Faut-il réguler l’intelligence artificielle et, si oui, de façon globale ou sectorielle ?

Plutôt que de créer un « code de l’intelligence artificielle » ou une nouvelle personnalité juridique (solvable ?) pour les systèmes d’IA, une régulation mesurée de l’IA pourrait faire l’affaire. Mais la faut-il globale avec un super-régulateur de l’IA, ou bien sectorielle avec les régulateurs existants ?

Par Winston Maxwell, avocat associé, Hogan Lovells, et David Bounie, professeur d’économie, Telecom ParisTech

L’intelligence artificielle (IA) – qui regroupe plusieurs technologies dont l’apprentissage machine (ou apprentissage automatique, en anglais machine learning) – est
une forme avancée de logiciel.
Un logiciel est simplement un ensemble de programmes destiné à faire fonctionner un système informatique. Il n’existe pas de régulation spécifique dédiée aux seuls logiciels. Faut-il traiter l’IA différemment ?

Bon équilibre entre sécurité, prix et utilité
Examinons d’abord la question de la responsabilité civile. Sur le plan économique, les règles de responsabilité civile sont destinées à encourager le déploiement de nouvelles technologies, tout en s’assurant que ces technologies s’entourent de mesures de sécurité adéquates. Si les règles de responsabilité sont trop strictes, certaines technologies utiles pour la société ne seront pas déployées. Si les règles de responsabilité sont trop laxistes, la technologie créera des dommages pour la population dépassant largement les bénéfices de la technologie. Il faut chercher le bon équilibre. Pour illustrer, il suffit de penser à la voiture : une technologie utile mais relativement dangereuse car responsable de milliers de morts et de blessés par an. Si nous exigions un niveau de sécurité absolu, la vitesse de chaque voiture serait bridée à 30 km par heure, et la voiture serait construite comme un char d’assaut. Mais cela réduirait son utilité et augmenterait sensiblement son prix ! Comme pour la voiture, le défi pour l’IA est de trouver le bon équilibre entre mesures de sécurité, prix et utilité. L’entreprise qui déploie un système d’IA – par exemple, un constructeur automobile ou une banque – sera incitée par les règles de responsabilité civile à s’assurer de la sécurité du système. L’une des particularités des systèmes d’apprentissage machine est leur utilisation de données d’entraînement. Le concepteur du modèle d’apprentissage fournira un modèle vierge. Ce modèle apprendra ensuite en utilisant les données de l’entreprise A. Amélioré par les données de l’entreprise A, le modèle se nourrira ensuite des données de l’entreprise B, et ainsi de suite. Lorsque le modèle produit une erreur, l’origine de l’anomalie sera difficile à identifier. S’agit-il d’un défaut dans le modèle d’origine, ou est-ce que l’anomalie provient des données d’apprentissage de l’entreprise A ou B ? Il est donc important pour chaque entreprise qui déploie un système d’IA de préciser par contrat comment ses données seront utilisées pour améliorer le modèle et prévoir des règles de responsabilité, de sécurité et de partage de valeur relatif au modèle amélioré. Le modèle devient plus intelligent grâce aux données d’entraînement ; le propriétaire des données d’entraînement pourrait donc exiger une rémunération. Les contrats devront également prévoir des dispositions pour garantir que le modèle amélioré ne peut pas indirectement révéler des données confidentielles de l’entreprise, ou des données à caractère personnel contenues dans les données d’entraînement. Entre les entreprises, la plupart des questions de responsabilité seront régulées par contrat. Les décisions d’un système d’apprentissage automatique sont souvent opaques — on ne comprendra pas pourquoi un système a décidé A au lieu de B. Cela pose problème pour l’application des règles de responsabilité civile et pour la régulation en général – les tribunaux, experts et régulateurs doivent pouvoir comprendre a posteriori pourquoi un système a commis une erreur afin d’en tirer des leçons et d’allouer la responsabilité à l’acteur approprié. De nombreux travaux sont actuellement consacrés aux problèmes de la transparence et de l’« auditabilité » des algorithmes, à l’« explicabilité » et à la responsabilisation (accountability) des décisions IA (1). Ces travaux ne font pas consensus. Sur le thème de la transparence et de l’auditabilité des algorithmes, deux camps s’affrontent. Le premier défend l’idée qu’un algorithme propriétaire qui prend des décisions de nature à causer des préjudices devrait pourvoir être rendu transparent et audité de manière à découvrir l’origine des erreurs,
et à pouvoir les corriger. La chancelière d’Allemagne, Angela Merkel, a récemment plaidé pour la transparence des algorithmes.

L’Europe veut de la transparence
En Europe, la transparence est également au cœur du règlement général sur la protection des données (RGPD) qui énonce que pour les décisions automatisées basées sur des données personnelles et qui créent des effets juridiques, les individus ont droit à « des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement ». Le deuxième camp considère que l’idéal de transparence n’a pas de sens car, d’une part, les chercheurs sont souvent dans l’incapacité de comprendre les résultats produits par des algorithmes sophistiqués (réseaux de neurones), et d’autre part, que rendre transparents les algorithmes menacerait à terme les investissements et briserait les secrets. En France, la Commission nationale de l’informatique et des libertés (Cnil) a semble-t-il choisi son camp en proposant récemment une plateforme nationale pour auditer les algorithmes. Sur le thème de la discrimination ensuite, les débats également sont animés.

Secret, discrimination et responsabilité
Des travaux récents aux Etats-Unis ont montré que des algorithmes étaient biaisés envers certaines catégories de personnes, et conduisaient donc à des discriminations. L’originalité du préjudice vient cependant d’un problème nouveau lié à l’IA : les algorithmes ont appris à discriminer à partir de données d’entraînement qui étaient biaisées, ou par simple association
de variables corrélées entre elles : les personnes d’une certaine origine nationale ou ethnique résident en majorité dans certains quartiers, etc.
Les algorithmes n’ont pas intentionnellement discriminé : dès lors qui est responsable ? L’entreprise qui utilise l’algorithme, celle qui a mis au point l’algorithme, celle qui a entraîné l’algorithme ? Outre ces questions qui divisent, la charge de la preuve se révèle beaucoup plus difficile pour les plaignants : comment prouver l’origine de la discrimination (non-intentionnelle) sans un accès à l’algorithme ?
Enfin, quand bien même la preuve serait établie, comment corriger le problème s’il est difficile de comprendre comment la technologie IA a produit le résultat ? Dernière question liée au cas particulier d’un algorithme causant une discrimination : comment corriger une discrimination sur le genre, par exemple, s’il est impossible de collecter des informations personnelles sur le genre (du fait de la protection des données) ? Devant la complexité des décisions, une autre question émerge : faut-il créer une personnalité juridique pour les systèmes d’IA ? Pour que
la responsabilité civile puisse fonctionner, il faut identifier une personne responsable, et cette personne devra disposer de suffisamment de ressources ou d’assurances pour dédommager les victimes. En matière d’IA, la personne responsable sera généralement l’entreprise qui exploite le système – la banque ou le constructeur automobile par exemple. Cette personne sera généralement responsable en première ligne, et se retournera ensuite contre ses fournisseurs du système IA en amont. L’entreprise exploitante sera généralement assurée contre les risques de responsabilité civile, et vérifiera que ces fournisseurs en amont le sont également. La création d’une personnalité juridique pour les systèmes d’IA ne changera rien par rapport à la situation actuelle, car le problème restera celui de la solvabilité de la personne morale responsable, et de son niveau d’assurance. Les navires marchands illustrent bien le point : ils sont chacun détenus par une société dédiée – une société par navire. Lors d’un naufrage, la société propriétaire du navire sera généralement insolvable, son seul actif étant le navire. L’enjeu sera celui de l’assurance et éventuellement la recherche d’autres personnes morales responsables à travers des théories de responsabilité indirecte (vicarious liability). La création d’une société ou personne morale ad hoc pour les systèmes IA n’avancerait pas le débat par rapport à l’existant. Fautil une régulation spécifique de l’IA ? Deux points de vue s’opposent. Selon le premier point de vue, l’IA doit être régulée dans son ensemble car les risques pour la société traversent différents secteurs économiques et peuvent avoir des effets cumulatifs néfastes qui ne seraient pas visibles par des régulateurs sectoriels. Selon l’autre point de vue, les risques de l’IA sont étroitement liés à chaque type d’exploitation, et il vaut mieux laisser chaque régulateur sectoriel traiter les risques dans son secteur. La régulation bancaire s’occuperait des risques de l’IA dans le secteur bancaire et la régulation des transports s’occuperait des risques
de l’IA dans les voitures autonomes.
Un super-régulateur de l’IA ne rajouterait rien par rapport aux régulateurs sectoriels spécialisés, et pire, créerait une couche de régulation potentiellement en friction avec la régulation sectorielle. En matière de régulation, il faut avancer avec précaution lorsqu’il s’agit de technologies en mouvement. Comme un médicament, une régulation peut créer des effets secondaires imprévus (2). La régulation de l’Internet a évolué de manière progressive en s’appuyant sur la législation existante. L’IA devrait suivre le même chemin. Au lieu d’un « code de l’intelligence artificielle »,
il faudrait privilégier une série d’améliorations de la réglementation existante. Les normes ISO (3) en matière de sécurité des véhicules sont déjà en cours de modification pour intégrer l’IA (4). Le régulateur américain de la santé, la Food & Drug Administration (FDA), a développé des procédures pour homologuer des dispositifs médicaux utilisant l’IA (5). Le seul problème lié à cette approche sectorielle est l’apparition de risques cumulatifs pour la société qui échapperaient à la vigilance des régulateurs sectoriels. Est-ce que la généralisation de l’IA dans la vie des citoyens pourrait rendre les individus plus idiots, détruire le tissu social, ou affaiblir les institutions démocratiques ? Ce genre de risque ne doit pas être ignoré, et pourrait échapper à la vigilance des régulateurs sectoriels.

Observatoire des effets de l’IA sur la société ?
Un récent rapport de la fondation World Wide Web (6) prend l’exemple
des « fake news » propagées à travers les réseaux sociaux : quelle structure faut-il mettre en place pour changer les incitations des acteurs à communiquer des fausses nouvelles sur la plateforme et comment réparer les préjudices causés à la société ? Comment définir et mesurer ces préjudices, et quels acteurs sont au final responsables ? La Commission européenne favorise en premier lieu des solutions d’auto-régulation pour limiter l’impact de la désinformation sur la société. La surveillance de ce type de risque plus diffus pourrait être confiée à une institution dédiée – une sorte d’observatoire des effets de l’IA sur la société. L’objectif de cette institution serait de tirer la sonnette d’alarme en cas de remontée des indices de nocivité sociale, à l’image d’un canari dans une mine de charbon. Encore faut-il définir les indices ! @

La presse en ligne sauve sa TVA à 2,10 %, pas les FAI

En fait. Le 21 octobre, lors des débats sur le projet de loi de Finances 2018, les députés ont rejeté – avec l’aval du gouvernement – un amendement qui prévoyait de supprimer la TVA super-réduite (2,10 %) dont bénéficie la presse en ligne depuis 2014. En revanche, ils interdisent les abus des FAI.

En clair. Les fournisseurs d’accès à Internet (FAI) ne pourront plus jouer avec la TVA à taux super-réduit, celle à 2,10 % réservée à la presse imprimée et depuis février 2014 à la presse en ligne. Ainsi en a décidé l’Assemblée nationale lors des débats sur le projet de loi de Finances 2018. « Il s’agit de réparer une erreur d’interprétation possible, qui permet[trait] à certains opérateurs économiques de profiter d’un vide juridique. Certains [FAI] vendent à leurs clients de la presse en ligne, accessible depuis leur téléphone ou leur tablette. Ils utilisent le taux réduit de TVA, destiné à la presse et non aux opérateurs – agents économiques soumis au taux normal de TVA – en considérant que la proportion d’achat de la presse permet d’élargir le bénéfice du taux réduit de TVA à d’autres activités. Il y a donc une sorte d’effet d’aubaine », a dénoncé Gérald Darmanin, ministre de l’Action et des Comptes publics. SFR (groupe Altice) avait été le premier FAI – avec son offre SFR Presse – à appliquer la TVA à 2,10 % sur une bonne partie des forfaits triple play payés par ses abonnés. Bouygues Telecom lui avait ensuite emboîté le pas, en s’appuyant sur la plateforme LeKiosk (également partenaire de Canal+).
Potentiellement, selon une analyse de JP Morgan daté de juin, si les deux autres FAI
– Orange et Free – avaient suivi, le total représenterait pour l’Etat une perte fiscale de
1 milliard d’euros ! Il faut dire que, par ailleurs, les opérateurs télécoms s’estiment toujours trop taxés au profit des industries culturelles et des collectivités territoriales (lire p. 8 et 9). En juillet, le Syndicat de la presse indépendante d’information en ligne (Spiil) s’était insurgé contre ses offres de presse couplées, « un hold-up fiscal par des acteurs économiques dont la presse n’est pas le principal métier ».
Quoi qu’il en soit, l’article 4 du « PLF 2018 » corrige cette faille qui profite aux FAI. En revanche, toujours dans l’hémicycle, le ministre Gérald Darmanin s’est opposé à un amendement déposé par  la députée Emmanuelle Ménard (1) qui demandait la suppression du taux super-réduit pour la presse en ligne car « contraire à la directive européenne “TVA” du 28 novembre 2006 » (2). Et de s’en prendre à Mediapart, qui, selon elle, profiterait d’« un cadeau fiscal totalement injustifié de près de 1 million d’euros par an ». Après un avis défavorable de Gérald Darmanin, l’amendement ne
fut pas adopté. @

L’annulation de la directive « Conservation des données » crée un vide juridique inquiétant

Par son arrêt du 8 avril, la Cour de Justice européenne vient d’invalider la directive « Conservation de certaines données » qu’elle juge nécessaire mais trop intrusive. Des révisions nationales sont à prévoir. C’est aussi une brèche ouverte à une multitude de recours individuels ou collectifs.

Par Katia Duhamel, avocat, cabinet Bird & Bird

Saisis par deux questions préjudicielles, les juges européens ont invalidé entièrement la directive sur la conservation des données par les services de communications électroniques
(1) en caractérisant une « ingérence vaste et particulièrement grave » dans les droits garantis aux articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne (2) – lesquels garantissent respectivement le respect de la vie privée et la protection des données à caractère personnel.

Ingérence versus proportionnalité
Si la décision (3) de la Cour de Justice de l’Union européenne (CJUE) opère un renversement de l’histoire, puisque ladite directive avait été précisément votée sur
ces mêmes fondements, ce revirement restait prévisible aux vues des contestations récurrentes dont a fait l’objet ce texte depuis son adoption au sein des Etats membres.
La Haute cour irlandaise d’une part, saisie de la légalité des mesures nationales portant sur la conservation des données liées aux communications électroniques, et la Cour constitutionnelle autrichienne d’autre part saisie de plusieurs recours visant à l’annulation des dispositions nationales transposant ladite directive en droit autrichien, ont enfin permis à la CJUE de répondre à la question de savoir si les données des abonnés et des utilisateurs peuvent ou non être conservées en vertu des articles 7 et 8 de la Charte des droits fondamentaux.
Pour y répondre, la CJUE constate en premier lieu l’existence d’une ingérence flagrante dans les droits fondamentaux des individus et souligne, à la suite de son avocat général, qu’elle « s’avère d’une vaste ampleur et qu’elle doit être considérée comme particulièrement grave » (4).
En effet, ces données prises dans leur ensemble sont susceptibles de fournir des indications très précises sur la vie privée des personnes dont les données sont conservées, telles que la fréquence des communications, les lieux d’appels, les habitudes qui en ressortent, etc.
Selon la CJUE, la conservation de ces données constituent en soi une ingérence dans la vie privée des individus aggravée par le droit d’accès des autorités nationales compétentes auxdites données, accès considéré comme une immixtion particulièrement grave dans les droits fondamentaux des personnes.
Enfin, la conservation des données et l’utilisation ultérieure de celles-ci étant effectuées sans que l’abonné en soit informé, elle est « susceptible de générer dans l’esprit des personnes concernées (…) le sentiment que leur vie privée fait l’objet d’une surveillance constante ».
Par ces trois motifs, la CJUE caractérise l’ingérence faite par la directive aux droits fondamentaux garantis par la Charte européenne.
L’article 52§ 1 de la Charte européenne se fonde sur la Convention européenne des droits de l’Homme (CEDH) pour limiter de potentielles atteintes aux droits fondamentaux,
en l’espèce ceux du respect à la vie privée. En effet, en vertu de l’article 8 de la CEDH
« toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance. Il ne peut y avoir ingérence d’une autorité publique dans l’exercice de
ce droit que pour autant que cette ingérence est prévue par la loi et qu’elle constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale, à l’intégrité territoriale ou la sûreté publique, à la défense de l’ordre et à la prévention des infractions pénales ou à la protection des droits et libertés d’autrui »

Conservation de 6 à 24 mois
Ce concept de nécessité renvoie au contrôle strict de la proportionnalité des mesures contestées tel qu’il a été mise en oeuvre en l’espèce par la CJUE. Si la CJUE estime
que les impératifs de sécurité nationale et d’ordre public, ainsi que la lutte contre la criminalité, justifient pleinement d’apporter des dérogations aux droits fondamentaux
des individus, elle juge pour autant que les mesures prévues par la directive dans ce
but légitime sont disproportionnés au regard des objectifs recherchés.

De ce fait, le législateur de l’Union aurait excédé les limites qu’impose le respect du principe de proportionnalité et l’ingérence causée dans la vie privée des individus, serait excessive faute d’un encadrement suffisant des dérogations proposées. Implacablement, elle déroule ainsi les motifs qui justifient son analyse :

• La directive couvre de manière trop générale l’ensemble des individus, des moyens
de communication électronique et des données relatives au trafic sans qu’aucune différentiation, limitation ou exception ne soit opérée en fonction de l’objectif visé.

• Aucun critère, autrement dit aucun garde-fou, objectif ne vient garantir le fait que les autorités nationales compétentes n’aient accès aux données et ne puissent les utiliser qu’aux seules fins légalement prévues. Au contraire, la directive se borne à renvoyer de manière générale aux « infractions graves » définies par chaque État membre dans son droit interne. De plus, sur le plan procédural, l’accès des autorités n’est subordonné à aucun contrôle préalable d’une juridiction ou d’une entité administrative indépendante.

• De plus, la durée de conservation des données est fixée de 6 à 24 mois et ce, quelles que soient les catégories de données, leur utilité et les personnes concernées, alors que la directive ne précise les critères objectifs sur la base desquels la durée de conservation doit être déterminée afin de garantir sa limitation au strict nécessaire.

• Enfin, la directive ne prévoit pas de garanties suffisantes permettant d’assurer une protection efficace des données contre les risques d’abus et d’utilisation illicite.
En effet, la CJUE relève, entre autres, que la directive autorise les fournisseurs de services à tenir compte de considérations économiques lors de la détermination du niveau de sécurité qu’ils appliquent et qu’elle ne garantit pas la destruction irrémédiable des données au terme de leur durée de conservation. Elle critique aussi le fait que la directive n’impose pas une conservation des données sur le territoire de l’Union européenne.
C’est donc pour l’ensemble de ces motifs que les juges européens affirment l’invalidité
de l’intégralité de la directive soumise à son contrôle juridictionnel.

Qu’elle soit acclamée par les défenseurs des libertés ou décriée par les autorités en charge de la lutte contre la cybercriminalité, la décision de la CJUE ne peut que semer
un certain désordre au sein de l’Union européenne. En effet, les juridictions nationales
ne peuvent donc plus appliquer l’acte déclaré invalide ni même les lois de transposition nationale. Ce qui laisse les opérateurs dans un vide juridique jusqu’à l’adoption d’une prochaine directive. Au demeurant, les conclusions de l’avocat général invitaient déjà les Etats de l’Union européenne à prendre « les mesures nécessaires » pour remédier « à l’invalidité constatée » de cette directive. Les mesures pour venir corriger les lacunes législatives avérées doivent intervenir « dans un délai raisonnable », a-t-il insisté.
Certains utilisateurs de services de communications électroniques pourraient également se saisir de cette opportunité pour exiger un droit de regard sur les données conservées qui leur sont propres, voire en réclamer leur destruction. Si a priori, nous ne pensons pas que les dispositions relatives aux procédures d’action de groupe, ou class action , soient applicables au cas en d’espèce, il se peut que certains en rêvent.
Enfin, l’affaire vient alimenter le moulin de la commissaire européenne Viviane Reading
– en charge de la Justice – et remettre en selle son projet de directive sur la protection des données personnelles qui s’est fait débouté lors de son examen par les ministres
de l’Union européenne en juin dernier.

De l’eau au moulin de Viviane Reding
Pour mémoire ce projet, présenté par la vice-présidente de la Commission européenne
en janvier 2012 , vise à adapter la réglementation européenne pour : lutter contre les pratiques américaines de la NSA qui ont été révélées par la suite et qui font scandale depuis des mois ; permettre le droit à l’oubli numérique en imposant d’effacer des données personnelles à la demande de leur propriétaire ; ouvrir la possibilité aux citoyens de porter auprès de l’autorité de contrôle nationale, – la Cnil en France – et d’obtenir réparation si leurs données sont utilisées à mauvais escient au sein de l’Union européenne. @