Responsabilité et intelligence artificielle : les fondements mobilisables

Écrit par Guillaume Vandermarcq

L'intelligence artificielle (IA) est généralement décrite comme l'aptitude des machines à reproduire certaines facultés cognitives humaines, notamment l'apprentissage et la résolution de problèmes.  

L’AI Act définit un système d’IA (SIA) comme un système basé sur une machine, conçu pour fonctionner avec divers niveaux d’autonomie et pouvant : s’adapter après son déploiement et analyser les données qu’il reçoit afin de produire des résultats susceptibles d’influencer des environnements physiques ou virtuels. 

Les acteurs de l’IA sont multiples et interconnectés au sein de la chaîne de valeur. Les questions de responsabilité y sont complexes en raison d’une abondance de contraintes (opérationnelles, éthiques et juridiques) et du faible contentieux en la matière.  

 

Une multiplicité d’acteurs  

L’écosystème de l’intelligence artificielle repose sur une chaîne d’acteurs aux rôles complémentaires, dont la responsabilité peut être engagée à différents niveaux. De la conception à l’utilisation finale, chaque intervenant influence le fonctionnement et les impacts du SIA.  

L’AI Act apporte une clarification substantielle en les définissant et en précisant leurs obligations respectives (art. 3) :  

  • Le Fournisseur : la personne ou l’organisme qui développe ou fait développer un SIA, ou un modèle à usage général, et le met sur le marché ou en service sous son propre nom ou marque. Il peut être établi au sein du territoire de l’Union européenne ou en dehors, dès lors que son système est mis en service ou mis sur le marché de l’UE. 

  • Le Déployeur : la personne physique ou l'organisme utilisant sous sa propre autorité un système d'IA sauf lorsque ce système est utilisé dans le cadre d'une activité personnelle à caractère non professionnel. Cette catégorie vise donc particulièrement l’organisation qui déploierait un SIA pour sa stratégie d’entreprise et permet la distinction avec l’utilisateur final.  

  • Le Mandataire : la personne désignée par le fournisseur établi dans un pays tiers pour effectuer des tâches en son nom et pour son compte. Le mandat écrit est le document qui atteste sa désignation et prévoit les missions qui lui sont confiées par le fournisseur.  

  • L’Importateur : la personne située ou établie dans l’UE qui met sur le marché un SIA en son nom mais qui est fabriqué par une entité située dans un pays tiers. 

  • Le Distributeur : la personne qui met à disposition un SIA sur le marché de l’UE sans être ni le fournisseur ni l’importateur. Son rôle est principalement d’assurer la conformité du produit avant sa distribution.  

Les différents régimes de responsabilité applicables  

Responsabilité administrative  

Règlement IA (AI Act) 

Depuis le 2 février 2025, l’AI Act interdit les IA présentant un risque inacceptable pour la sécurité ou les droits des personnes (art. 5 du Règlement).  

À compter du 2 août 2025, les fournisseurs de modèles d’IA à usage général (GPAI), indépendamment de l’approche par les cas d’usage, seront soumis à des obligations spécifiques. Ils devront mettre en place une politique interne garantissant le respect du droit d’auteur "by design", assurer la transparence sur les données utilisées pour l'entraînement, et fournir une documentation technique ainsi que des instructions d’utilisation. Des exigences renforcées, incluant une gestion des risques et le suivi des incidents graves, s’appliqueront aux modèles présentant un risque systémique (art. 51 du Règlement). 

A partir du 2 août 2026, le Règlement s’appliquera également aux systèmes d’IA à haut risque (SIAHR) de l’annexe III du Règlement. Ceux prévus à l’annexe I seront quant à eux soumis à des obligations le 2 août 2027.  

Les obligations de l’AI Act pour les SIAHR 

  • Fournisseur : c’est l'opérateur au centre du système de conformité prévu par le Règlement, particulièrement lorsque son SIA est à haut risque. Il devra se conformer aux obligations énumérées à l’article 16 du Règlement qui renvoie à diverses exigences. Il fixera également les obligations de ses éventuels mandataires en respectant les limitations qui figurent à l’article 22 § 3. 

  • Importateurs et Distributeurs : leurs obligations sont respectivement prévues aux articles 23 et 24 du Règlement. Elles visent principalement à assurer que les SIAHR mis en service au sein de l'UE soient conformes aux obligations du Règlement et, le cas échéant, informent les fournisseurs, mandataires et autorités compétences en cas de détection d’un risque pour la santé ou la sécurité, ou pour les droits fondamentaux des personnes. 

  • Déployeurs : ils devront se conformer aux obligations listées à l’article 26 du Règlement. Elles concernent notamment l’utilisation du SIA conformément aux instructions du fournisseur, du contrôle / de la surveillance humaine du SIA, du signalement aux autorités en cas de risque ou encore de la réalisation d'analyse d'impact sur les droits et libertés fondamentaux des individus. 

 

L’AI Act prévoit que les obligations du fournisseur initial puissent être transmises à une autre personne physique ou un organisme dans trois situations :  

  • La personne commercialise sous son nom / sa marque un SIAHR déjà mis en service ;  

  • La personne porte une modification substantielle du SIAHR ;  

  • La personne modifie la destination d'un SIA, lequel sera soumis au régime des SIAHR.  

 

De fait, le fournisseur initial sera tenu de « coopérer étroitement avec les nouveaux fournisseurs ».  

 

Tout acteur manquant à ses obligations s’expose aux sanctions administratives prévues par l’AI Act. En matière de SIAHR il s’agit notamment du prononcé d’une amende pouvant s’élever jusqu’à 15 millions d’euros ou 3% du chiffre d’affaires annuel (CAA) mondial, l’ordonnance de mise en conformité du système, la suspension de son utilisation ou l’interdiction de sa mise sur le marché (Art. 99, point 4).   

 

Et le RGPD dans tout ça ?   

Le RGPD s’applique aux acteurs de l’IA dès qu’ils traitent des données personnelles en tant que responsables de traitement ou sous-traitants, au sein du territoire de l’UE ou en lien avec des citoyens de l’UE. 

Dès sa conception, un système d’IA exploitant des données personnelles doit être développé, entraîné et déployé avec un objectif clair et une base légale valide (ex. : consentement, obligation légale, exécution d’un contrat). 

 

Les données collectées doivent être strictement nécessaires, pertinentes et proportionnées à la finalité du traitement. Leur volume doit être précisément estimé et leur conservation limitée en conséquence. 

 

La transparence est essentielle : les utilisateurs doivent recevoir une information claire sur la finalité du traitement, les données collectées, la base légale et la durée de conservation. En cas de décision automatisée, ils doivent être informés de leurs droits, notamment la possibilité d’une intervention humaine et la contestation de la décision. 

Enfin, les opérateurs doivent garantir l’exercice des droits des personnes concernées (accès, rectification, effacement, opposition, portabilité) via des procédures simples et accessibles. 

 

Un opérateur d’IA engage sa responsabilité en cas de manquement au RGPD, révélé par un contrôle de la CNIL, qui peut être déclenché par une plainte, un signalement, un contrôle aléatoire ou une fuite de données. 

Les sanctions peuvent inclure un rappel à l’ordre, une mise en conformité sous astreinte, une amende allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial. Les personnes concernées peuvent aussi agir en justice pour obtenir réparation. 

 

Responsabilité civile  

Responsabilité contractuelle 

Un opérateur d’IA engage sa responsabilité contractuelle s’il ne respecte pas ses obligations, causant un préjudice à l’autre partie. Pour cela, il faut un contrat, une mauvaise exécution, un dommage et un lien de causalité. 

Par exemple, une agence de communication qui s’engage à fournir du contenu rédigé par des humains mais utiliserait une IA à l’insu du client pourrait être tenue responsable si cela cause un préjudice financier ou d’image. Le contrat peut prévoir des pénalités comme des indemnités ou un remboursement. Au-delà des sanctions, l’agence risque aussi une perte de confiance et un impact commercial négatif. 

Responsabilité pour faute  

Un dommage causé par une IA peut engager la responsabilité de ses utilisateurs ou développeurs, mais pas celle de l’algorithme, qui n’a pas de personnalité juridique. Prouver la faute des développeurs est complexe en raison de la technicité et du nombre d’acteurs impliqués. 

L’utilisateur peut être tenu responsable s’il utilise l’IA de manière imprudente. Par exemple, s’il envoie des recommandations erronées à cause d’une mauvaise utilisation, il pourrait être poursuivi pour négligence. 

L’UE avait envisagé une réforme avec la directive AI Liability (AILD) pour faciliter la preuve des victimes, mais le projet a récemment été abandonné.  

Alors que la responsabilité pour faute d’un acteur de l’IA repose sur la démonstration d’un manquement à une obligation légale ou contractuelle, la question de la responsabilité du fait des produits défectueux prend une nouvelle dimension avec la récente réforme issue de la directive européenne 2024/2853 du 23 octobre 2024 relative à la responsabilité du fait des produits défectueux.  

Responsabilité du fait des produits défectueux  

La responsabilité des produits défectueux repose sur la directive 85/374/CEE, mais son adaptation aux nouvelles technologies conduit à son remplacement par la directive 2024/2853 du 23 octobre 2024, dont la transposition est prévue d’ici le 9 décembre 2026.  

Cette réforme élargirait la notion de produit aux systèmes d’IA (SIA), rendant les producteurs responsables en cas de défectuosité. La définition du défaut inclurait désormais non seulement les risques pour la sécurité, mais aussi d’autres dommages comme la discrimination. L’IA étant capable d’apprentissage, ses exigences en cybersécurité seraient intégrées, réduisant ainsi les possibilités d’exonération des producteurs, notamment pour les systèmes utilisant le deep learning. 

Les préjudices indemnisables s’étendraient désormais aux atteintes psychologiques et à la perte de données personnelles, en plus des dommages corporels et matériels. Le champ des responsables s’élargirait également : producteurs, distributeurs, plateformes et autres acteurs de la chaîne d’approvisionnement pourraient être tenus responsables. 

Pour faciliter l’indemnisation, la directive instaure une présomption de défectuosité et accorde aux juges un pouvoir d’injonction pour exiger la divulgation d’éléments de preuve. Enfin, elle limite les causes d’exonération : un fabricant ne pourrait plus échapper à sa responsabilité en invoquant un défaut apparu après la mise sur le marché, notamment si une mise à jour sous son contrôle en est la cause.  

Responsabilité pénale  

La responsabilité pénale en matière d’IA pose la question de l’identification des responsables, puisque les systèmes autonomes ne peuvent être poursuivis. Elle peut incomber aux personnes physiques (développeurs, utilisateurs, dirigeants) ou aux personnes morales (entreprises exploitant l’IA). 

Responsabilité pénale des personnes physiques 

  • Développeurs et Opérateurs d’IA  

Un développeur pourrait être poursuivi s’il conçoit une IA à des fins illicites (cyberattaques, deepfakes diffamatoires, escroqueries) ou s’il négligeait des mesures de sécurité entraînant des dommages. Une mise à jour défectueuse causant un accident grave pourrait aussi engager sa responsabilité. 

  • Utilisateurs de l’IA 

Utiliser une IA pour des actes de cybercriminalité (phishing automatisé, usurpation d’identité, etc.) exposerait à des sanctions. Les tribunaux évalueraient l’intention et l’implication de l’utilisateur. 

  • Dirigeants d’entreprises exploitant une IA 

Un dirigeant pourrait être poursuivi en cas de non-respect des réglementations (RGPD, cybersécurité) ou s’il maintenait un SIA dangereux en connaissance des risques. Sa responsabilité dépendrait de son contrôle sur l’IA et des mesures de prévention mises en place. 

  • Responsabilité pénale des personnes morales 

Une entreprise est pénalement responsable si une infraction est commise dans son intérêt (ex. : vente d’un algorithme frauduleux). Elle pourrait aussi être sanctionnée pour des failles en cybersécurité. 

Les sanctions incluent amendes, confiscation de biens, interdiction d’exercer, fermeture d’établissement ou publicité de la condamnation. En cas d’infractions graves, elle risque la dissolution ou un placement sous surveillance judiciaire. Les amendes pour une entreprise peuvent atteindre cinq fois celles prévues pour une personne physique. 

Guillaume Vandermarcq
Suivant

Animer un dispositif de conformité : quels enjeux pour les organisations ?