Article publié dans l'édition Printemps 2021 de Gestion

* Article écrit en collaboration avec Emmanuelle Gril, journaliste

L’intelligence artificielle est sur toutes les lèvres. Sa présence croissante dans les organisations suscite une réflexion sur la notion légale de responsabilité. Sur quoi baser l’imputabilité lorsque la machine prend des décisions à la place de l’être humain?

Quand une nouvelle technologie apparaît, on l’aborde rarement sous l’angle juridique. C’est surtout lorsque se profilent les risques potentiels qui y sont associés qu’on commence généralement à y réfléchir. Pour le moment, l’intelligence artificielle (IA) ne présente pas de véritables dangers en matière de dommages matériels ou corporels. Ceux que pourraient causer les véhicules autonomes ou les systèmes d’armes létales autonomes (qu’on appelle aussi « robots tueurs ») ne sont pas pour demain.

En revanche, le recours aux algorithmes dans la prise de décisions de diverses instances privées ou publiques peut d’ores et déjà avoir des conséquences néfastes, notamment lorsqu’il s’agit d’allocation de ressources. On pense non seulement aux erreurs potentielles mais aussi aux biais en ce qui a trait au genre ou à la race. C’est d’autant plus problématique que, bien souvent, les algorithmes sont déployés sans même qu’on le sache et ont une incidence non négligeable sur nos vies.

À l’heure actuelle, le cadre légal entourant ces technologies est pour ainsi dire inexistant en Amérique du Nord, à de rares exceptions près. Mentionnons notamment l’existence, au Canada, d’une directive sur la prise de décisions automatique adoptée par le Conseil du trésor concernant les décisions administratives fédérales. Le processus est plus avancé du côté de l’Union européenne, où un livre blanc (intitulé « intelligence artificielle – une approche européenne axée sur l’excellence et la confiance ») a été produit en février 2020 afin de définir les grandes orientations d’une réglementation qui devrait voir le jour au cours de l’année 2021. De notre côté de l’Atlantique, il est donc urgent d’entreprendre une réflexion en la matière, notamment du point de vue de la responsabilité.

Dossier : Révolution numérique

Des limites à fixer

Dans les films de science-fiction, la machine a remplacé l’homme, ce qui constitue généralement le prélude d’un scénario catastrophe. Dans la réalité, on est bien loin du compte : la technologie ne peut pas se passer de l’intervention de l’être humain, qui l’utilise essentiellement comme un outil. Il existe donc une coopération entre eux, interaction indispensable tant pour comprendre le processus décisionnel de l’IA que pour définir le partage des responsabilités. En effet, seul l’être humain dispose d’une personnalité juridique et peut être montré du doigt en cas d’erreurs ou de préjudices causés à autrui. On pense ici non seulement à celui qui utilise l’IA mais aussi à son concepteur, à celui qui a fourni les données ou encore à la personne qui a « entraîné » une technologie dotée d’intelligence artificielle. Tous, à un degré ou à un autre, pourraient être tenus responsables en cas de défaillance de l’IA.

Par ailleurs, un cadre légal devrait aussi assurer la transparence des processus et poser des normes supplémentaires en ce sens. Si une décision a des conséquences pour la société, les concepteurs pourraient avoir à fournir certaines garanties, notamment la divulgation des données d’apprentissage de l’outil doté d’intelligence artificielle et l’instauration de règles d’atténuation des risques. On pourrait choisir d’appliquer, par exemple, diverses méthodes statistiques pour éliminer les biais causés par la sous-représentation ou par la surreprésentation de certaines communautés. En amont, des contrôles pourraient aussi être instaurés avant le déploiement des outils, notamment des audits et des vérifications qui conduiraient à une certification. Autrement dit, plus les conséquences des risques encourus peuvent être lourdes pour les individus, plus les règles doivent être resserrées.

Une fois la technologie mise en œuvre, un suivi a posteriori est également souhaitable. En effet, certains systèmes évoluent ; ainsi, un processus régulier de collecte et d’analyse des données (reporting) aidera à s’assurer qu’il n’y a pas eu de déviance de l’IA. Au bout du compte, il y aurait donc des exigences en matière de robustesse, de maintien du fonctionnement de l’IA et des objectifs poursuivis par celle-ci.

Pour plus de sûreté, devrait-on également définir le type de décisions que l’IA serait autorisée à prendre? Certains outils dotés d’intelligence artificielle totalement opaques pourraient en effet être écartés de la prise de décisions individuelles ou à caractère social à cause de leur manque de transparence. Même chose pour les technologies qui poseraient des risques d’erreur trop élevés. À cet égard, des objectifs chiffrés pourraient être établis en tenant compte de l’usage prévu de la technologie.

Garanties et exceptions

On le voit, les avenues à explorer en matière de contrôle et de limitations sont très variées et peuvent s’appliquer tant avant que pendant et après l’utilisation de ces technologies. Un encadrement est d’autant plus nécessaire que l’IA est appelée à connaître une utilisation croissante au cours des prochaines années. Mais un individu pourrait-il, s’il le souhaitait, se soustraire à l’intervention de l’IA dans les décisions qui le touchent directement?

En droit européen, l’article 22 du règlement général sur la protection des données (RGPD) prévoit que « la personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire ».

En théorie, ceci reste donc possible sur le territoire de l’Union européenne. Il y a toutefois de nombreuses exceptions à cette règle. Ainsi, cette norme ne s’applique pas lorsque la décision « est nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne concernée et un responsable du traitement »; si la décision « est autorisée par le droit de l’union ou [par] le droit de l’état membre auquel le responsable du traitement est soumis et qui prévoit également des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée »; ou lorsque la décision « est fondée sur le consentement explicite de la personne concernée ». Par conséquent, ce texte de loi ouvre la porte à une foule de décisions automatisées, notamment toutes celles qui découlent de l’exécution d’un contrat. On pense aussi aux contrats d’utilisation des outils numériques, ces interminables documents que personne ne lit jamais et dans lesquels on coche machinalement la case « J’accepte ». Dans ces conditions, peut-on vraiment parler ici d’un consentement libre et éclairé? Certains pays ont également instauré des exceptions pour des catégories spécifiques de décisions, par exemple la France en matière de traitement automatisé des décisions administratives. C’est pour cette raison qu’il peut exister dans ce pays des dispositifs tels que Parcoursup, un logiciel d’affectation des étudiants dans les différentes universités à la sortie du lycée.

Malgré ces nombreuses exceptions, ou justement à cause d’elles, il faudrait s’assurer de stipuler des garanties qui permettraient aux gens de contester une décision prise par l’IA ou d’obtenir une intervention humaine. Quels que soient les progrès de ces technologies, il n’est en aucun cas souhaitable que l’être humain soit totalement exclu de l’équation, non seulement parce qu’il est socialement inacceptable de ne jamais pouvoir transiger directement avec une personne mais aussi parce qu’il doit toujours être possible de faire jouer les mécanismes de responsabilité le cas échéant. Il serait donc possible d’imaginer une chaîne de responsabilité qui commencerait par l’organisme ou par l’entreprise qui utilise l’IA, puis qui mènerait à son concepteur, etc.

Un champ du droit à défricher

Aujourd’hui, c’est tout un champ du droit qu’on s’affaire à défricher pour encadrer l’utilisation de l’IA. Pour le moment, les chercheurs s’appuient sur le droit positif, effectuant en quelque sorte un travail cosmétique qui modifie les règles déjà en vigueur. Cependant, tôt ou tard, il faudra repenser et adapter les schémas fondamentaux du droit. On entrera dès lors sur le territoire du droit prospectif.

Les défis à relever sont nombreux, notamment parce qu’il n’existe pas d’autorités qui soient en mesure de contrôler les algorithmes. Il faudra donc en créer. Se pose aussi le problème de la preuve s’il faut démontrer qu’un préjudice a bel et bien été causé par l’IA lorsqu’elle a pris une décision. De bonnes pratiques en amont, des audits ainsi que des processus d’autorisation, de vérification et de certification aideront à aplanir ces difficultés, mais cela ne suffira peut-être pas.

Cette réflexion est essentielle, car même si on n’en est pas toujours conscient, une foule d’entreprises et d’organismes administratifs utilisent déjà les algorithmes pour prendre des décisions qui nous touchent directement dans notre quotidien, que ce soit en matière d’immigration, d’impôts, d’allocation de ressources, de police prédictive, de reconnaissance faciale, etc. l’IA est aussi largement déployée dans le domaine de la prédiction. C’est sur ces deux axes qu’il faudra agir en priorité en raison de l’opacité de ces processus, encore très peu documentés. En tant que sociétés, nous devons exiger et obtenir davantage de transparence lorsque la machine se substitue à l’être humain.