant l’effectivité de la nécessaire confidentialité. Le contrat permet également d’assurer la collecte licite des données et de leur utilisation. De même le contrat organise les droits d’utilisation du résultat de l’IA, ainsi que la rémunération associée et les responsabilités encourues.

Quels sont les obstacles juridiques à l’IA ?

Au-delà de la seule propriété intellectuelle, l’évolution des technologies d’IA et de l’open source poseront des questions de respect de la protection des données à caractère personnel. Dans le cas de figure de l’application ChatGPT notamment, la politique de confidentialité mentionne les résidents de l’EEE, de Suisse et du Royaume-Uni, sans pour autant se référer à aucun texte de loi qui s’appliquerait en dehors du droit californien. Il est peu probable que l’intégralité des droits prévus par le RGPD soit garantie par cette IA : quid du droit à la rectification de ses données personnelles ? Quid du droit à ne pas être soumis à une décision automatisée ?

La généralisation de la présence des IA dans notre quotidien, et dans les métiers, posera également la question de la responsabilité civile et pénale. D’autant que dans certains cas d’usages, les individus pourraient être tentés de transférer leur propre responsabilité sur l’entité qui « fait » de manière « autonome » l’action entrainant le préjudice. La Communauté européenne a déjà précisé qu’il n’était pas nécessaire de donner à l’IA une personnalité juridique pour la rendre responsable. Mais il conviendra de déterminer le niveau de responsabilités de chaque acteur de la chaîne de valeur (autorité, concepteur, prestataires de services, exploitant, utilisateurs, etc.) pour garantir l’ensemble des risques relatifs à l’usage des technologies IA.

À retenir

  • Compte tenu des lacunes actuelles en matière de réglementation, une réflexion doit être menée en amont du développement de systèmes d’IA pour définir le cadre juridique le plus adapté à la technologie employée, aux finalités de l’outil et à la stratégie de protection souhaitée.
  • Au sein des entreprises, chacun devra s’assurer au maximum, dans la mesure du possible, du respect des droits existants lors de l’usage de supports pouvant faire l’objet de droits de propriété intellectuelle (notamment dans le cadre des codes : des licences d’utilisation open source).
  • Dans le cadre d’usage de l’IA pour la création « d’œuvre de l’esprit », les utilisateurs doivent s’assurer d’y apporter un aspect émanant de la créativité humaine pour lui conférer une protection en droits d’auteur. Si une image est générée par l’IA, il convient d’y apporter des modifications substantielles.

Dans tous les cas, le contrat est un outil indispensable pour sécuriser le développement de systèmes d’IA.

 

 

La réglementation de l'IA en Europe vise à encadrer l'utilisation de l'intelligence artificielle et la protection des données. Parmi les textes proposés figurent le règlement sur l'intelligence artificielle (RIA), le Digital Services Act (DSA), le Digital Markets Act (DMA), le Digital Governance Act (DGA), le Data Act et le règlement ePrivacy.

Le RIA (règlement sur l'intelligence artificielle) adopte une approche basée sur les risques pour réguler les systèmes d'IA. Il vise à promouvoir des solutions innovantes respectueuses des droits et libertés individuels en encadrant les usages des systèmes d'IA et en imposant des obligations de transparence et de responsabilité aux acteurs concernés.

Le DSA (Digital Services Act) renforce la transparence et la responsabilisation des grandes plateformes numériques envers les utilisateurs, en établissant des règles sur la manière dont elles traitent les données des utilisateurs et en exigeant plus de contrôle sur les algorithmes de recommandation.

Le Data Act facilite les échanges de données au sein de l'Europe, créant un environnement propice à la circulation des données et renforçant la coopération entre les entreprises et les secteurs. Ceci favorise l'innovation et la croissance économique en permettant un meilleur accès et partage des données.

La CNIL est chargée d'assurer le respect des normes en matière de protection des données et de responsabilité des acteurs de l'IA en France. Elle s'est positionnée pour assumer le rôle d'autorité de contrôle en charge de l'application du RIA et collaborera avec ses homologues européens pour garantir l'application uniforme des réglementations.
Octavie BIECHLER
Octavie BIECHLER
Avocate au Barreau de Paris depuis janvier 2023, Octavie est spécialisée dans les domaines de la protection des données à caractère personnel, de la cybersécurité et de l’IA. C’est au sein du cabinet Adaltys Avocats qu’elle exerce en qualité d'avocate collaboratrice et accompagne Hub One sur les problématiques contractuelles liées à ces domaines. D’un point de vue plus personnel, Octavie est férue de littérature et de langues étrangères. Elle consacre une partie de son temps libre à la lecture des classiques français, et depuis peu italiens. Cette passion pour la langue et la littérature italienne est née d’une année passée en Italie, où elle s'est imprégnée de sa culture. Elle apprécie particulièrement les œuvres classiques de ces deux pays et trouve une source d'inspiration dans leur richesse littéraire. Octavie se passionne également pour les évolutions du digital et leurs répercussions sur la propriété intellectuelle et la création d’œuvres. Son intérêt personnel pour ces domaines associé à son expertise juridique lui permettent de comprendre les enjeux complexes liés à ces thématiques et d'accompagner ses clients dans la résolution de problématiques légales qui y sont liées. Côté technologie, Octavie est très attachée à son enceinte Bluetooth qui l’accompagne dans ses moments de détente et sur laquelle elle écoute Spotify.
Edouard LEMOALLE
Edouard LEMOALLE

Edouard LEMOALLE est juriste contrats et partenariats internationaux chez Hub One. C’est un passionné de voyages. Il a vécu plusieurs années à l’étranger dans différentes parties du globe. Il aime avant tout partager et apprendre des nouvelles cultures qu’il rencontre lors de ses excursions. Son gadget préféré : sa montre connectée pour toujours garder un œil sur le temps qui file à vive allure, surtout en visite !

Pour garder une longueur d'avance, abonnez-vous

Besoin de plus d'informations