L’Intelligence artificielle (« IA ») a été l’un des sujets les plus médiatiques de cette année 2019. Nous avons observé que l’usage de ces technologies n’est plus réservé aux seuls projets avant-gardistes, l’IA s’immisce dans de nombreux projets informatiques que l’on en ait conscience ou non.
Par exemple, intègrent de plus en plus fréquemment dans leur fonctionnement des technologies d’IA, les solutions d’automatisation des tâches, dites « RPA » ou « robotic process automation », de cybersécurité (détection de comportement anormal sur un système d’information), les services cloud, les logiciels d’audit de licences.

Comment définir l’intelligence artificielle ?

Le Journal officiel défini l’IA comme le « champ interdisciplinaire théorique et pratique qui a pour objet la compréhension de mécanismes de la cognition et de la réflexion, et leur imitation par un dispositif matériel et logiciel, à des fins d’assistance ou de substitution à des activités humaines » [1].

Cette définition complexe témoigne des difficultés d’appréhension de cette technologie.

Ainsi, il apparaît nécessaire, pour chaque projet, de comprendre précisément la solution technique proposée par le prestataire afin d’identifier la présence ou non de l’usage d’une technologie d’IA pouvant impliquer des enjeux et risques venant en complément des risques habituels en matière de technologies, permettant ainsi de sécuriser le projet, et donc, l’entreprise.

Quels indices permettent d’identifier l’usage d’une IA ?

D’un point de vue technique, il apparait que trois éléments cumulatifs sont nécessaires au fonctionnement d’une IA : une puissance de calcul, un ou des algorithmes et des données.

Dès lors, l’analyse contractuelle du rôle joué par chacun de ces éléments peut permettre d’identifier la présence d’IA. Ainsi, par exemple, peuvent témoigner de l’usage d’une intelligence artificielle :
 des finalités de traitement des données à caractère personnel plus étendues que celles nécessaires à l’utilisation de la solution logicielle,
 les résultats générés par l’utilisation de la solution seront et resteront la propriété du prestataire,
 lors de la réversibilité, soit les données, soit une copie des données sera conservée par le prestataire.

Comment sécuriser l’usage d’une IA ?

Dans le cadre de la mise en œuvre d’un projet impliquant l’usage d’une IA, nous proposons une liste, bien entendu non exhaustive, chaque projet nécessitant une analyse fine qui lui est propre, de questions et points à analyser, à savoir :

1. vérifier la conformité légale de l’usage de l’IA (droits fondamentaux, logiciels, base de données, chiffrement, preuve, droit pénal) et des législations dédiées à certains secteurs tels que la santé, la finance, le droit du travail,
2. définir contractuellement :
   • les actions effectuées par l’IA : définir les résultats et fonctionnalités attendus, les actions interdites à l’IA (ex : suppression de données),
   • la répartition des obligations et responsabilités de chaque partie en matière de paramétrage, de sélection et préparation des données alimentant l’IA et de contrôle des résultats,
3. Sécuriser la propriété des éléments de chaque partie nécessaires à et/ou générés par l’IA : algorithmes (est-il stable ou évolutif ? A quel moment est-il protégé ?), logiciels, formules mathématiques, base de données, données (initiales, observées, déduites par l’IA, créée par l’IA), œuvre et résultats générés par l’IA : à qui appartient quoi ? que puis-je utiliser ?
4. encadrer contractuellement les imprévus identifiés et notamment anticiper les évolutions de la législation, la charge des coûts engendrés par ces évolutions et les « changements de circonstances imprévisibles » au sens de l’article 1195 du code civil,
5. évaluer sa responsabilité : anticiper les risques de préqualification de dommages directs et indirects : un biais subi par un utilisateur est-il un dommage direct ? Quelle en est l’origine le paramétrage, les données, l’utilisation ? que peut-on intégrer dans le plafond de responsabilité ?
6. gérer la conformité à la législation en matière de données à caractère personnel et notamment le respect des principes de licéité et loyauté dans la collecte des données, transparence, pertinence et respect du droit des personnes,
7. prévoir la fin du contrat et ses conséquences : est-il possible d’effectuer une réversibilité sans dénaturer la stabilité de l’algorithme de l’IA ? Comment effectuer la transférabilité des données ? leur anonymisation ? Est-il possible de changer de prestataire ?

Rappelons que le 12 février 2019, le Parlement européen a adopté une résolution « sur une politique industrielle européenne globale sur l’intelligence artificielle et la robotique ». Qualifiant l’IA de « l’une des technologies stratégiques du 21e siècle », le Parlement insiste sur la nécessité de mettre en place un cadre juridique approprié.

En conclusion, à ce jour, les mécanismes contractuels apparaissent comme l’un des points clés de la sécurisation juridique, technique et économique de projet intégrant l’usage d’une intelligence artificielle. Il est donc plus que nécessaire de veiller à leur parfaite adéquation à vos projets innovants !

(Article initialement publié dans le Journal du Management (Oct.-Nov. 2019) édité par LegiTeam.)

Marine Hardy, avocat responsable des pôles Innovations & Sécurité et Pauline Vital, avocat ITLAW Avocats - www.itlaw.fr