Intelligence artificielle : quand l'innovation dépasse le droit

L’essor rapide de l’intelligence artificielle (IA), notamment avec les systèmes d’IA générative, transforme profondément les pratiques économiques et sociales. 

S’il n’est pas envisageable de se détourner de l’IA et de refuser de prendre le train de cette innovation incroyable, il est nécessaire de comprendre son fonctionnement et les risques associés, dans le but de répondre à une question essentielle : quel type d’IA utiliser pour quel usage ?

Outre les considérations financières, ce sont avant tout des considérations juridiques qui permettront de répondre à cette question : le développement d’une IA sur mesure fermée sera nécessaire dans des cas spécifiques, et totalement inutile dans d’autres cas.

Les régulateurs européens et nationaux ont progressivement élaboré un cadre juridique visant à encadrer ces technologies tout en favorisant l’innovation.

Le règlement européen relatif à l’IA, « Artificial Intelligence Act », définit un système d’intelligence artificielle comme : « un système automatisé conçu pour fonctionner avec différents niveaux d’autonomie et qui peut, pour des objectifs explicites ou implicites, générer des résultats tels que des prédictions, des contenus, des recommandations ou des décisions influençant des environnements physiques ou virtuels ».

En synthèse, , une IA se caractérise par 3 niveaux :

• des données d’entrée (elles-mêmes provenant de différentes sources qui sont plus ou moins contrôlées),
• un ou des algorithmes permettant de rendre plus ou moins autonome la solution d’IA
• des résultats.

Les IA peuvent être classées en fonction :

• des modes de réutilisation des prompts et des résultats (IA ouverte ou IA fermée) ;
• de leur mode de fonctionnement (IA symbolique, machine Learning ou deep learning) ;
• de leur finalité (IA analytique ou IA générative) ;
• de leur risque (choix opéré par l’IA Act).

Le point commun aux dernières générations d’IA est un fonctionnement basé sur un système de probabilité.

L’utilisation d’outils d’intelligence artificielle implique souvent le traitement de volumes importants d’informations, parfois confidentielles. Les entreprises doivent être particulièrement vigilantes lorsqu’elles utilisent des systèmes d’IA externes, notamment dans le cadre de solutions cloud ou d’IA générative.

En effet, lors de l’utilisation d’un IA dite « ouverte », les prompts, de même que les résultats sont « reversés » dans l’outil d’IA, qui va pouvoir les réutiliser et les retransmettre à des tiers, lors de leur propre utilisation de l’IA.

En droit français, l’obligation de confidentialité peut découler de différentes sources :

• le secret des affaires, protégé par la directive (UE) 2016/943 transposée en droit français par la loi n°2018-670 du 30 juillet 2018 et codifiée aux articles L151-1 et suivants du Code de commerce ;
• les obligations contractuelles de confidentialité (NDA et clause de confidentialité) ;
• certaines obligations professionnelles (secret professionnel). 

L’intégration d’outils d’IA dans les processus internes peut entraîner un risque de divulgation involontaire d’informations stratégiques si les données fournies à ces systèmes sont réutilisées pour entraîner les modèles.

En conséquence, la transmission de telles informations confidentielles au travers de l’outil peut entrainer notamment les risques suivants :

• violation des accords de confidentialité (sanctionnée par des dommages et intérêts) ;
• destruction de la nouveauté des créations/inventions de l’entreprise, entrainant un risque de nullité de ses actifs de propriété intellectuelle ;
• perte de l’avantage concurrentiel.

Le développement et l’utilisation de systèmes d’IA impliquent fréquemment (mais non automatiquement) le traitement de données personnelles. Ces traitements doivent respecter le cadre du Règlement (UE) 2016/679 du 27 avril 2016, plus connu sous le nom de RGPD.

Plusieurs principes fondamentaux du RGPD sont particulièrement pertinents pour l’IA :

• principe de licéité, loyauté et transparence (article 5 RGPD) : le responsable de traitement doit s’assurer de disposer d’une base légale pour utiliser la donnée personnelle via l’IA et doit en informer les personnes concernées ;
• principe de minimisation des données (article 5.1.c RGPD) : cette utilisation de l’IA ne doit utiliser que les données personnelles nécessaires (ex : traduire un texte via IA ne nécessite pas d’utiliser les données personnelles contenues dans ce dernier) ;
• principe de limitation des finalités (article 5.1.b RGPD) : le responsable de traitement doit utiliser l’IA pour traiter les données personnelles que s’il n’y a pas d’autres solutions moins risquées;
• principe de sécurisation des transferts de données personnelles à des sous-traitants : le traitement de données par des sous-traitants (éditeur et hébergeur de la solution d’IA) doit être encadré par un accord de sous-traitance. Tout transfert de données hors UE nécessite une vigilance particulière avec la mise en place d’instruments juridiques plus importants. 

Le non-respect de ces dispositions entraine pour le responsable de traitement (y compris pour l’utilisation faite par ses propres salariés), les risques suivants :

• amende administrative de 20 millions d’euros ;
• atteinte à l’image de la société ;
• dommages et intérêts pour atteinte à la vie privée.

Les autorités de contrôle, notamment la Commission nationale de l'informatique et des libertés, ont également publié plusieurs recommandations sur l’utilisation de l’IA, insistant sur la nécessité de réaliser des analyses d’impact relatives à la protection des données (AIPD) lorsque les traitements présentent des risques élevés.

L’intelligence artificielle soulève des questions complexes en matière de propriété intellectuelle. Intéressons-nous notamment à deux d’entre elles :

1. L’utilisation d’œuvres protégées pour entraîner les modèles est-elle licite ?
2. Qui est titulaire des droits sur les contenus générés par l’IA ? 

1.L'entraînement des modèles

Par principe, toute information protégée par un droit de propriété intellectuelle ne peut être réutilisée par un tiers (dont l’éditeur d’IA ou l’utilisateur de l’IA), sans l’accord du titulaire de droits antérieurs. L’ensemble des données dites « données d’entrainement » peuvent être protégées par différents droits de propriété intellectuelle  : droit d’auteur, droit de marque, droit des producteurs de bases de données, droit des artistes interprètes…. Il est à date très délicat de connaître les sources d’entrainement des IA et en tout état de cause de s’assurer que ces données puissent être réutilisées, y compris à des fins commerciales. Les principales IA génératives se dédouanent de cette responsabilité dans leurs conditions générales d’utilisation.

Une exception en matière de droit d’auteur existe au sein de l’Union européenne, la directive (UE) 2019/790 sur le droit d’auteur dans le marché unique numérique encadre notamment les pratiques dites de text and data mining (TDM), transposée en droit français dans le code de la propriété intellectuelle.

Ainsi, certaines opérations d’exploration de textes et de données (c’est-à-dire la fouille de textes et de données publiques de manière automatique) sont autorisées, sous réserve de la possibilité pour les titulaires des droits de s’y opposer (notamment dans leurs CGU ou CGV).

En conséquence, l’utilisation des modèles d’IA peut présenter un risque d’engagement de sa responsabilité civile délictuelle voire pénale pour contrefaçon notamment.

2. La protection des œuvres générées par l’IA

En droit français, la protection par le droit d’auteur suppose une création originale résultant d’un effort intellectuel humain (article L111-1 du Code de la propriété intellectuelle).

En matière d’invention brevetable, la nécessité d’une activité inventive comme critère de protection au titre de brevet oblige également l’intervention humaine.

Ainsi, les contenus entièrement générés par une IA pourraient ne pas bénéficier de la protection classique du droit d’auteur ou de brevet, faute d’intervention humaine suffisante.

Des litiges internationaux émergent déjà autour de l’utilisation d’œuvres protégées pour entraîner les modèles d’IA, notamment dans les secteurs de la musique, de la photographie ou de la presse.

D’autres titres de propriété exigent comme critère de protection la nouveauté. Dès lors toute publication (via le prompt ou via les résultats) pourrait également être destructrice de nouveauté et donc d’éligibilité à un titre de propriété intellectuelle.

Enfin, la question pourrait se poser également sur la titularité du résultat, pouvant être considéré comme une œuvre dérivée (œuvre crée sur la base d’ouvres existantes) ou une œuvre ou invention collaborative, nécessitant l’autorisation des titulaires antérieures, ou un mécanisme de copropriété.

L’un des enjeux majeurs concerne la détermination du responsable lorsqu’un système d’IA cause un dommage.

En droit français, plusieurs régimes de responsabilité peuvent s’appliquer :

• responsabilité contractuelle (articles 1231-1 et suivants du Code civil) ;
• responsabilité délictuelle (articles 1240 et 1241 du Code civil) ;
• responsabilité du fait des produits défectueux (directive 85/374/CEE et articles 1245 et suivants du Code civil). 

Cependant, ces régimes ont été conçus pour des produits traditionnels et peuvent s’avérer difficiles à appliquer à des systèmes d’IA autonomes ou évolutifs.

La Commission européenne a récemment créé la surprise en retirant de son programme de travail final pour 2025 la proposition de directive du Parlement européen et du Conseil relative à l'adaptation des règles en matière de responsabilité civile extracontractuelle au domaine de l'intelligence artificielle, communément appelée "Directive sur la responsabilité en matière d'IA".

Parallèlement à cette proposition abandonnée, l'Union Européenne a adopté la Directive (UE) 2024/493 du Parlement européen et du Conseil du 21 février 2024 relative à la responsabilité du fait des produits défectueux, qui abroge et remplace la Directive 85/374/CEE. Cette directive établit un régime de responsabilité sans faute applicable aux producteurs dont les produits défectueux causent des dommages. Elle inclut les logiciels dans son champ d'application, ce qui recouvre les systèmes d’IA. Toutefois, elle ne couvre pas l'ensemble des situations envisagées, notamment les services basés sur l'IA et les aspects procéduraux destinés à faciliter l'établissement de la preuve pour les victimes.

L’IA Act, « Artificial Intelligence Act », adopté le 13 mars 2024 , établit un cadre réglementaire basé sur une approche par niveau de risque.

Le règlement distingue notamment :

• les systèmes d’IA à risque inacceptable, interdits (notamment les systèmes utilisés pour la manipulation inconsciente, l’exploitation des vulnérabilités, la notation sociale…);
• les systèmes à haut risque, soumis à des obligations strictes telles que l’évaluation de conformité, la mise en place d’une documentation technique, l’exigence d’une supervision humaine (IA dans des secteurs dits à risques ou hautement règlementés, la santé, l’éducation, la banque…) ;
• les systèmes à risque limité, soumis à des obligations de transparence. 

Ce texte impose également certaines obligations pour les IA à usage général notamment de fournir un résumé détaillé des jeux de donné d’entrainements, de mettre en place une documentation technique et de mettre en place une politique en matière de droit d’auteur.

Enfin l’IA Act impose une sensibilisation de l’ensemble des collaborateurs à l’usage de l’IA.

Les sanctions prévues par l'IA Act peuvent aller jusqu’à 7 % du chiffre d’affaires annuel mondial de l’entreprise ou jusqu’à 35 millions d’euros d’amende.

L’IA Act est d’ores et déjà entré en vigueur depuis le 2 août 2024. L’entrée en application se fait de façon échelonnée :

• 2 février 2025 : Interdictions relatives aux systèmes d’IA présentant des risques inacceptables.
• 2 août 2025 : Application des règles pour les modèles d’IA à usage général et Nomination des autorités compétentes au niveau des États membres.
• 2 août 2026 : Toutes les dispositions du règlement sur l'IA deviennent applicables, à l’exception de certaines IA à haut risque dont le dispositif entrera en vigueur à partie du 2 aout 2027, et de manière progressive pour les IA à usage général et les IA d’ores et déjà mise sur le marché

L’intelligence artificielle représente un levier majeur d’innovation, mais elle s’accompagne de défis juridiques importants. Confidentialité, protection des données personnelles, propriété intellectuelle et responsabilité constituent des axes majeurs de vigilance pour les entreprises et les organisations.

S’en détourner n’est pas la solution, l’appréhender est nécessaire. L’IA reste un outil, un outil incroyable mais un outil qu’il faut connaître pour pouvoir bien l’utiliser.

Nous conseillons de mettre en œuvre les actions suivantes :

• La sensibilisation de vos collaborateurs
• La cartographie de vos besoins et des IA utilisées ou que vous souhaitez utiliser
• La qualification pour chacune d’elle de votre rôle, du rôle de votre prestataire et du niveau de risque, eu égard à l’IA Act et à vos cas d’usage
• La contractualisation avec les éditeurs d’IA ou les déployeurs (prestataires intégrant de l’IA)
• L’adaptation de vos contrats et de vos contenus, si vous avez recours ou non à de l’IA
• L’établissement d’une charte de bonnes pratiques de l‘IA 

Cette sensibilisation doit être faite aux différents stades du processus en amont (pour qu’il n’y ait pas d’usage d’IA sauvage) et en aval (pour qu’il y ait un usage conforme des IA sélectionnés par l’entreprise).

Le Cabinet Fidal est à votre disposition pour vous accompagner dans l’ensemble du processus de mise en conformité et d’adoption de saines pratiques de l’IA.