[Doctrine] Le Règlement sur l’intelligence artificielle et le droit des affaires

Mots-clés : intelligence artificielle • IA act • droit des affaires • systèmes d'intelligence artificielle • fournisseur d'intelligence artificielle • déployeur d'intelligence artificielle

Jusqu’à présent, le droit des affaires est resté relativement hermétique aux transformations numériques. Internet, les plateformes ou encore la blockchain n’ont pas bouleversé les fondamentaux de la matière. En revanche, la démocratisation des systèmes d’intelligence artificielle pourrait entraîner des transformations plus substantielles de la pratique du droit en général, et du droit des affaires en particulier. Dans ces circonstances, les entreprises comme leurs conseils doivent se familiariser avec le Règlement sur l’intelligence artificielle. L’objectif de cette étude est de dessiner les contours de cette nouvelle législation afin que chacun puisse déterminer s’il doit ou non s’y conformer.

La numérisation des activités a profondément transformé le droit au cours des dernières années, qu’il s’agisse du droit de la consommation, de la propriété intellectuelle ou encore d’autres branches voisines. Dans ce paysage en mutation, le droit des affaires pourrait apparaître comme un irréductible village gaulois, relativement imperméable aux évolutions numériques. Le droit commercial, le droit des entreprises en difficulté ou encore le droit des sociétés semblent, de prime abord, peu concernés. Les initiatives de numérisation du droit des sociétés engagées depuis la loi « NRE » se sont d’ailleurs révélées peu concluantes [1], les acteurs économiques s’appropriant de manière marginale les outils numériques mis à leur disposition.

Cependant, l’essor de l’intelligence artificielle bouleverse cet équilibre apparent. Aucune activité n’y échappe : ses effets se font sentir sur les plans économique, social et juridique. Le droit des affaires serait-il, cette fois encore, épargné ? S’il ne constitue sans doute pas la branche la plus directement exposée, il n’en demeure pas moins que l’intelligence artificielle interpelle le juriste d’affaires à plusieurs titres.

D’abord, certains domaines sont touchés au cœur même de leurs règles matérielles. C’est le cas du droit de la concurrence [2], confronté aux algorithmes de tarification ou de coordination, ou encore du droit des marchés financiers, déjà saisi par les enjeux de transparence et de contrôle des modèles d’IA. À cet égard, l’Autorité européenne des marchés financiers (AEMF) a récemment publié un guide sur l’utilisation de systèmes d’intelligence artificielle dans les services d’investissement destinés aux particuliers, soulignant à la fois les opportunités et les risques juridiques associés [3]. Ensuite, au-delà de ces exemples sectoriels, l’usage croissant de l’IA dans les entreprises engendre de nouvelles obligations de conformité. Qu’il s’agisse d’un logiciel de recrutement automatisé triant les candidatures ou d’un outil de scoring utilisé par un établissement bancaire pour l’octroi d’un crédit, ces systèmes activent des exigences spécifiques de transparence, de traçabilité et d’évaluation des risques. L’entreprise devient ainsi débitrice d’obligations nouvelles, au croisement du droit de la compliance et du droit technologique. Enfin, c’est la pratique même du droit des affaires qui connaît une mutation. Les institutions et les professionnels s’emparent à leur tour de ces outils : le tribunal de commerce de Paris a annoncé l’usage d’IA dans certaines de ses activités, tandis que la Chancellerie supervise la conception d’applications destinées aux juridictions. De leur côté, avocats et juristes intègrent désormais ces technologies dans leurs tâches quotidiennes, qu’il s’agisse de recherches documentaires, de rédaction d’actes ou de conseils stratégiques. Ces pratiques soulèvent, à court terme, d’importants enjeux procéduraux et déontologiques, notamment en matière de droits fondamentaux et de responsabilité.

Ainsi, loin d’être un bastion préservé, le droit des affaires est désormais pleinement concerné par les transformations induites par l’intelligence artificielle. L’entrée en vigueur progressive du Règlement européen sur l’IA [4] impose à l’ensemble des acteurs – concepteurs comme utilisateurs – de nouvelles exigences de conformité. Il devient donc essentiel de se familiariser avec ce cadre normatif afin d’en mesurer la portée. Trois interrogations structurent dès lors l’analyse : quels systèmes sont soumis à la réglementation (I) ? Qui en sont les destinataires (II) ? Quels sont les obligations qui en découlent (III) ?

I. Les systèmes d’IA

Le Règlement sur l’intelligence artificielle adopte une définition particulièrement large des systèmes d’intelligence artificielle (A), laissant penser que son champ d’application matériel est considérable. En réalité, la portée de la réglementation s’avère plus limitée, seuls certains de ces systèmes étant effectivement encadrés (B).

A. Définition des systèmes d’IA

L’un des principaux enjeux de la réglementation européenne en matière d’intelligence artificielle réside dans la définition retenue des systèmes concernés. L’approche adoptée est suffisamment large pour inclure un grand nombre d’outils utilisés dans la vie des affaires. La première étape consiste donc à recenser les systèmes employés susceptibles d’entrer dans le champ du règlement.

Au sens du droit de l’Union européenne, un système d’IA désigne « un système automatisé conçu pour fonctionner à différents niveaux d’autonomie et pouvant faire preuve d’une capacité d’adaptation après son déploiement, et qui, pour des objectifs explicites ou implicites, déduit, à partir des entrées qu’il reçoit, la manière de générer des sorties telles que des prédictions, du contenu, des recommandations ou des décisions susceptibles d’influencer des environnements physiques ou virtuels ».

Cette définition, très générale, n’est fondée ni sur la nature des systèmes informatiques utilisés, ni sur les fonctions exercées, pas plus que sur les secteurs d’activité dans lesquels ils peuvent être déployés. À première vue, le champ d’application matériel paraît excessivement large, laissant craindre un travail de conformité considérable pour les entreprises. Seraient ainsi visés des systèmes ordinaires ne présentant pas, a priori, de risques spécifiques justifiant l’imposition d’obligations particulières. De nombreux logiciels intègrent aujourd’hui des fonctionnalités reposant sur des techniques d’intelligence artificielle — par exemple, des outils bureautiques proposant des fonctions de résumé ou de traduction automatique. L’intention du législateur européen ne saurait toutefois aller jusqu’à soumettre ces solutions à un encadrement strict. C’est pourquoi, au-delà de cette définition générale, le Règlement sur l’IA opère d’importantes distinctions destinées à restreindre effectivement son champ d’application. Aussi, il ne suffit pas qu’une entreprise conçoive ou utilise un système répondant de cette définition pour être soumise au Règlement. Il faut mener plus en avant le travail de qualification pour vérifier la catégorie dont relève le système en cause.

B. Classification des systèmes d’IA

Le législateur européen a choisi de classer les systèmes d’intelligence artificielle en fonction des risques qu’ils présentent, le risque étant défini de manière classique comme « la combinaison de la probabilité d’un préjudice et de la gravité de celui-ci ». Trois niveaux de risques sont ainsi envisagés, impliquant des contraintes réglementaires plus ou moins strictes : les risques limités, les risques élevés et les risques inacceptables.

L’interdiction des systèmes d’IA à risque inacceptable. Certains systèmes, compte tenu de leur fonction et de leurs effets, présentent des risques d’une gravité telle que le droit de l’Union européenne en interdit purement et simplement l’utilisation. Aucune démarche de conformité n’est donc envisageable, ces systèmes ne pouvant en aucun cas être mis en service. Le Règlement en dresse une liste exhaustive.

Certains de ces systèmes apparaissent éloignés de la vie des affaires. Sont notamment prohibés les systèmes « qui créent ou développent des bases de données de reconnaissance faciale par le moissonnage non ciblé d’images faciales provenant d’internet ou de dispositifs de vidéosurveillance » (art. 5, e). Dans la même logique, sont également interdits les « systèmes de catégorisation biométrique qui classent individuellement les personnes physiques sur la base de leurs données biométriques afin de déduire ou d’inférer leur race, leurs opinions politiques, leur appartenance syndicale, leurs convictions religieuses ou philosophiques, leur vie sexuelle ou leur orientation sexuelle » (art. 5, g).

D’autres systèmes prohibés, en revanche, pourraient trouver des applications dans le cadre d’activités commerciales. C’est notamment le cas de ceux visant à manipuler le public. L’exploitation des données personnelles diffusées par les utilisateurs de services en ligne permet d’inférer des opinions, des traits de personnalité ou encore des pathologies, susceptibles d’être exploités à des fins de ciblage publicitaire. Le Règlement sur l’IA entend prévenir ces dérives en interdisant notamment : les systèmes « recourant à des techniques subliminales, en dessous du seuil de conscience d’une personne, ou à des procédés délibérément manipulatoires ou trompeurs, dans le but d’altérer substantiellement son comportement » (art. 5, a) ; les systèmes « exploitant les vulnérabilités liées à l’âge, au handicap ou à la situation sociale ou économique » d’une personne (art. 5, b) ; les systèmes visant à « inférer les émotions d’une personne physique sur le lieu de travail ou dans les établissements d’enseignement, sauf si cette utilisation est justifiée par des motifs de santé ou de sécurité » (art. 5, f).

Toujours dans la sphère des usages économiques, certains systèmes de notation sociale sont également proscrits. Sont ainsi interdits la mise sur le marché, la mise en service ou l’usage de systèmes d’IA destinés à « évaluer ou classer des personnes physiques […] en fonction de leur comportement social ou de caractéristiques personnelles ou de personnalité connues, déduites ou prédites » (art. 5, c). Cette interdiction vise explicitement les pratiques de crédit social (ou social ranking), consistant à attribuer un score à des individus pour déterminer l’étendue de leurs droits, ce qui pourrait, par exemple, être appliqué à des salariés ou à des débiteurs.

Toutefois, cette interdiction n’est pas absolue : elle n’exclut pas, par exemple, l’utilisation de systèmes de scoring dans le domaine bancaire.

L’encadrement des systèmes à haut risque.  L’essentiel des dispositions de la réglementation européenne s’applique aux systèmes d’intelligence artificielle à haut risque, ce qui confère à leur qualification une importance déterminante. Or, le droit de l’Union européenne manque de clarté sur ce point. L’article 6 du Règlement, qui y est consacré, se révèle particulièrement dense et multiplie les renvois aux annexes I et III du texte.

Pour identifier un système à haut risque, plusieurs méthodes sont combinées. La première consiste à en décrire les caractéristiques générales. Un système est ainsi qualifié de « haut risque » lorsqu’il réunit deux conditions cumulatives : d’une part, il constitue un composant de sécurité d’un produit ou le produit lui-même relevant du droit de l’Union au sens de l’annexe I ; d’autre part, il est soumis à une procédure d’évaluation de conformité préalable à la mise sur le marché, telle que prévue par cette même annexe. Le recours excessif à ces renvois nuit cependant à la lisibilité du texte.

La seconde méthode, plus explicite, repose sur la liste figurant à l’annexe III, à laquelle renvoie également l’article 6. Cette annexe énumère divers systèmes identifiés comme à haut risque, sans véritable effort de classification, sous la forme d’une liste d’exemples hétérogènes. On y retrouve par exemple les systèmes d’IA utilisés pour déterminer l’accès, l’admission ou l’affectation de personnes physiques à des établissements d’enseignement ou de formation professionnelle, ou encore ceux employés par les autorités publiques pour évaluer l’éligibilité des individus aux prestations sociales essentielles, y compris de santé, ou pour octroyer, modifier ou retirer ces prestations. Au titre des systèmes susceptible d’intéresser la vie des affaires, on peut citer, par exemple, les systèmes d’évaluation de la solvabilité ou de notation de crédit des personnes physiques, à l’exception de ceux destinés à la détection de fraudes financières. Plus généralement, d’autres sont susceptibles d’affecter la pratique du droit des affaires. Ainsi, sont considérés comme des systèmes d’IA à haut risque les systèmes employés par les autorités judiciaires pour les assister dans l’interprétation des faits ou du droit, ainsi que dans l’application de la loi à des situations concrètes, ou encore dans les règlements extrajudiciaires de litiges. Ainsi, les avocats confrontés à des juridictions utilisant des outils d’IA dans le processus décisionnel devraient pouvoir compter sur le bénéfice des mesures de protection énoncées par le Règlement.

Le législateur européen a opté pour une approche transversale, indépendante des secteurs d’activité concernés. Une telle méthode, bien que cohérente dans son principe, conduit parfois à une abstraction excessive, soumettant des systèmes peu risqués à des contraintes disproportionnées. Pour y remédier, l’article 6, paragraphe 3, du Règlement prévoit une voie de dérogation : un opérateur peut, sous certaines conditions et après une procédure stricte, démontrer que le système en cause ne présente pas de risque important pour la santé, la sécurité ou les droits fondamentaux des personnes physiques, notamment parce qu’il n’a pas d’incidence significative sur la prise de décision.

L’ignorance des systèmes à risque faible et modéré. Le Règlement ne connaît que deux catégories de systèmes d’IA, ceux à risque intolérable interdit et ceux à haut risque encadré. Il s’agit de catégories précisément délimitées. Au-delà, se retrouve donc une catégorie résiduelle dans laquelle se retrouve tous les autres systèmes dont on comprend que le Règlement ne les appréhende pas en raison des risques limités qu’ils présentent. Il s’agit d’une forme de seuil de minimis : en de ça d’un certain degré de risque, leur utilisation est libre au sens de cette réglementation, mais pourrait éventuellement relever d’autres, qu’il s’agisse du RGPD [5], du DSA [6] ou d’autres réglementations applicables aux outils numériques.

II. Les opérateurs

L’intelligence artificielle se distingue par la complexité de son processus de création. Tout au long de la chaîne de valeur — de la conception initiale jusqu’à l’usage final par l’utilisateur — interviennent une multitude d’acteurs, publics ou privés, qui contribuent à la mise en circulation du système. Chacun d’eux constitue un débiteur potentiel d’obligations au titre du Règlement. L’enjeu est donc d’identifier précisément les personnes soumises à ce dernier.

Les fournisseurs et leurs intermédiaires. Le texte commence par définir la catégorie des fournisseurs. Est considéré comme tel « une personne physique ou morale, une autorité publique, une agence ou tout autre organisme qui développe ou fait développer un système d’IA ou un modèle d’IA à usage général et le met sur le marché ou le met en service sous son propre nom ou sa propre marque, à titre onéreux ou gratuit » (art. 3, 3°).

Cette définition est volontairement large : le fournisseur peut être une entité publique ou privée, dès lors qu’elle est à l’origine du développement du système, soit directement, soit par l’intermédiaire d’un tiers. Toutefois, cette qualification suppose que le système soit mis sur le marché ou en service sous le nom ou la marque de cette personne. En l’absence d’établissement dans l’Union européenne, la mise en circulation du système requiert alors l’intervention d’un intermédiaire, qualifié de mandataire ou d’importateur, selon les modalités retenues.

D’abord, la catégorie de « mandataire » est envisagée lorsque le fournisseur établi dans un État tiers entend mettre en circulation un système sur le territoire de l’Union européenne. Le cas échéant, il devra recourir à un mandataire qui sera tenu de « s’acquitter en son nom des obligations et des procédures établies par le présent règlement » (art. 3, 5°). Dans une telle configuration, l’article 22, 1° rend impératif la désignation d’un mandataire avant toute mise en circulation d’un système à haut risque dans l’UE. Ensuite, le modèle économique retenu peut conduire à faire intervenir un « importateur ». Lorsqu’une personne située dans l’UE s’approvisionne auprès d’une personne établie dans un État tiers et que le système porte le nom ou la marque de ce dernier, elle a alors la qualité d’importateur (art. 3, 6). Enfin, le Règlement retient encore une troisième configuration le conduisant à identifier la figure du « distributeur ». Cette catégorie est entendue très largement comme « une personne physique ou morale faisant partie de la chaîne d’approvisionnement autre que le fournisseur ou l’importateur, qui met un système d’IA à disposition sur le marché » (art. 3,7°). Ce faisant, le Règlement s’assure qu’il y aura toujours une personne pour supporter les obligations qu’il prescrit. Subsiste toutefois la difficulté de la ventilation de ces obligations entre toutes les parties prenantes

Les déployeurs. De l’autre côté de la chaine de la valeur, on retrouve une autre catégorie déterminante au travers de la qualification de « déployeur », désignant les personnes faisant usage des systèmes d’IA à l’occasion de leurs activités. Le déployeur est défini comme la « personne physique ou morale, une autorité publique, une agence ou un autre organisme utilisant sous sa propre autorité un système d’IA sauf lorsque ce système est utilisé dans le cadre d’une activité personnelle à caractère non professionnel » (art. 3, 4°). Ce néologisme a été préféré au terme plus usuel d’utilisateur de manière à clairement signifier que seuls ceux qui en font un usage professionnel sont concernés par la qualification, bien que celle d’« utilisateur professionnel » aurait pu convenir. Le Règlement n’a donc pas vocation à encadrer les utilisations faites par les particuliers des systèmes en cause. Ainsi entendu, l’utilisation d’un système d’IA par une entreprise pour son activité, par une juridiction pour ses fonctions juridictionnelles ou un avocat pour ses missions de conseils et de représentation sont autant de situations où la qualification de déployeur peut s’imposer et, par extension, déclenché l’application de nombreuses obligations, sous réserve évidemment que le système utilisé relève de la qualification de système à haut risque.

III. Les obligations

Surenchère règlementaire. Le Règlement européen sur l’intelligence artificielle se caractérise par une densité normative remarquable. Les obligations qu’il impose aux divers acteurs de la chaîne de l’IA sont si nombreuses qu’en dresser la liste exhaustive serait illusoire. Leur contenu, souvent d’une minutie technique inhabituelle, rend toute tentative de synthèse périlleuse, tant elle risquerait d’altérer la portée réelle du texte. Ces prescriptions relèvent pour l’essentiel d’une logique de conformité : elles définissent les comportements attendus de manière si détaillée qu’elles ne laissent guère de place à l’interprétation. Dès lors, la seule voie d’application rigoureuse consiste en une lecture attentive et littérale de ces dispositions. L’adoption du RGPD avait en son temps conduit à un important travail de conformité. Le Règlement sur l’intelligence artificielle va emporter des conséquences similaires. Cette fois, la logique de conformité est poussée à son paroxysme le législateur ayant, semble-t-il, renoncer à l’intelligibilité du régime institué, préférant la superposition d’obligations d’une excessive précision. L’objectif poursuivi était peut-être de faciliter le travail de conformité des entreprises en ne laissant aucune place à l’incertitude ou l’interprétation. Le cas échéant, l’objectif ne semble pas atteint. La pleine compréhension de nombreuses obligations suppose encore l’adoption d’actes délégués ou, à tout le moins, une pratique décisionnelle des autorités de régulation permettant d’en mesurer la portée.

Systématisation des obligations. En apparence, la structure du Règlement peut sembler claire. Il distingue d’abord les obligations rattachées aux systèmes d’IA à haut risque eux-mêmes (art. 8 et s.), puis celles applicables aux différents intervenants du cycle de vie du système : les fournisseurs (art. 16 et s.), les mandataires (art. 22), les importateurs (art. 23), les distributeurs (art. 24) et enfin les déployeurs (art. 26 et s.). Pourtant, l’exercice consistant à répartir précisément les responsabilités se révèle complexe. Certaines se superposent brouillant les frontières entre les catégories d’acteurs. Cette interpénétration normative crée une trame dense où les obligations se répondent et s’emboîtent plus qu’elles ne se succèdent. Face à cette architecture foisonnante, une lecture segmentée par type d’acteur perd rapidement de sa pertinence.

Sécurité des systèmes. Il paraît plus éclairant d’envisager le Règlement à travers les finalités poursuivies par ses prescriptions. Les exigences qui s’y trouvent énoncées obéissent en effet à des logiques fonctionnelles distinctes : certaines visent à anticiper l’émergence de risques et à les circonscrire en amont. Pour ce faire, le Règlement mobilise des méthodes issues du droit de la compliance et qui rappellent à certains égards la compliance by design telle qu’envisagée par le RGPD. Les fournisseurs doivent ainsi procéder à une cartographie des risques et des mesures appropriées pour y répondre (art. 9). Les déployeurs doivent en faire de même en réalisant une « analyse d’impact des systèmes d’IA à haut risque sur les droits fondamentaux (art. 27). De manière plus technique, les fournisseurs doivent encore élaborer des dispositifs destinés à garantir l’exactitude, la robustesse et la cybersécurité des systèmes (art. 15).

Contrôle des systèmes. Dans un autre registre, le Règlement prévoit diverses mesures destinées à garantir l’effectivité d’un contrôle humain des systèmes d’IA. Pour cela, fournisseurs et déployeurs doivent mettre en œuvre divers procédés destiné à garantir une « maitrise de l’intelligence artificielle » par les personnels qu’ils emploient (art. 4), ce qui supposera le plus souvent des formations spécifiques. Cet objectif est complété par d’autres obligations à la charge des fournisseurs lors de la conception des outils (art. 14) ou des déployeurs lors de leur utilisation (art. 26, 2°). À ce titre, il leur est fait obligation de confier « le contrôle humain à des personnes physiques qui disposent des compétences, de la formation et de l’autorité nécessaires ainsi que du soutien nécessaire ».

Transparence des systèmes. Pour pallier l’opacité des systèmes d’IA souvent qualifié de « boîte noire », le Règlement impose de nombreuses obligations d’information, certaines pouvant aller jusqu’à une forme de devoir de transparence. Les mesures concourant à cet objectif sont nombreuses : enregistrement de certains systèmes d’IA pour faciliter leur identification (art. 71), information du public exposé à un systèmed’IA (art. 26, 11°), réalisation de registre consignant l’historique de l’activité d’un système d’IA (art. 12) notamment au travers de journaux générés automatiquement (art. 19) auxquels s’ajoute de nombreuses obligations d’informations art. 11 et 13). 

Ce bref aperçu ne suffit évidemment pas à rendre compte de l’étendue des obligations que recèle le Règlement sur l’intelligence artificielle et par extension, de l’ampleur du travail de conformité qu’appel l’utilisation d’un système à haut risque. Si les autres échapperont à ce fardeau réglementaire, tous seront confrontés d’une manière ou d’une autre à des systèmes d’intelligence artificielle relevant de cette nouvelle réglementation. L’intelligence artificielle est à présent l’affaire de tous.

© Reproduction interdite, sauf autorisation écrite préalable