Les questions juridiques inhérentes aux IA génératives
Publié en ligne le 21 septembre 2023 - Intelligence Artificielle -
Les auteurs de science-fiction, Isaac Asimov le premier, et les informaticiens, Alan Turing le premier, ont prédit ou contribué à l’avènement des IA génératives de dernières générations, au rang desquels Chat GPT (Generative Pre-trained Transformer) d’OpenAI, Bard de Google ou Bing Chat de Microsoft pour la production de contenus textuels ou de lignes de code, Dall-E d’OpenAI ou Midjourney pour la production d’images, ou encore Music Large Model de Google pour la production musicale.
Les humains sont, ce faisant, confrontés à de puissants systèmes d’intelligence artificielle capables de proposer des contenus variés, de type textes, lignes de code, images, musique. Fondées sur des techniques d’apprentissage mettant en œuvre de la « fouille de données » (data mining) sur l’ensemble des pages de l’Internet ou sur certaines d’entre elles, ces IA génératives de dernière génération formulent un résultat, selon une présentation « humanisée » et en présentant une unique réponse à une requête, choisie parmi de nombreuses alternatives possibles, ajoutant une fausse impression de véracité. Cette réponse « humanisée » unique proposée par les IA génératives de dernières générations est produite au moyen d’une recomposition d’éléments provenant des textes préexistants, présents dans le corpus de données utilisées lors de l’apprentissage. L’apprentissage opéré le plus souvent sur l’ensemble des pages d’Internet peut faire l’objet d’un « fine tuning », d’un affinement réalisé par l’utilisateur lui-même, en apportant à l’IA générative des données d’apprentissage complémentaires permettant de personnaliser davantage les réponses de cette IA aux requêtes formulées.
Ce processus est tout à la fois probabiliste et aléatoire. Probabiliste, car la composition de la réponse à la requête se fait selon un agencement d’éléments dont la vraisemblance est évaluée au regard des règles en matière linguistique, informatique, musicale, artistique et du contenu utilisé lors de l’entraînement du système. Ceci explique par ailleurs que les phénomènes dits d’« hallucination » peuvent apparaître, c’est-àdire que des agencements probablement pertinents d’éléments peuvent aboutir à la composition d’une réponse manifestement fausse, bien que perçue comme dotée d’une forme de véracité [1] par le système d’intelligence artificielle. Aléatoire, car le système sélectionne de manière aléatoire le contenu final à produire. En d’autres termes, le système d’IA, à une même requête, donnera au temps t une réponse unique, en apparence originale et dotée de véracité, qui sera différente de celle que ce même système proposera au temps t+1.
Chaque facette des IA génératives de nouvelles générations soulève des questions juridiques complexes, dont nombre d’entre elles font d’ores et déjà l’objet d’un corpus de textes et de solutions jurisprudentielles bien affermies qui auront vocation à être mises en œuvre dans l’avenir dans ce nouveau contexte. La question des risques pour la santé, la sécurité et les droits fondamentaux en matière d’IA, qui se trouve fortement renouvelée pour les IA génératives, est pour sa part en cours de réglementation au niveau européen dans le cadre du futur règlement pour l’intelligence artificielle (parfois désignée sous le terme de « AI Act ») [2].
Les données : protection des données personnelles et des droits de propriété intellectuelle
Les questions juridiques relatives aux données manipulées par le système, que ce soit celles liées au corpus de données utilisé lors de l’apprentissage du système ou à la gestion des échanges avec les utilisateurs, renvoient à des questions classiques, mais non encore résolues, comme la protection des données personnelles ou de la propriété intellectuelle.
La protection des données personnelles
Deux types de données personnelles sont massivement traitées par les IA génératives. Il y a tout d’abord celles, très nombreuses, qui se trouvent en accès libre sur l’ensemble des pages Internet (réseaux sociaux, etc.) qui servent de base d’apprentissage aux IA génératives. Il y a ensuite celles qui sont présentes dans les requêtes (les « prompts ») formulées par les utilisateurs, ainsi éventuellement que dans les jeux de données affinées qui peuvent être fournis par les usagers de l’IA générative afin de produire des résultats plus adaptés aux besoins de ceux-ci.
Dans l’Union européenne, l’ensemble de ces données sont soumises au règlement général sur la protection des données (RGPD) de l’Union européenne (2016) [3]. Plusieurs plaintes pour violation par les IA génératives des dispositions du RGPD sont actuellement en cours devant la Cnil française (Commission nationale de l’informatique et des libertés), en particulier pour absence de politique effective de confidentialité des données. L’autorité de régulation italienne a également été saisie de la violation du RGPD par Chat GPT et a pris une mesure temporaire d’interdiction de son usage, avec obligation pour le développeur (la société OpenAI) de se conformer à un certain nombre d’exigences, en particulier en matière de transparence sur la finalité du traitement des données. En outre, le Comité européen à la protection des données, regroupant l’ensemble des autorités de régulation des États membres de l’Union, a lancé une task force sur les enjeux en matière de protection des données personnelles soulevés par Chat GPT. Sa finalité est de favoriser la coopération et d’échanger des informations sur les éventuelles mesures d’exécution prises par les autorités chargées de la protection des données dans les différents États membres de l’Union européenne.
La protection des droits de propriété intellectuelle
La question de la protection des droits de propriété intellectuelle concerne tout autant les données utilisées lors de la phase d’apprentissage que les réponses produites par l’IA à la suite d’une requête particulière.
Les systèmes d’intelligence artificielle générative, dans leur phase d’apprentissage, exploitent de très grandes quantités de données issues principalement d’Internet. Certaines de ces données sont protégées par le droit de la propriété intellectuelle. Qu’en est-t-il donc, juridiquement, de la possibilité d’exploiter ces données afin de créer de nouveaux contenus ?
Une directive européenne de 2019 [4] définit ainsi la « fouille de textes et de données », comme « toute technique […] automatisée visant à analyser des textes et des données sous une forme numérique afin d’en dégager des informations, ce qui comprend, à titre non exhaustif, des constantes, des tendances et des corrélations ». Cette directive énumère les cas où cette technique est autorisée en dérogation des droits de propriété intellectuelle. Cela concerne les activités de recherche scientifique (article 3) et, sous certaines conditions (en particulier que les détenteurs des droits n’aient pas explicitement interdit l’usage de leurs œuvres), des finalités qui pourraient être qualifiées de « commerciales » (article 4), telles que la fourniture de services numériques divers, au rang desquels la fourniture d’un service fondé sur l’IA. Ainsi, ces articles semblent tout à la fois permettre la fouille de données des moteurs de recherche, mais également celle des IA génératives dans leurs phases d’apprentissage.
Cependant, ce cadre légal, bien que favorable au développement de l’IA, restant incertain dans ses contours et son domaine d’application, les recours d’artistes considérant que leurs droits de propriété intellectuelle ont été violés se multiplient.
De façon similaire, les réponses produites par les IA génératives, quand elles s’appuient sur un apprentissage réalisé sur les requêtes des utilisateurs, pourraient également tomber dans le domaine des droits de propriété intellectuelle. Enfin, qu’en est-il de la qualification des réponses elles-mêmes, issues d’interactions avec un utilisateur particulier, ayant procédé à plusieurs affinements spécifiques de l’apprentissage de l’IA ? Ces réponses pourraient-elles être qualifiées d’œuvres susceptibles d’être protégées au titre des droits d’auteur ? Le 16 mars 2023, le Copyright Office américain (gestionnaire des droits d’auteurs) a précisé que la protection dont disposera un contenu produit par une IA générative dépendra de la question de savoir si ce contenu est « le résultat d’une reproduction mécanique », par exemple en réponse à une requête, ou si ce contenu reflète la « propre conception mentale » de l’auteur [5].
Les systèmes d’IA présentant des risques inacceptables
« Certaines pratiques sont explicitement interdites dans la proposition de règlement de l’Union européenne [1]. Elles correspondent à des cas d’usage jugés contraires aux valeurs de l’Union, par exemple en raison de violations des droits fondamentaux. Sont ainsi visés :
a) le recours à « des techniques subliminales au-dessous du seuil de conscience d’une personne pour altérer substantiellement son comportement d’une manière qui cause ou est susceptible de causer un préjudice physique ou psychologique à cette personne ou à un tiers » ;
b) l’exploitation « des éventuelles vulnérabilités dues à l’âge ou au handicap physique ou mental d’un groupe de personnes donné pour altérer substantiellement le comportement d’un membre de ce groupe d’une manière qui cause ou est susceptible de causer un préjudice physique ou psychologique à cette personne ou à un tiers » ;
c) les systèmes d’IA « destinés à évaluer ou à établir un classement de la fiabilité de personnes physiques au cours d’une période donnée en fonction de leur comportement social ou de caractéristiques personnelles ou de personnalité connues ou prédites » pouvant conduire à un « traitement préjudiciable ou défavorable […] dans des contextes sociaux dissociés du contexte dans lequel les données ont été générées ou collectées à l’origine » ou « injustifié ou disproportionné par rapport à leur comportement social ou à la gravité de celui-ci » ;
d) les systèmes d’identification biométrique « à distance “en temps réel” dans des espaces accessibles au public à des fins répressives, sauf si et dans la mesure où cette utilisation est strictement nécessaire (recherche ciblée de victimes potentielles de crimes, menace terroriste…) ».
Les systèmes à « haut risque »
« Les systèmes d’IA dits “à haut risque” [sont les systèmes qui] présentent des risques importants pour la santé, la sécurité ou les droits fondamentaux des personnes. Les systèmes d’IA en question devront satisfaire à un ensemble d’exigences obligatoires horizontales garantissant une IA digne de confiance et faire l’objet de procédures d’évaluation de la conformité avant de pouvoir être mis sur le marché de l’Union. Des obligations prévisibles, proportionnées et claires sont aussi imposées aux fournisseurs et aux utilisateurs de ces systèmes afin de garantir la sécurité et le respect de la législation existante en matière de protection des droits fondamentaux tout au long du cycle de vie des systèmes d’IA. Pour certains systèmes d’IA spécifiques, seules des obligations minimales en matière de transparence sont proposées, en particulier lorsque des dialogueurs ou des trucages vidéo ultraréalistes sont utilisés. »
Obligations de transparence pour les systèmes d’IA interagissant avec les personnes
- « Les fournisseurs veillent à ce que les systèmes d’IA destinés à interagir avec des personnes physiques soient conçus et développés de manière à ce que les personnes physiques soient informées qu’elles interagissent avec un système d’IA, sauf si cela ressort clairement des circonstances et du contexte d’utilisation. »
- « Les utilisateurs d’un système de reconnaissance des émotions ou d’un système de catégorisation biométrique informent du fonctionnement du système les personnes physiques qui y sont exposées. »
- « Les utilisateurs d’un système d’IA qui génère ou manipule des images ou des contenus audio ou vidéo présentant une ressemblance avec des personnes, des objets, des lieux ou d’autres entités ou événements existants et pouvant être perçus à tort comme authentiques ou véridiques (“hypertrucage”) précisent que les contenus ont été générés ou manipulés artificiellement. »
Dans les situations 1 et 2, des dérogations sont prévues pour certaines finalités (enquêtes et prévention d’infractions pénales par exemple).
Référence
1 | Commission européenne, « Proposition de règlement du Parlement européen et du Conseil établissant des règles harmonisées concernant l’intelligence artificielle et modifiant certains actes législatifs de l’Union », 21 avril 2021.
L’utilisation : anticipation des risques pour la santé, la sécurité et les droits fondamentaux, indemnisation des dommages
Au-delà des questions juridiques portant sur les données utilisées par les IA génératives et sur la propriété intellectuelle des contenus générés, une importante question concerne bien évidemment les utilisations potentielles de ces nouveaux systèmes d’intelligence artificielle et les risques inhérents à celles-ci.
La Commission européenne a publié le 21 avril 2021 l’« AI act », une proposition initiale de règlement sur l’intelligence artificielle. Dans l’exposé des motifs, elle rappelle les « avantages économiques et sociétaux » et les « résultats bénéfiques » qui peuvent être attendus de ces systèmes, en particulier dans les « secteurs à fort impact, notamment dans la lutte contre le changement climatique, l’environnement et la santé, le secteur public, la finance, la mobilité, les affaires intérieures et l’agriculture ».
Mais elle souligne que « les éléments et techniques qui rendent possibles les bénéfices socio-économiques de l’IA peuvent aussi être à l’origine de nouveaux risques ou de conséquences négatives pour les personnes ou la société ».
Trois niveaux de risques
Cette proposition initiale de règlement a donc pour objectif, dans une logique de sécurisation préventive contre les risques pour la santé, la sécurité et les droits fondamentaux, inhérents aux systèmes d’intelligence artificielle, de consacrer trois niveaux de risques :
- Les risques inacceptables. Les systèmes d’IA présentant des risques inacceptables sont prohibés.
- Les hauts risques. Les systèmes d’IA à haut risque sont assortis d’un certain nombre d’obligations à la charge en particulier des développeurs et des utilisateurs professionnels des systèmes d’IA, dans le but d’éviter la réalisation des risques identifiés par ceux-ci.
- Les risques faibles ou minimaux. Les systèmes d’IA à faible risque ne reçoivent pas de réglementation spécifique dans la proposition initiale de la Commission.
En outre, des obligations de transparence devraient s’appliquer aux systèmes qui interagissent avec les humains, sont utilisés pour détecter des émotions (catégorisation biométrique), ou enfin pour permettre de créer des « hypertrucages » (deep fake).
La responsabilité civile en cas de dommage
Le futur règlement sur l’intelligence artificielle a, en outre, vocation à être complété par une proposition de directive sur la responsabilité civile en matière d’intelligence artificielle (publiée le 28 septembre 2022 [6]). Elle a pour objectif de définir les règles d’une responsabilité civile pour faute en cas de réalisation d’un dommage causé par un système d’IA. Dans l’exposé des motifs, le projet rappelle que les règles existantes en matière de responsabilité pour faute ne sont pas adaptées « dans le cas de dommages causés par des produits et services dotés d’IA ». En effet, en vertu de ces règles, c’est à la victime qu’il incombe de prouver un acte préjudiciable ou d’une omission à l’origine du dommage. Or, souligne le projet, « compte tenu des caractéristiques spécifiques de l’IA, notamment la complexité, l’autonomie et l’opacité (l’effet dit de “boîte noire”), il peut être difficile ou excessivement coûteux pour les victimes d’identifier la personne responsable et d’apporter la preuve des conditions requises pour obtenir gain de cause ». Des dispositions offrant aux victimes les moyens d’obtenir certaines preuves, mais également de faire reposer la charge de certaines preuves sur les développeurs et utilisateurs professionnels des systèmes d’IA sont donc envisagées au sein de cette proposition de directive.
Ces différentes propositions sont actuellement en discussion dans les instances européennes.
Conclusion
Les négociations des instruments juridiques sur l’IA actuellement en cours devant les institutions européennes ne permettent pas encore de déterminer à ce stade (article écrit en mai 2023) quel sera précisément l’équilibre retenu entre les objectifs potentiellement opposés que sont, d’un côté, l’innovation technologique dans et hors du territoire de l’Union européenne et, de l’autre côté, la protection des données personnelles, de la propriété intellectuelle, de la santé, de la sécurité et des droits fondamentaux.
1 | Simonite T, “AI has a hallucination problem that’s proving tough to tix”, Wired, 9 mars 2018. Sur wired.com
2 | Commission européenne, « Proposition de règlement du Parlement européen et du Conseil établissant des règles harmonisées concernant l’intelligence artificielle et modifiant certains actes législatifs de l’Union », 21 avril 2021.
3 | « Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) », Journal officiel de l’Union européenne, 4 mai 2016. Sur eur-lex.europa.eu
4 | « Directive (UE) 2019/790 du Parlement européen et du Conseil du 17 avril 2019 sur le droit d’auteur et les droits voisins dans le marché unique numérique », Journal officiel de l’Union européenne, 17 juillet 2019. Sur eur-lex.europa.eu
5 | US Copyright Office, “Copyright registration guidance : works containing material generated by artificial intelligence”, 10 mars 2023. Sur fingfx.thomsonreuters.com
6 | Commission européenne, « Proposition de directive relative à l’adaptation des règles en matière de responsabilité civile extracontractuelle au domaine de l’intelligence artificielle (Directive sur la responsabilité en matière d’IA) », 28 septembre 2022.
Publié dans le n° 345 de la revue
Partager cet article
L' auteur
Juliette Sénéchal
Juliette Sénéchal est maître de conférences en droit privé à l’université de Lille (CRD&P, équipe René Demogue) (…)
Plus d'informationsIntelligence Artificielle
L’intelligence artificielle (IA) suscite curiosité, enthousiasme et inquiétude. Elle est présente dans d’innombrables applications, ses prouesses font régulièrement la une des journaux. Dans le même temps, des déclarations médiatisées mettent en garde contre des machines qui pourraient prendre le pouvoir et menacer la place de l’Homme ou, a minima, porter atteinte à certaines de nos libertés. Les performances impressionnantes observées aujourd’hui sont-elles annonciatrices de comportements qui vont vite nous échapper ?
Intelligence artificielle
Le 16 août 2020
IA génératives : une révolution en cours ?
Le 17 octobre 2023
De l’analyse de la langue aux modèles génératifs
Le 11 octobre 2023
Les systèmes d’intelligence artificielle pour la génération d’images
Le 5 octobre 2023
IA génératives : un risque accru de désinformation ?
Le 29 septembre 2023
