COMMISSION EUROPÉENNE
Bruxelles, le 28.9.2022
COM(2022) 496 final
2022/0303(COD)
Proposition de
DIRECTIVE DU PARLEMENT EUROPÉEN ET DU CONSEIL
relative à l’adaptation des règles en matière de responsabilité civile extracontractuelle au domaine de l’intelligence artificielle
(Directive sur la responsabilité en matière d’IA)
(Texte présentant de l’intérêt pour l’EEE)
{SEC(2022) 344 final} - {SWD(2022) 318 final} - {SWD(2022) 319 final} - {SWD(2022) 320 final}
EXPOSÉ DES MOTIFS
1.CONTEXTE DE LA PROPOSITION
·Justification et objectifs de la proposition
Le présent exposé des motifs accompagne la proposition de directive relative à l’adaptation des règles en matière de responsabilité civile extracontractuelle au domaine de l’intelligence artificielle (IA). D’après une enquête représentative menée en 2020, la responsabilité figure parmi les trois principaux obstacles à l’utilisation de l’IA par les entreprises européennes. Elle a été citée comme étant le principal obstacle extérieur (43 %) pour les entreprises qui n’ont pas encore adopté l’IA mais prévoient de le faire.
Dans ses orientations politiques, la présidente de la Commission, Ursula von der Leyen, a défini une approche européenne coordonnée en matière d’IA. Dans son livre blanc sur l’IA, publié le 19 février 2020, la Commission s’est engagée à promouvoir l’adoption de l’IA et à s’attaquer aux risques liés à certaines de ses utilisations en favorisant l’excellence et la confiance. Dans le rapport sur la responsabilité en matière d’IA accompagnant le Livre blanc, la Commission a recensé les défis spécifiques que pose l’IA quant aux règles de responsabilité existantes. Dans ses conclusions du 9 juin 2020 sur la communication intitulée «Façonner l’avenir numérique de l’Europe», le Conseil s’est félicité de la consultation menée sur les propositions stratégiques figurant dans le Livre blanc sur l’IA et a invité la Commission à présenter des propositions concrètes. Le 20 octobre 2020, le Parlement européen a adopté une résolution législative sur la base du droit d’initiative qui lui est accordé en vertu de l’article 225 du traité sur le fonctionnement de l’Union européenne (TFUE), dans laquelle il demande à la Commission d’adopter une proposition relative à un régime de responsabilité civile pour l’IA sur la base de l’article 114 du TFUE.
Les règles nationales existant en matière de responsabilité, notamment en ce qui concerne la responsabilité pour faute, ne sont pas adaptées pour traiter les actions en responsabilité dans le cas de dommages causés par des produits et services dotés d’IA. En vertu de ces règles, il incombe à la victime de prouver l’existence d’un acte préjudiciable ou d’une omission de la part de la personne qui a causé le dommage. Compte tenu des caractéristiques spécifiques de l’IA, notamment la complexité, l’autonomie et l’opacité (l’effet dit de «boîte noire»), il peut être difficile ou excessivement coûteux pour les victimes d’identifier la personne responsable et d’apporter la preuve des conditions requises pour obtenir gain de cause. En particulier, dans le cadre d’une action en réparation, les victimes pourraient supporter des coûts initiaux très élevés et faire face à des procédures judiciaires beaucoup plus longues que dans le cas d’affaires ne concernant pas l’IA. De ce fait, les victimes peuvent être dissuadées de demander une indemnisation. Ces préoccupations ont également été retenues par le Parlement européen (PE) dans sa résolution du 3 mai 2022 sur l’intelligence artificielle à l’ère du numérique.
Lorsqu’une victime engage une action, les juridictions nationales, confrontées aux caractéristiques spécifiques de l’IA, peuvent adapter au cas par cas la manière dont elles appliquent les règles existantes afin de parvenir à un résultat juste pour la victime. Il en résultera une insécurité juridique. Il sera difficile, pour les entreprises, de prévoir comment les règles en vigueur en matière de responsabilité seront appliquées, et donc d’évaluer l’exposition de leur responsabilité et de s’assurer contre ce risque. Cet effet sera amplifié pour les entreprises qui exercent des activités transfrontières, étant donné que l’incertitude concernera différents ordres juridiques. Les petites et moyennes entreprises (PME), qui ne peuvent pas s’appuyer sur des compétences juridiques internes ou sur des réserves en capital, seront particulièrement touchées.
Il ressort des stratégies nationales en matière d’IA que plusieurs États membres envisagent, voire élaborent concrètement, des mesures législatives afférentes à la responsabilité civile en matière d’IA. Par conséquent, si l’UE n’agit pas, on s’attend à ce que les États membres adaptent leurs règles nationales en matière de responsabilité aux défis de l’IA. Il en résultera une fragmentation accrue et une augmentation des coûts pour les entreprises qui exercent des activités dans l’ensemble de l’UE.
La consultation publique ouverte qui a servi de base à l’analyse d’impact de la présente proposition a confirmé les problèmes exposés ci-dessus. De l’avis du public, la victime peut rencontrer des difficultés à prouver la faute et le lien de causalité en raison de l’effet de «boîte noire», et il peut y avoir des incertitudes quant à la manière dont les juridictions interpréteront et appliqueront les règles nationales existantes en matière de responsabilité dans les affaires d’IA. La consultation a par ailleurs montré que les citoyens étaient préoccupés par les coûts que les entreprises, en particulier les PME, devraient supporter à cause des mesures législatives prises par les différents États membres pour adapter les règles en matière de responsabilité et de la fragmentation qui en résulterait, ce qui empêcherait l’adoption de l’IA à l’échelle de l’Union.
L’objectif de la présente proposition est donc de promouvoir le déploiement d’une IA digne de confiance afin de tirer pleinement parti de ses avantages pour le marché intérieur. Pour ce faire, elle garantit aux victimes de dommages causés par l’IA une protection équivalente à celle des victimes de dommages causés par les produits de manière générale. Elle réduit également l’insécurité juridique qui plane sur l’éventuelle exposition de la responsabilité des entreprises qui développent ou utilisent l’IA et évite l’apparition, dans les règles nationales en matière de responsabilité civile, d’adaptations fragmentées spécifiques à l’IA.
·Cohérence avec les dispositions existantes dans le domaine d’action
La présente proposition fait partie d’un train de mesures destinées à soutenir le déploiement de l’IA en Europe en favorisant l’excellence et la confiance. Ce train de mesures comprend trois axes de travail complémentaires:
–une proposition législative établissant des règles horizontales relatives aux systèmes d’intelligence artificielle (législation sur l’IA);
–une révision des règles sectorielles et horizontales en matière de sécurité des produits;
–des règles de l’UE pour répondre aux questions de responsabilité liées aux systèmes d’IA.
Dans sa proposition de législation sur l’IA, la Commission a proposé des règles visant à réduire les risques quant à la sécurité et à protéger les droits fondamentaux. La sécurité et la responsabilité sont indissociables: elles s’appliquent à des stades différents et se renforcent mutuellement. Si les règles visant à garantir la sécurité et à protéger les droits fondamentaux réduisent les risques, elles ne les éliminent pas totalement. Lorsqu’un tel risque se concrétise, un dommage peut encore survenir. Dans de tels cas, les règles en matière de responsabilité prévues par la présente proposition s’appliqueront.
L’existence de règles efficaces en matière de responsabilité constitue également une incitation économique à respecter les règles de sécurité, ce qui contribue à éviter la survenue d’un dommage. La présente proposition contribue en outre au respect des exigences relatives aux systèmes d’IA à haut risque imposées par la législation sur l’IA car le non-respect de ces exigences est un élément important entraînant un allégement de la charge de la preuve. La présente proposition est également cohérente avec les règles générales et sectorielles proposées en matière de sécurité des produits applicables aux machines et produits connexes ainsi qu’aux équipements radioélectriques dotés d’IA.
Dans sa politique de responsabilité en matière d’IA, la Commission adopte une approche globale en proposant des adaptations afférentes à la responsabilité du producteur du fait des produits défectueux au titre de la directive sur la responsabilité du fait des produits ainsi qu’une harmonisation ciblée dans le cadre de la présente proposition. Ces deux initiatives stratégiques sont étroitement liées et forment un ensemble de mesures, étant donné que les réclamations relevant de leur champ d’application portent sur différents types de responsabilité. La directive sur la responsabilité du fait des produits couvre la responsabilité sans faute du producteur pour les produits défectueux, ce qui entraîne l’indemnisation de certains types de dommages, principalement subis par des particuliers. La présente proposition couvre les actions en responsabilité engagées au niveau national et fondées principalement sur la faute d’un tiers de manière à prévoir une indemnisation pour tout type de dommage et tout type de victime. Ces instruments se complètent pour former un système global et efficace de responsabilité civile.
Appliquées conjointement, ces règles favoriseront la confiance dans l’IA (et dans d’autres technologies numériques) en garantissant une indemnisation effective des victimes si un dommage survenait malgré les mesures préventives prévues par la législation sur l’IA et d’autres règles de sécurité.
·Cohérence avec les autres politiques de l’Union
La présente proposition est cohérente avec la stratégie numérique globale de la Commission en ce qu’elle contribue à promouvoir des technologies au service des personnes, l’un des trois piliers principaux de l’orientation politique et des objectifs annoncés dans la communication «Façonner l’avenir numérique de l’Europe».
Dans ce contexte, la présente proposition vise à renforcer la confiance dans l’IA et à encourager son adoption. Cela permettra de créer des synergies et de compléter la [législation sur la cyber-résilience], qui vise également à accroître la confiance dans les produits comportant des éléments numériques en réduisant la vulnérabilité des systèmes informatiques et à mieux protéger les entreprises et les consommateurs.
La présente proposition ne porte pas atteinte aux règles fixées par (la législation sur les services numériques), qui fournissent un cadre complet et totalement harmonisé pour les devoirs de vigilance relatifs à la prise de décision algorithmique par des plateformes en ligne, y compris l’exemption de responsabilité pour les fournisseurs de services intermédiaires.
En outre, en encourageant le déploiement de l’IA, la présente proposition est liée aux initiatives relevant de la stratégie de l’UE pour les données. Elle renforce aussi la contribution de l’Union à la définition de normes mondiales et à la promotion d’une IA digne de confiance qui soit conforme aux valeurs et aux intérêts de l’Union.
La proposition a également des liens indirects avec le pacte vert pour l’Europe. En particulier, les technologies numériques, y compris l’IA, sont des outils cruciaux pour la réalisation des objectifs de durabilité du pacte vert dans de nombreux secteurs différents (notamment les soins de santé, les transports, l’environnement et l’agriculture).
·Principales incidences économiques, sociales et environnementales
La directive contribuera au déploiement de l’IA. Les conditions de déploiement et de développement des technologies de l’IA dans le marché intérieur peuvent être considérablement améliorées en évitant la fragmentation et en renforçant la sécurité juridique grâce à des mesures harmonisées au niveau de l’UE plutôt qu’au moyen d’éventuelles adaptations des règles de responsabilité à l’échelon national. L’étude économique qui sous-tend l’analyse d’impact de la présente proposition a conclu, à titre d’estimation prudente, que des mesures d’harmonisation ciblées sur la responsabilité civile en matière d’IA auraient pour incidence positive une augmentation de 5 à 7 % sur la valeur de production des échanges transfrontières concernés par rapport au scénario de référence. Cette valeur ajoutée résulterait notamment d’une réduction de la fragmentation et d’une sécurité juridique accrue en ce qui concerne l’exposition de la responsabilité des parties prenantes. Cela réduirait, pour les parties prenantes, les coûts liés aux informations juridiques et à la représentation en justice, à la gestion interne des risques et à la mise en conformité, faciliterait la planification financière ainsi que les estimations des risques à des fins d’assurance et permettrait aux entreprises, en particulier aux PME, d’explorer de nouveaux marchés par-delà les frontières. Sur la base de la valeur globale du marché de l’IA dans l’UE concerné par les problèmes de responsabilité visés par la présente directive, on estime que cette dernière générera une augmentation de la valeur du marché comprise entre 500 millions d’EUR environ et 1,1 milliard d’EUR environ.
S’agissant des incidences sociales, la directive renforcera la confiance de la société dans les technologies de l’IA et l’accès à un système judiciaire efficace. Elle contribuera à la mise en place d’un régime de responsabilité civile efficace, adapté aux spécificités de l’IA, qui permet d’obtenir réparation en cas de demande justifiée. Le renforcement de la confiance de la société serait également profitable à toutes les entreprises de la chaîne de valeur de l’IA, car la confiance accrue des citoyens contribuera à accélérer l’adoption de l’IA. En raison de l’effet incitatif des règles en matière de responsabilité, le fait d’éviter les failles sur le plan de la responsabilité apporterait aussi des avantages indirects à tous les citoyens grâce à une meilleure protection de la santé et à une sécurité accrue (article 114, paragraphe 3, du TFUE) ainsi qu’à la prévention des causes de dangers pour la santé (article 168, paragraphe 1, du TFUE).
En ce qui concerne les incidences environnementales, la directive devrait également contribuer à la réalisation des objectifs de développement durable (ODD) et des cibles qui s’y rapportent. L’adoption d’applications de l’IA est bénéfique pour l’environnement. Ainsi, les systèmes d’IA utilisés pour optimiser certains processus diminuent le gaspillage (par exemple, en réduisant la quantité d’engrais et de pesticides nécessaire, ou la quantité d’eau consommée à rendement égal, etc.). La directive aurait aussi une incidence positive sur les ODD car la mise en œuvre d’une législation efficace en matière de transparence, de responsabilité et de droits fondamentaux orientera le potentiel de l’IA au bénéfice des individus et de la société en vue de la réalisation des ODD.
2.BASE JURIDIQUE, SUBSIDIARITÉ ET PROPORTIONNALITÉ
·
Base juridique
La base juridique de la présente proposition est l’article 114 du TFUE, qui prévoit l’adoption de mesures ayant pour objet l’établissement et le fonctionnement du marché intérieur.
La présente proposition vise à résoudre des problèmes, en particulier l’insécurité juridique et la fragmentation juridique, qui entravent le développement du marché intérieur et constituent donc des obstacles importants au commerce transfrontière de produits et services dotés d’IA.
La proposition remédie aux obstacles découlant de l’incertitude des entreprises qui souhaitent produire, diffuser et exploiter des produits et services dotés d’IA par-delà les frontières quant à l’application des régimes de responsabilité existants en cas de dommages causés par l’IA et aux conditions dans lesquelles ceux-ci s’appliquent. Cette incertitude concerne plus particulièrement les États membres dans lesquels les entreprises exportent ou exploitent leurs produits et services. Dans un contexte transfrontière, la législation applicable à la responsabilité délictuelle extracontractuelle est, par défaut, la législation du pays dans lequel le dommage survient. Pour ces entreprises, il est essentiel de connaître les risques auxquels leur responsabilité est exposée et de pouvoir s’assurer contre eux.
En outre, des signes concrets indiquent qu’un certain nombre d’États membres envisagent d’élaborer des mesures législatives unilatérales pour faire face aux problèmes spécifiques posés par l’IA en matière de responsabilité. Ainsi, les stratégies en matière d’IA adoptées par la Tchéquie, l’Italie, Malte, la Pologne et le Portugal font état d’initiatives visant à clarifier la responsabilité. Compte tenu des divergences importantes entre les règles qui existent dans les États membres en matière de responsabilité civile, les mesures nationales spécifiques à l’IA en matière de responsabilité suivraient probablement les différentes approches nationales existantes, accentuant par là-même la fragmentation.
Par conséquent, l’adaptation de règles en matière de responsabilité adoptées à l’échelon strictement national renforcerait les obstacles au déploiement de produits et services dotés d’IA dans l’ensemble du marché intérieur et aggraverait la fragmentation.
·Subsidiarité
Les objectifs de la présente proposition ne peuvent pas être atteints de manière satisfaisante au niveau national car l’instauration de règles nationales divergentes aggraverait l’insécurité juridique et la fragmentation en créant des obstacles au déploiement de produits et de services dotés d’IA dans l’ensemble du marché intérieur. L’insécurité juridique toucherait particulièrement les entreprises qui exercent des activités transfrontières en imposant la nécessité d’informations juridiques complémentaires et d’une représentation en justice et en engendrant des coûts supplémentaires pour la gestion des risques ainsi que des pertes de recettes. Dans le même temps, l’existence de règles nationales divergentes pour les demandes d’indemnisation des dommages causés par l’IA ferait grimper les coûts des transactions pour les entreprises, en particulier pour les échanges transfrontières, ce qui entraverait considérablement le marché intérieur. Par ailleurs, l’insécurité juridique et la fragmentation touchent de manière disproportionnée les jeunes pousses et les PME, qui constituent la majeure partie des entreprises et comptent pour une part importante des investissements réalisés sur les marchés concernés.
En l’absence de règles harmonisées au niveau de l’UE pour l’indemnisation des dommages causés par les systèmes d’IA, les fournisseurs, les opérateurs et les utilisateurs de ces systèmes, d’une part, et les personnes lésées, d’autre part, se trouveraient confrontés à 27 régimes de responsabilité différents, ce qui entraînerait des niveaux de protection différents et fausserait la concurrence entre les entreprises des différents États membres.
L’existence de mesures harmonisées à l’échelon de l’UE améliorerait considérablement les conditions de déploiement et de développement des technologies de l’IA dans le marché intérieur en évitant la fragmentation et en renforçant la sécurité juridique. Cette valeur ajoutée serait notamment générée par une réduction de la fragmentation et une sécurité juridique accrue en ce qui concerne le risque, pour les parties prenantes, d’engager leur responsabilité. En outre, seule une action de l’UE peut, en toute logique, produire l’effet souhaité, à savoir promouvoir la confiance des consommateurs dans les produits et services dotés d’IA en évitant les lacunes en matière de responsabilité liées aux caractéristiques spécifiques de l’IA dans l’ensemble du marché intérieur. Cela assurerait un niveau de protection (minimal) identique pour toutes les victimes (particuliers et entreprises) et des incitations cohérentes pour éviter la survenue de dommages et garantir l’obligation de rendre des comptes.
·Proportionnalité
La proposition repose sur une approche par étapes. Dans un premier temps, les objectifs sont atteints grâce à une approche la moins invasive possible; dans un deuxième temps, il convient de réévaluer la nécessité de prendre des mesures plus strictes ou plus étendues.
La première étape se limite à adopter des mesures relatives à la charge de la preuve pour résoudre les problèmes spécifiques à l’IA qui ont été recensés. Elle s’appuie sur les conditions de fond de la responsabilité qui existent actuellement dans les règles nationales, telles que la causalité ou la faute, mais se concentre sur des mesures ciblées liées à la preuve, garantissant que les victimes bénéficient du même niveau de protection que dans les affaires n’impliquant pas de systèmes d’IA. En outre, les présomptions réfragables ont été retenues dans le cadre de la présente proposition comme étant l’instrument le moins interventionniste parmi les différents instruments qui existent en droit national pour alléger la charge de la preuve. On retrouve généralement ces présomptions dans les systèmes nationaux de responsabilité; elles mettent en balance les intérêts des demandeurs et des défendeurs. Dans le même temps, elles sont conçues pour encourager le respect des devoirs de vigilance établis au niveau de l’Union ou à l’échelon national. La proposition n’entraîne pas un renversement de la charge de la preuve, afin d’éviter d’exposer les fournisseurs, les opérateurs et les utilisateurs de systèmes d’IA à des risques plus élevés en matière de responsabilité, ce qui pourrait entraver l’innovation et réduire l’adoption de produits et services dotés d’IA.
La deuxième étape prévue par la proposition garantit qu’au moment d’évaluer l’incidence des mesures adoptées dans le cadre de la première étape sur la protection des victimes et l’adoption de l’IA, il sera tenu compte des futures évolutions technologiques, réglementaires et jurisprudentielles lorsque l’on réévaluera la nécessité d’harmoniser d’autres éléments des demandes d’indemnisation ou d’autres outils afférents aux actions en responsabilité, y compris dans les situations où la responsabilité objective serait plus appropriée, conformément à la demande du Parlement européen. Lors de cette évaluation, il conviendrait également d’examiner si une telle harmonisation devrait être assortie d’une assurance obligatoire pour garantir l’efficacité.
·Choix de l’instrument
Une directive constitue l’instrument le mieux adapté pour la présente proposition car elle garantit l’effet d’harmonisation et la sécurité juridique souhaités, tout en offrant la souplesse nécessaire pour permettre aux États membres d’intégrer sans heurts les mesures harmonisées dans leurs régimes nationaux de responsabilité.
Un instrument obligatoire éviterait des failles en matière de protection résultant d’une mise en œuvre partielle ou inexistante. Bien qu’un instrument non contraignant soit moins intrusif, il est peu probable qu’il apporterait une réponse efficace aux problèmes recensés. Le taux de mise en œuvre des instruments non contraignants est difficile à prévoir et il n’y a pas assez d’éléments indiquant qu’une recommandation constituerait un instrument suffisamment dissuasif pour entraîner une adaptation cohérente des législations nationales.
Cet effet est encore plus improbable pour les mesures de droit privé, dont les règles de responsabilité extracontractuelle font partie. Dans ce domaine caractérisé par des traditions juridiques établies de longue date, les États membres sont réticents à poursuivre des réformes coordonnées à moins que cette démarche n’offre des perspectives claires d’avantages pour le marché intérieur dans le cadre d’un instrument contraignant de l’UE ou qu’il soit nécessaire de s’adapter aux nouvelles technologies de l’économie numérique.
L’existence de divergences importantes entre les cadres de responsabilité des États membres rend également peu probable la mise en œuvre cohérente d’une recommandation.
1.RÉSULTATS DES ÉVALUATIONS EX POST, DES CONSULTATIONS DES PARTIES INTÉRESSÉES ET DES ANALYSES D’IMPACT
·Consultation des parties intéressées
Une vaste stratégie de consultation a été mise en œuvre pour garantir une large participation des parties prenantes tout au long du cycle politique de la présente proposition. Cette stratégie de consultation reposait à la fois sur des consultations publiques et sur plusieurs consultations ciblées (webinaires, discussions bilatérales avec des entreprises et diverses organisations).
À l’issue d’une première série de questions sur la responsabilité posée dans le cadre de la consultation publique relative au livre blanc sur l’IA et du rapport de la Commission sur la sécurité et la responsabilité, une consultation publique spécifique a eu lieu en ligne du 18 octobre 2021 au 10 janvier 2022 afin de recueillir les points de vue d’un large éventail de parties prenantes, au nombre desquelles figuraient des consommateurs, des organisations de la société civile, des associations professionnelles, des entreprises, y compris des PME, et des pouvoirs publics. Après avoir analysé toutes les réponses reçues, la Commission a publié un résumé des résultats ainsi que les différentes réponses sur son site internet.
La Commission a reçu au total 233 réponses de la part de participants issus de 21 États membres, ainsi que de pays tiers. La majorité des parties prenantes a globalement confirmé les problèmes liés à la charge de la preuve, à l’insécurité juridique et à la fragmentation et s’est déclarée favorable à une action au niveau de l’UE.
Les citoyens de l’UE, les organisations de consommateurs et les institutions académiques ont largement confirmé la nécessité d’une action de l’UE pour soulager les victimes des difficultés liées à la charge de la preuve. Les entreprises, tout en reconnaissant les effets négatifs des incertitudes quant à l’application des règles en matière de responsabilité, se sont montrées plus prudentes et ont demandé des mesures ciblées afin de ne pas limiter l’innovation.
Des tendances similaires se sont dégagées en ce qui concerne les options stratégiques. Les citoyens de l’Union, les organisations de consommateurs et les institutions académiques ont soutenu résolument les mesures concernant la charge de la preuve et l’harmonisation de la responsabilité sans faute (dite «responsabilité objective») assortie d’une assurance obligatoire. Les entreprises étaient plus partagées au sujet des options stratégiques, ces divergences étant en partie dues à leur taille. La majorité des entreprises ayant répondu ont estimé que la responsabilité objective était disproportionnée. L’harmonisation des allégements de la charge de la preuve a recueilli davantage de soutien, en particulier auprès des PME. Les entreprises ont cependant mis en garde contre un basculement total de la charge de la preuve.
Par conséquent, l’option stratégique privilégiée a été élaborée et affinée à la lumière des retours d’information reçus des parties prenantes tout au long du processus d’analyse d’impact afin de trouver un équilibre entre les besoins exprimés et les préoccupations soulevées par toutes les catégories de parties concernées.
·Obtention et utilisation d’expertise
La proposition s’appuie sur quatre années d’analyse et de coopération étroite avec les parties intéressées, y compris avec des universitaires, des entreprises, des associations de consommateurs, des États membres et des citoyens. Les travaux préparatoires ont débuté en 2018 avec la création du groupe d’experts sur la responsabilité et les nouvelles technologies (section « nouvelles technologies»). Le groupe d’experts a présenté un rapport en novembre 2019 dans lequel il évalue les difficultés que posent certaines caractéristiques de l’IA pour les règles nationales en matière de responsabilité civile.
Trois autres études externes sont venues compléter le rapport du groupe d’experts:
–une étude de droit comparé fondée sur une analyse juridique comparative des droits nationaux de la responsabilité civile en vigueur dans l’UE et axée sur des questions clés en lien avec l’IA;
–une étude économique comportementale portant sur les incidences des adaptations ciblées du régime de responsabilité sur la prise de décision des consommateurs, en particulier sur leur confiance et leur volonté d’adopter des produits et services dotés d’IA;
–une étude économique portant sur les sujets suivants: comparaison entre les difficultés rencontrées par les victimes d’applications de l’IA et par les victimes de dispositifs ne reposant par sur l’IA lors d’une demande d’indemnisation pour le dommage subi; les entreprises font-elles face à une incertitude quant à l’application des règles existant en matière de responsabilité à leurs opérations impliquant l’IA et dans quelle mesure, et l’incidence de l’insécurité juridique peut-elle constituer un obstacle aux investissements en faveur de l’IA; la fragmentation accrue des législations nationales en matière de responsabilité réduirait-elle l’efficacité du marché intérieur en ce qui concerne les applications et services d’IA, et dans quelle mesure l’harmonisation de certains aspects de la responsabilité civile nationale au moyen de la législation de l’UE permettrait-elle d’atténuer ces problèmes et de faciliter l’adoption globale des technologies de l’IA par les entreprises de l’UE.
·Analyse d’impact
Conformément à sa politique «Mieux légiférer», la Commission a réalisé une analyse d’impact pour la présente proposition, qui a été examinée par le comité d’examen de la réglementation de la Commission. Ce comité s’est réuni le 6 avril 2022 et a émis un avis positif assorti de commentaires.
Trois options stratégiques ont été évaluées.
Option stratégique nº 1: trois mesures permettant d’alléger la charge de la preuve qui incombe aux victimes dans les actions en responsabilité.
Option stratégique nº 2: mesures de l’option 1 + harmonisation des règles en matière de responsabilité objective pour les cas d’utilisation de l’IA présentant un profil de risque particulier assortie d’une obligation d’assurance.
Option stratégique nº 3: une approche par étapes conçue de la manière suivante:
–première étape: les mesures de l’option nº 1,
–deuxième étape: un mécanisme de réexamen pour réévaluer, en particulier, la nécessité d’harmoniser la responsabilité objective pour les cas d’utilisation de l’IA présentant un profil de risque particulier (assortie éventuellement d’une obligation d’assurance).
Ces options stratégiques ont été comparées au moyen d’une analyse tenant compte de plusieurs critères, à savoir l’efficacité, l’efficience, la cohérence et la proportionnalité. Les résultats de l’analyse multicritères et de l’analyse de sensibilité montrent que l’option nº 3, qui consiste en un allégement de la charge de la preuve pour les actions en lien avec l’IA ainsi qu’en un réexamen ciblé de la responsabilité objective, éventuellement assortie d’une obligation d’assurance, arrive en première position et constitue donc l’option privilégiée pour la présente proposition.
L’option privilégiée garantirait que les victimes de produits et services dotés d’IA (personnes physiques, entreprises et autres entités publiques ou privées) ne soient pas moins protégées que les victimes des technologies traditionnelles. Elle accroîtrait la confiance dans l’IA et favoriserait son adoption.
En outre, l’option réduirait l’insécurité juridique et empêcherait la fragmentation, ce qui aiderait les entreprises, et surtout les PME, qui souhaitent tirer pleinement parti du marché unique de l’UE en déployant des produits et services dotés d’IA par-delà les frontières. L’option privilégiée permettrait également aux assureurs de proposer des garanties pour les activités liées à l’IA dans de meilleures conditions, ce qui est essentiel à la gestion des risques pour les entreprises, en particulier les PME. On estime notamment que l’option privilégiée générerait une augmentation de la valeur de marché de l’IA dans l’EU-27 comprise entre 500 millions d’EUR environ et 1,1 milliard d’EUR environ en 2025.
·Droits fondamentaux
Les règles en matière de responsabilité civile visent principalement à garantir que les victimes de dommages puissent demander réparation. En garantissant une indemnisation effective, ces règles contribuent à la protection du droit à un recours effectif et à accéder à un tribunal impartial (article 47 de la charte des droits fondamentaux de l’Union européenne, ci-après la «charte»), tout en incitant les personnes potentiellement responsables à éviter la survenue de dommages de manière à ne pas engager leur responsabilité.
Par la présente proposition, la Commission entend garantir que les victimes de dommages causés par l’IA bénéficient d’un niveau de protection équivalent, en vertu des règles de responsabilité civile, à celui dont bénéficient les victimes de dommages causés sans utilisation de l’IA. La proposition permettra une application effective des droits fondamentaux dans la sphère privée et préservera le droit à un recours effectif en cas de réalisation de risques spécifiques à l’IA. Elle contribuera en particulier à protéger des droits fondamentaux, tels que le droit à la vie (article 2 de la charte), le droit à l’intégrité physique et mentale (article 3) et le droit de propriété (article 17). En outre, les victimes pourront engager des actions en réparation en rapport avec d’autres intérêts juridiques, tels que les atteintes à la dignité humaine (article 1er et article 4 de la charte), le respect de la vie privée et familiale (article 7), l’égalité en droit (article 20) et la non-discrimination (article 21), en fonction du système issu du droit romain et des traditions de chaque État membre.
La présente proposition vient par ailleurs compléter d’autres instruments de la politique de la Commission en matière d’IA qui repose sur des obligations préventives en matière de réglementation et de surveillance visant directement à éviter la violation des droits fondamentaux (comme la discrimination). Il s’agit de la législation sur l’IA, du règlement général sur la protection des données, de la législation sur les services numériques et de la législation de l’UE sur la non-discrimination et l’égalité de traitement. Dans le même temps, la présente proposition ne crée pas de devoirs de vigilance ni de responsabilité pour les différentes entités dont l’activité est régie par ces actes juridiques et ne prévoit pas d’harmonisation en la matière; par conséquent, elle ne prévoit pas de nouvelles actions en responsabilité et n’a pas d’incidence sur les exemptions de responsabilité prévues par ces autres actes juridiques. La présente proposition introduit uniquement un allégement de la charge de la preuve pour les victimes de dommages causés par des systèmes d’IA pour les actions qui peuvent être fondées sur le droit national ou sur ces autres actes législatifs de l’UE. En complétant ces autres instruments, la présente proposition protège le droit des victimes à une indemnisation en vertu du droit privé, y compris en cas de violation des droits fondamentaux.
4.INCIDENCE BUDGÉTAIRE
La présente proposition n’aura pas d’incidence sur le budget de l’Union européenne.
5.AUTRES ÉLÉMENTS
·Plans de mise en œuvre et suivi, évaluation, programme de surveillance et réexamen ciblé
La présente proposition établit une approche par étapes. Afin de garantir que des éléments suffisants sont disponibles à l’appui du réexamen ciblé prévu au cours de la deuxième étape, la Commission élaborera un plan de surveillance détaillant le mode et la fréquence de collecte des données et autres éléments de preuve nécessaires.
Le mécanisme de surveillance pourrait couvrir les catégories suivantes de données et d’éléments de preuve:
–l’établissement de rapports et le partage d’informations par les États membres en ce qui concerne l’application de mesures visant à alléger la charge de la preuve dans les procédures nationales de règlement judiciaire ou extrajudiciaire;
–les informations recueillies par la Commission ou par les autorités de surveillance du marché en vertu de la législation sur l’IA (en particulier l’article 62) ou d’autres instruments pertinents;
–les informations et analyses à l’appui de l’évaluation de la législation sur l’IA et les rapports que la Commission doit élaborer sur la mise en œuvre de cette législation;
–les informations et analyses à l’appui de l’évaluation des futures mesures stratégiques pertinentes à mettre en œuvre au titre de la législation en matière de sécurité relevant de l’ancienne approche afin de garantir que les produits mis sur le marché de l’Union répondent à des exigences élevées quant à la santé, à la sécurité et à l’environnement;
–les informations et analyses à l’appui du rapport de la Commission sur l’application de la directive sur l’assurance automobile aux évolutions technologiques (en particulier les véhicules autonomes et semi-autonomes) conformément à son article 28 quater, paragraphe 2, point a).
·Explication détaillée de certaines dispositions de la proposition
1. Objet et champ d’application (article 1er)
La présente directive a pour objet d’améliorer le fonctionnement du marché intérieur en établissant des exigences uniformes pour certains aspects de la responsabilité civile extracontractuelle en lien avec des dommages résultant de l’utilisation de systèmes d’IA. Elle fait suite à la résolution 2020/2014(INL) du Parlement européen et adapte le droit privé aux besoins découlant de la transition vers l’économie numérique.
Le choix d’instruments juridiques adaptés est limité, compte tenu de la nature de la charge de la preuve et des caractéristiques spécifiques de l’IA qui sont problématiques pour les règles existant en matière de responsabilité. À cet égard, la présente directive allège la charge de la preuve de manière très ciblée et proportionnée en recourant à la divulgation et aux présomptions réfragables. Elle prévoit, pour les personnes demandant réparation des dommages, la possibilité d’obtenir que les informations sur les systèmes d’IA à haut risque soient enregistrées/documentées conformément à la législation sur l’IA. En outre, grâce aux présomptions réfragables, la charge de la preuve incombant aux personnes souhaitant introduire une demande en réparation pour des dommages causés par des systèmes d’IA sera plus raisonnable et la procédure aura une chance d’aboutir si l’action en responsabilité est justifiée.
Ces instruments ne sont pas nouveaux; on les retrouve dans les systèmes législatifs nationaux. Ces instruments nationaux constituent de ce fait des points de référence utiles pour résoudre les problèmes soulevés par l’IA en ce qui concerne les règles de responsabilité existantes en perturbant le moins possible les différents régimes juridiques nationaux.
Par ailleurs, les entreprises interrogées sur des changements de plus grande ampleur, tels qu’un renversement de la charge de la preuve ou une présomption irréfragable, ont fourni un retour d’information négatif lors des consultations. Le choix s’est porté sur des mesures ciblées visant à alléger la charge de la preuve sous la forme de présomptions réfragables, qui constituent des moyens pragmatiques et appropriés pour aider les victimes à s’acquitter de la charge de la preuve qui leur incombe de la manière la plus ciblée et la plus proportionnée possible.
L’article 1er précise l’objet et le champ d’application de la présente directive: elle s’applique aux actions civiles fondées sur une faute extracontractuelle pour des dommages causés par un système d’IA, introduites dans le cadre de régimes de responsabilité fondés sur la faute. Il s’agit en l’espèce de régimes qui prévoient une responsabilité légale d’indemniser les dommages causés intentionnellement, par un acte de négligence ou par omission. Les mesures prévues par la présente directive peuvent être intégrées sans difficulté dans les systèmes de responsabilité civile existants, car elles traduisent une approche qui n’a pas d’incidence sur la définition de notions fondamentales telles que la «faute» ou le «dommage», étant donné que la signification de ces notions varie considérablement d’un État membre à l’autre. Ainsi, au-delà des présomptions qu’elle établit, la présente directive n’a pas d’incidence sur les règles de l’Union ou sur les règles nationales qui établissent, par exemple, la partie à laquelle incombe la charge de la preuve, le niveau de certitude requis pour le degré de preuve ou la manière dont la faute est définie.
La présente directive n’a pas non plus d’incidence sur les règles qui régissent actuellement les conditions de responsabilité dans le secteur des transports et celles fixées par la législation sur les services numériques.
Bien que la présente directive ne soit pas applicable dans le domaine de la responsabilité pénale, elle peut s’appliquer à la responsabilité de l’État. Les autorités publiques sont également concernées par les dispositions de la législation sur l’IA car elles sont soumises aux obligations qu’elle prévoit.
La présente directive ne s’applique pas rétroactivement, mais uniquement aux demandes d’indemnisation des dommages survenus à compter de la date de sa transposition.
La présente proposition de directive est adoptée en même temps que la proposition de révision de la directive 85/374/CEE relative à la responsabilité du fait des produits, dans le cadre d’un ensemble de mesures visant à adapter les règles de responsabilité à l’ère numérique et à l’IA, afin de garantir un alignement nécessaire entre ces deux instruments juridiques complémentaires.
2.Définitions (article 2)
Les définitions établies à l’article 2 correspondent à celles de la législation sur l’IA afin d’assurer une cohérence.
L’article 2, paragraphe 6, point b), dispose qu’une action en réparation peut être introduite non seulement par la personne lésée, mais également par la personne qui a succédé ou a été subrogée dans les droits d’une personne lésée. La subrogation est la prise en charge par un tiers (une compagnie d’assurance, par exemple) du droit légal d’une autre partie de recouvrer une créance ou de percevoir des dommages et intérêts. Une personne a ainsi le droit de faire valoir les droits d’une autre pour son propre compte. La subrogation pourrait également concerner les héritiers d’une victime décédée.
L’article 2, paragraphe 6, point c), dispose en outre qu’une action en réparation peut également être introduite par une personne agissant pour le compte d’une ou de plusieurs personnes lésées, conformément au droit de l’Union ou au droit national. Cette disposition vise à ouvrir davantage de possibilités aux personnes lésées par un système d’IA de faire examiner leurs plaintes par une juridiction, même lorsque l’introduction d’une action individuelle peut sembler trop coûteuse ou trop lourde à introduire, ou lorsqu’une action conjointe peut entraîner des économies d’échelle. L’article 6 modifie l’annexe I de la directive (UE) 2020/1828 afin de permettre aux personnes ayant subi des dommages causés par des systèmes d’IA de faire valoir leurs droits au titre de la présente directive au moyen d’actions représentatives.
3.Divulgation d’éléments de preuves (article 3)
La présente directive vise à fournir aux personnes qui introduisent une action en réparation pour des dommages causés par des systèmes d’IA à haut risque des moyens efficaces d’identifier les personnes potentiellement responsables des dommages et de trouver des éléments de preuve pertinents pour étayer cette action. Dans le même temps, ces moyens permettent d’exclure les défendeurs potentiels identifiés à tort, ce qui constitue un gain de temps et une économie de coûts pour les parties concernées et contribue à réduire l’engorgement des tribunaux.
À cet égard, l’article 3, paragraphe 1, de la directive dispose qu’une juridiction peut ordonner la divulgation des éléments de preuve pertinents concernant des systèmes d’IA à haut risque spécifiques soupçonnés d’avoir causé un dommage. Les demandes de preuves sont adressées au fournisseur d’un système d’IA, à la personne soumise aux obligations du fournisseur prévues à l’article 24 ou à l’article 28, paragraphe 1, de la législation sur l’IA ou à l’utilisateur conformément à la législation sur l’IA. Les demandes devraient être étayées par des faits et des éléments de preuve suffisants pour établir la plausibilité de la demande en réparation envisagée; les éléments de preuve requis devraient être mis à la disposition des destinataires. Il n’est pas possible d’adresser une demande à une partie qui n’est soumise à aucune obligation au titre de la législation sur l’IA et qui n’a donc pas accès aux éléments de preuve.
Conformément à l’article 3, paragraphe 2, le demandeur ne peut demander la divulgation de preuves par un fournisseur ou un utilisateur qui n’agit pas en qualité de défendeur que si toutes les tentatives proportionnées pour recueillir des éléments preuves auprès du défendeur ont échoué.
Pour assurer l’efficacité des moyens judiciaires, l’article 3, paragraphe 3, de la directive dispose qu’une juridiction peut également ordonner la conservation des éléments de preuve.
Conformément aux dispositions de l’article 3, paragraphe 4, premier alinéa, la juridiction ne peut ordonner une telle divulgation que dans la mesure nécessaire pour étayer une action, étant donné que les informations pourraient constituer des éléments de preuve essentiels pour étayer la demande introduite par une personne lésée en cas de dommage lié à l’utilisation de systèmes d’IA.
En limitant l’obligation de divulgation ou de conservation aux éléments de preuve nécessaires et proportionnés, l’article 3, paragraphe 4, premier alinéa, vise à garantir la proportionnalité de la divulgation des éléments de preuve, c’est-à-dire à limiter la divulgation au minimum nécessaire et à empêcher les demandes d’ordre général.
L’article 3, paragraphe 4, deuxième et troisième alinéas, vise en outre à trouver un équilibre entre les droits du demandeur et la nécessité de veiller à ce qu’une telle divulgation soit accompagnée de garanties visant à protéger les intérêts légitimes de toutes les parties concernées, tels que les secrets d’affaires ou les informations confidentielles.
Dans le même contexte, l’article 3, paragraphe 4, quatrième alinéa, vise à garantir que la personne ayant reçu une injonction de divulgation ou de conservation dispose de recours procéduraux face à cette injonction.
L’article 3, paragraphe 5, introduit la notion de présomption de non-respect d’un devoir de vigilance. Il s’agit d’un outil procédural, qui présente de l’intérêt uniquement lorsque le défendeur, dans le cadre d’une action en réparation, supporte en personne les conséquences du non-respect d’une demande de divulgation ou de conservation d’éléments de preuve. Le défendeur aura le droit de renverser cette présomption. La mesure visée dans ce paragraphe vise à encourager la divulgation et aussi à accélérer les procédures judiciaires.
4.Présomption d’un lien de causalité en cas de faute (article 4)
S’agissant des dommages causés par les systèmes d’IA, la présente directive vise à fournir une base efficace pour l’introduction d’une action en réparation en cas de faute constituée par le non-respect d’un devoir de vigilance prévu par le droit de l’Union ou le droit national.
Le demandeur peut éprouver des difficultés à établir un lien de causalité entre ce non-respect et le résultat du système d’IA ou l’incapacité du système d’IA à produire un résultat à l’origine du dommage en question. C’est pourquoi l’article 4, paragraphe 1, prévoit une présomption réfragable ciblée concernant ce lien de causalité. Une telle présomption constitue la mesure la moins contraignante pour répondre à la nécessité d’une indemnisation équitable de la victime.
Le demandeur doit prouver la faute commise par le défendeur conformément aux règles nationales ou de l’Union applicables. Une telle faute peut être établie, par exemple, en cas de non-respect d’un devoir de vigilance prévu par la législation sur l’IA ou par d’autres règles établies au niveau de l’Union, telles que celles régissant le recours à des systèmes de surveillance et de prise de décision automatisés pour le travail via une plateforme ou celles régissant l’exploitation d’aéronefs sans équipage à bord. La juridiction peut également présumer une telle faute sur la base du non-respect d’une injonction judiciaire de divulgation ou de conservation d’éléments de preuve en vertu de l’article 3, paragraphe 5. Néanmoins, il n’y a lieu d’introduire une présomption de causalité que lorsqu’il peut être considéré comme probable que la faute en cause a influencé le résultat du système d’IA concerné ou l’incapacité du système d’IA à produire un résultat, ce qui peut être évalué sur la base des circonstances générales du cas d’espèce. Dans le même temps, le demandeur doit encore prouver que le système d’IA (c’est-à-dire son résultat ou l’absence de résultat) a causé le dommage.
Les paragraphes 2 et 3 établissent une distinction entre, d’une part, les actions intentées contre un fournisseur d’un système d’IA à haut risque ou contre une personne soumise aux obligations qui incombent au fournisseur en vertu de la législation sur l’IA et, d’autre part, les actions intentées contre l’utilisateur de tels systèmes. À cet égard, la directive suit les dispositions respectives et les conditions pertinentes de la législation sur l’IA. Dans le cas d’une action introduite sur la base de l’article 4, paragraphe 2, le respect par le défendeur des obligations énoncées dans ledit paragraphe doit également être apprécié à la lumière du système de gestion des risques et de ses résultats, c’est-à-dire des mesures de gestion des risques, conformément à la législation sur l’IA.
Dans le cas d’un système d’IA à haut risque tel que défini par la législation sur l’IA, l’article 4, paragraphe 4, établit une exception à la présomption de causalité lorsque le défendeur démontre que le demandeur peut raisonnablement accéder à des éléments de preuve et à une expertise suffisants pour prouver le lien de causalité. Cette possibilité peut inciter le défendeur à se conformer à l’obligation de divulgation qui lui incombe, aux mesures prévues par la législation sur l’IA pour garantir un niveau élevé de transparence de l’IA ou aux exigences en matière de documentation et d’enregistrement.
Dans le cas d’un système d’IA qui n’est pas à haut risque, l’article 4, paragraphe 5, établit une condition d’applicabilité de la présomption de causalité, cette dernière ne s’appliquant que si la juridiction estime qu’il est excessivement difficile pour le demandeur de prouver le lien de causalité. Ces difficultés devront être appréciées à la lumière des caractéristiques de certains systèmes d’IA, telles que l’autonomie et l’opacité, qui rendent l’explication du fonctionnement interne du système d’IA très difficile dans la pratique, ce qui a une incidence négative sur la capacité du demandeur à prouver le lien de causalité entre la faute du défendeur et le résultat de l’IA.
En cas d’utilisation, par le défendeur, du système d’IA dans le cadre d’une activité personnelle à caractère non professionnel, l’article 4, paragraphe 6, dispose que la présomption de causalité ne devrait s’appliquer que si le défendeur a matériellement perturbé les conditions d’utilisation du système d’IA ou s’il était tenu de déterminer lesdites conditions de fonctionnement du système d’IA, en mesure de le faire et ne l’a pas fait. Cette condition est justifiée par la nécessité de trouver un équilibre entre les intérêts de la personne lésée et de l’utilisateur non professionnel, en n’appliquant pas la présomption de causalité lorsque le comportement de l’utilisateur non professionnel n’est pas une cause de risque supplémentaire.
Enfin, l’article 4, paragraphe 7, dispose que le défendeur a le droit de renverser la présomption de causalité sur la base de l’article 4, paragraphe 1.
La définition de telles règles efficaces en matière de responsabilité civile présente en outre l’avantage d’inciter davantage toutes les personnes participant à des activités liées aux systèmes d’IA à respecter les obligations quant au comportement que l’on attend d’elles.
5.Évaluation et réexamen ciblé (article 5)
Les différents systèmes juridiques nationaux prévoient divers régimes de responsabilité objective. Dans sa résolution d’initiative du 20 octobre 2020, le Parlement européen propose aussi des éléments en vue de mettre en place un tel régime au niveau de l’Union, à savoir un régime de responsabilité objective limité pour certaines technologies dotées d’IA et une charge de la preuve facilitée dans le cadre des règles en matière de responsabilité pour faute. Les participants (à l’exception des entreprises autres que les PME) aux consultations publiques ont également marqué leur préférence pour un tel régime, qu’il soit assorti ou non à une obligation d’assurance.
La proposition tient cependant compte des différences qui existent entre les traditions juridiques nationales et du fait que les produits et services équipés de systèmes d’IA susceptibles de toucher le grand public et de porter atteinte à des droits juridiques importants, tels que le droit à la vie, à la santé et à la propriété, et qui pourraient donc être soumis à un régime de responsabilité objective, ne sont pas encore très répandus sur le marché.
Un programme de surveillance est mis en place pour fournir à la Commission des informations sur les incidents liés à des systèmes d’IA. Le réexamen ciblé déterminera si des mesures supplémentaires sont nécessaires, telles que l’introduction d’un régime de responsabilité objective et/ou l’obligation d’assurance.
6.Transposition (article 7)
Lorsqu’ils notifient à la Commission les mesures nationales de transposition qu’ils adoptent en vue de se conformer à la présente directive, les États membres devraient également fournir des documents explicatifs qui contiennent des informations suffisamment claires et précises et indiquer, pour chaque disposition de la présente directive, la ou les dispositions nationales assurant sa transposition. Une telle démarche est nécessaire pour permettre à la Commission d’identifier, pour chaque disposition de la directive devant faire l’objet d’une transposition, la mesure nationale de transposition qui crée l’obligation légale correspondante dans l’ordre juridique national, quelle que soit la forme choisie par les États membres.
2022/0303 (COD)
Proposition de
DIRECTIVE DU PARLEMENT EUROPÉEN ET DU CONSEIL
relative à l’adaptation des règles en matière de responsabilité civile extracontractuelle au domaine de l’intelligence artificielle
(Directive sur la responsabilité en matière d’IA)
(Texte présentant de l’intérêt pour l’EEE)
LE PARLEMENT EUROPÉEN ET LE CONSEIL DE L’UNION EUROPÉENNE,
vu le traité sur le fonctionnement de l’Union européenne, et notamment son article 114,
vu la proposition de la Commission européenne,
après transmission du projet d’acte législatif aux parlements nationaux,
vu l’avis du Comité économique et social européen,
vu l’avis du Comité des régions,
statuant conformément à la procédure législative ordinaire,
considérant ce qui suit:
(1)L’intelligence artificielle (ci-après l’«IA») est un ensemble de technologies génériques qui peuvent contribuer à une multitude d’avantages touchant l’ensemble de l’économie et de la société. Elle recèle un grand potentiel de progrès technologique et permet l’émergence de nouveaux modèles commerciaux dans de nombreux secteurs de l’économie numérique.
(2)Dans le même temps, en fonction de l’application et de l’utilisation qui en sont faites, l’intelligence artificielle peut générer des risques et porter atteinte aux intérêts et aux droits protégés par le droit de l’Union ou le droit national. Par exemple, l’utilisation de l’IA peut porter atteinte à un certain nombre de droits fondamentaux, tels que les droits à la vie, à l’intégrité physique, à la non-discrimination et à l’égalité de traitement. Le règlement (UE).../... du Parlement européen et du Conseil [législation sur l’IA] prévoit des exigences visant à réduire les risques pour la sécurité et les droits fondamentaux, tandis que d’autres instruments du droit de l’Union établissent les règles générales et sectorielles relatives à la sécurité des produits qui s’appliquent également aux machines et aux produits connexes et aux équipements radioélectriques dotés d’IA. Si ces exigences visant à réduire les risques pour la sécurité et les droits fondamentaux sont destinées à prévenir, surveiller et traiter les risques et, partant, à répondre aux préoccupations de la société, elles ne prévoient pas de réparation à titre individuel pour les personnes qui ont subi des dommages causés par l’IA. Les exigences actuelles prévoient notamment des autorisations, des vérifications, un suivi et des sanctions administratives en ce qui concerne les systèmes d’IA afin de prévenir les dommages. Elles ne prévoient pas d’indemnisation de la personne lésée pour les dommages causés par le résultat d’un système d’IA ou par l’incapacité d’un tel système à produire un résultat.
(3)Lorsqu’une personne lésée demande réparation pour un dommage subi, les régimes généraux des États membres en matière de responsabilité pour faute exigent en général que celle-ci prouve que la personne potentiellement responsable de ce dommage a commis, par négligence ou de manière intentionnelle, un acte ou une omission dommageable (ci-après la «faute»), et apporte la preuve du lien de causalité entre ladite faute et ledit dommage. Toutefois, lorsque l’IA s’interpose entre l’acte ou l’omission d’une personne et le dommage, les caractéristiques spécifiques de certains systèmes d’IA, telles que l’opacité, le comportement autonome et la complexité, peuvent rendre excessivement difficile, voire impossible, l’acquittement de cette charge de la preuve par la personne lésée. En particulier, il peut être excessivement difficile de prouver qu’une donnée spécifique entrée par la personne potentiellement responsable a conduit le système d’IA à produire un résultat spécifique à l’origine du dommage en cause.
(4)Dans de tels cas, les possibilités de recours prévues par les règles nationales de responsabilité civile peuvent être moins nombreuses que dans les cas où des technologies autres que l’IA ont causé un dommage. Ces écarts en matière de réparation peuvent contribuer à réduire le niveau d’acceptation de l’IA par la société , ainsi que le niveau de confiance dans les produits et les services dotés d’IA.
(5)Pour tirer parti des avantages économiques et sociétaux de l’IA et pour promouvoir la transition vers l’économie numérique, il est nécessaire d’adapter de manière ciblée certaines règles nationales de responsabilité civile aux caractéristiques spécifiques de certains systèmes d’IA. Ces adaptations devraient contribuer à renforcer la confiance de la société et des consommateurs et, partant, à promouvoir le déploiement de l’IA. Elles devraient également maintenir la confiance dans le système judiciaire, en garantissant aux victimes de dommages causés par l’intervention de l’IA la même réparation effective qu’aux victimes de dommages causés par d’autres technologies.
(6)Les parties prenantes intéressées, à savoir les personnes lésées, les personnes potentiellement responsables et les assureurs, sont confrontées à une insécurité juridique quant à la manière dont les juridictions nationales, lorsqu’elles font face aux difficultés spécifiques à l’IA, pourraient appliquer les règles existantes en matière de responsabilité dans les cas individuels afin de parvenir à une issue juste. En l’absence d’action de l’Union, certains États membres, à tout le moins, sont susceptibles d’adapter leurs règles de responsabilité civile afin de remédier aux écarts en matière de réparation et à l’insécurité juridique propres aux caractéristiques spécifiques de certains systèmes d’IA. Il en résulterait une fragmentation juridique et des obstacles au marché intérieur pour les entreprises qui conçoivent ou fournissent des produits ou des services innovants dotés d’IA. Les petites et moyennes entreprises seraient particulièrement touchées.
(7)La présente directive vise à contribuer au bon fonctionnement du marché intérieur en harmonisant certaines règles nationales en matière de responsabilité pour faute extracontractuelle, afin que les personnes qui demandent réparation de dommages causés par un système d’IA bénéficient d’un niveau de protection équivalent à celui garanti aux personnes qui demandent réparation pour des dommages causés sans l’intervention d’un système d’IA. Cet objectif ne peut pas être atteint de manière suffisante par les États membres, car les obstacles au marché intérieur dont il est question sont liés au risque que des mesures réglementaires unilatérales et fragmentées soient adoptées au niveau national. Compte tenu de la nature numérique des produits et des services relevant du champ d’application de la présente directive, cette dernière est particulièrement pertinente dans un contexte transfrontière.
(8)Ainsi, l’objectif consistant à garantir la sécurité juridique et à prévenir les écarts en matière de réparation dans les cas où des systèmes d’IA interviennent peut être mieux atteint au niveau de l’Union. En conséquence, l’Union peut adopter des mesures conformément au principe de subsidiarité énoncé à l’article 5 du traité sur l’Union européenne. Conformément au principe de proportionnalité tel qu’énoncé audit article, la présente directive n’excède pas ce qui est nécessaire pour atteindre cet objectif.
(9)Il est donc nécessaire d’harmoniser de manière ciblée certains aspects spécifiques des règles de responsabilité pour faute au niveau de l’Union. Cette harmonisation devrait accroître la sécurité juridique et créer des conditions de concurrence équitables pour les systèmes d’IA, améliorant de ce fait le fonctionnement du marché intérieur en ce qui concerne la production et la diffusion de produits et de services dotés d’IA.
(10)Afin de garantir la proportionnalité, il convient d’harmoniser de manière ciblée uniquement les règles de responsabilité pour faute qui régissent la charge de la preuve dont doivent s’acquitter les personnes qui demandent réparation pour des dommages causés par des systèmes d’IA. La présente directive ne devrait pas harmoniser les contours généraux de la responsabilité civile, qui sont régis de manière différente par les règles nationales de responsabilité, tels que la définition de la faute ou du lien de causalité, les différents types de dommages qui donnent lieu à des actions en réparation, le partage de la responsabilité entre plusieurs auteurs, la contribution de la victime au dommage, le calcul des dommages et intérêts ou encore les délais de prescription.
(11)Les législations des États membres en matière de responsabilité du producteur pour les dommages causés par le caractère défectueux de ses produits sont déjà harmonisées au niveau de l’Union par la directive 85/374/CEE du Conseil. Ces législations n’affectent toutefois pas les règles des États membres en matière de responsabilité contractuelle ou extracontractuelle, telles que la garantie, la responsabilité pour faute ou la responsabilité stricte, fondées sur d’autres motifs que le défaut du produit. Bien que la révision de la directive 85/374/CEE du Conseil vise à apporter des clarifications et à faire en sorte que les personnes lésées puissent demander réparation pour des dommages causés par des produits dotés d’IA défectueux, il convient de préciser que les dispositions de la présente directive ne portent pas atteinte aux droits dont la victime d’un dommage peut se prévaloir au titre des règles nationales mettant en œuvre ladite directive 85/374/CEE. En outre, dans le domaine des transports, la présente directive ne devrait pas porter atteinte au droit de l’Union régissant la responsabilité des transporteurs.
(12)[La législation sur les services numériques] harmonise pleinement les règles applicables aux fournisseurs de services intermédiaires dans le marché intérieur, couvrant les risques sociétaux découlant des services fournis par lesdits fournisseurs, y compris en ce qui concerne les systèmes d’IA qu’ils utilisent. La présente directive ne porte pas atteinte aux dispositions de [la législation sur les services numériques] qui fournissent un cadre complet et pleinement harmonisé pour les devoirs de vigilance applicables à la prise de décision algorithmique par les fournisseurs de services d’hébergement, y compris l’exemption de responsabilité pour la diffusion de contenus illicites mis en ligne par les preneurs de leurs services lorsque les conditions de ladite législation sont remplies.
(13)En dehors des présomptions qu’elle établit, la présente directive n’harmonise pas les législations nationales en ce qui concerne la partie à laquelle incombe la charge de la preuve ou le degré de certitude requis pour satisfaire aux exigences de preuve.
(14)La présente directive devrait suivre une approche d’harmonisation minimale. Cette approche permet aux personnes qui demandent réparation pour des dommages causés par des systèmes d’IA d’invoquer les règles plus favorables du droit national. Ainsi, les législations nationales pourraient, par exemple, maintenir les renversements de la charge de la preuve dans le cadre des régimes nationaux de responsabilité pour faute ou des régimes nationaux de responsabilité sans faute (également appelée «responsabilité stricte»), lesquels existent déjà de manière très variée dans les législations nationales et s’appliquent éventuellement aux dommages causés par les systèmes d’IA.
(15)Il y a également lieu de veiller à la cohérence avec [la législation sur l’IA]. Il convient donc que la présente directive utilise les mêmes définitions de systèmes d’IA, de fournisseurs et d’utilisateurs. En outre, la présente directive ne devrait couvrir que les actions en réparation de dommages causés par le résultat d’un système d’IA ou l’incapacité d’un tel système à produire un résultat, par la faute d’une personne, par exemple le fournisseur ou l’utilisateur au sens de [la législation sur l’IA]. Il n’est pas nécessaire de couvrir les actions en responsabilité dans les cas où le dommage est causé par une appréciation humaine suivie d’une omission ou d’un acte humain et où le système d’IA a uniquement fourni des informations ou des conseils qui ont été pris en considération par l’acteur humain concerné. Dans ce dernier cas, il est possible de relier le dommage à l’omission ou à l’acte humain, car le résultat du système d’IA ne s’est pas interposé entre l’omission ou l’acte humain et le dommage, et il n’est donc pas plus difficile d’établir le lien de causalité dans ce type de situations que dans celles où aucun système d’IA n’est intervenu.
(16)L’accès aux informations sur les systèmes d’IA à haut risque spécifiques soupçonnés d’avoir causé un dommage est un facteur important pour déterminer s’il y a lieu de demander réparation et pour étayer une telle demande. De plus, en ce qui concerne les systèmes d’IA à haut risque, [la législation sur l’intelligence artificielle] prévoit des exigences spécifiques en matière de documentation, d’information et de journalisation, mais n’octroie pas à la personne lésée le droit d’accéder à ces informations. Il convient alors de fixer des règles relatives à la divulgation des éléments de preuve pertinents par les personnes qui les détiennent, aux fins d’établir la responsabilité. Cela devrait également constituer une incitation supplémentaire à se conformer aux exigences pertinentes énoncées dans [la législation sur l’IA] en matière de documentation et d’enregistrement des informations concernées.
(17)Le grand nombre de personnes généralement impliquées dans la conception, le développement, le déploiement et l’exploitation de systèmes d’IA à haut risque fait qu’il est difficile, pour les personnes lésées, d’identifier la personne potentiellement responsable du dommage causé et de prouver que les conditions d’une action en réparation sont réunies. Afin de permettre aux personnes lésées de vérifier le bien-fondé d’une action en réparation, il convient d’octroyer aux demandeurs potentiels le droit de demander à une juridiction d’ordonner la divulgation des éléments de preuve pertinents avant l’introduction d’une telle action en réparation. Cette divulgation ne devrait être ordonnée que lorsque le demandeur potentiel présente des faits et des informations suffisants pour étayer la plausibilité d’une demande en réparation et qu’il a préalablement adressé au fournisseur, à la personne soumise aux obligations incombant au fournisseur ou à l’utilisateur une demande, qui a été refusée, de divulgation des éléments de preuve d qu’ils détiennent au sujet des systèmes d’IA à haut risque spécifiques soupçonnés d’avoir causé le dommage. Le fait d’ordonner cette divulgation devrait permettre de réduire le nombre de litiges inutiles et d’éviter aux parties potentielles au litige de supporter les frais afférents à des actions en justice injustifiées ou susceptibles de ne pas aboutir. Le refus de la part du fournisseur, de la personne soumise aux obligations incombant au fournisseur ou de l’utilisateur, avant la demande adressée à la juridiction, de divulguer des éléments de preuve ne devrait pas déclencher la présomption de non-respect des devoirs de vigilance pertinents par la personne qui refuse cette divulgation.
(18)La limitation de la divulgation d’éléments de preuve en ce qui concerne les systèmes d’IA à haut risque est en cohérence avec [la législation sur l’IA], qui prévoit certaines obligations spécifiques en matière de documentation, de tenue de registres et d’information pour les opérateurs participant à la conception, au développement et au déploiement de systèmes d’IA à haut risque. Cette cohérence garantit également la proportionnalité nécessaire en évitant que les opérateurs de systèmes d’IA présentant un risque inférieur ou nul ne doivent documenter les informations à un niveau similaire à celui requis pour les systèmes d’IA à haut risque en vertu de [la législation sur l’IA].
(19)Les juridictions nationales devraient pouvoir, dans le cadre des procédures civiles, ordonner la divulgation ou la conservation d’éléments de preuve pertinents liés aux dommages causés par des systèmes d’IA à haut risque par les personnes qui sont déjà soumises à l’obligation de documenter ou d’enregistrer des informations en vertu de [la législation sur l’IA], qu’il s’agisse de fournisseurs, de personnes soumises aux mêmes obligations que les fournisseurs ou d’utilisateurs d’un système d’IA, soit en tant que défendeurs soit en tant que tiers à la procédure. Il pourrait exister des situations dans lesquelles les éléments de preuve pertinents pour l’affaire sont détenus par des entités qui ne seraient pas parties à l’action en réparation mais sont tenues de documenter ou d’enregistrer ces éléments de preuve en vertu de [la législation sur l’IA]. Il est donc nécessaire de prévoir les conditions dans lesquelles ces tiers à la procédure peuvent se voir ordonner de divulguer les éléments de preuve pertinents.
(20)Pour conserver l’équilibre entre les intérêts des parties à l’action en réparation et ceux des tiers concernés, les juridictions ne devraient ordonner la divulgation des éléments de preuve que si cela est nécessaire et proportionné pour étayer l’action ou l’action potentielle en réparation. À cet égard, la divulgation ne devrait concerner que les éléments de preuve nécessaires pour statuer sur la demande en réparation concernée, par exemple uniquement les parties des registres ou des ensembles de données pertinents nécessaires pour prouver le non-respect d’une exigence prévue par [la législation sur l’IA]. Afin de garantir la proportionnalité de ces mesures de divulgation ou de conservation, les juridictions nationales devraient disposer de moyens efficaces permettant de préserver les intérêts légitimes de toutes les parties concernées, par exemple la protection des secrets d’affaires au sens de la directive (UE) 2016/943 du Parlement européen et du Conseil et des informations confidentielles, telles que les informations liées à la sécurité publique ou nationale. En ce qui concerne les secrets d’affaires ou les secrets d’affaires allégués que la juridiction a qualifiés de confidentiels au sens de la directive (UE) 2016/943, les juridictions nationales devraient être habilitées à prendre des mesures spécifiques pour garantir la confidentialité de ces secrets d’affaires pendant et après la procédure, tout en assurant un équilibre juste et proportionné entre l’intérêt du détenteur du secret d’affaires à préserver ce secret et l’intérêt de la personne lésée. Cela devrait inclure des mesures visant à restreindre à un nombre limité de personnes l’accès aux documents contenant des secrets d’affaires et l’accès aux audiences ou aux documents et à leurs transcriptions. Lorsqu’elles se prononcent sur de telles mesures, les juridictions nationales prennent en considération la nécessité de garantir le droit à un recours effectif et à accéder à un tribunal impartial, les intérêts légitimes des parties et, le cas échéant, des tiers, ainsi que tout dommage que la décision d’accorder ou de refuser ces mesures pourrait causer à l’une ou l’autre des parties ou, le cas échéant, à des tiers. En outre, afin de garantir une application proportionnée de la mesure de divulgation à l’égard de tiers dans le cadre d’une action en réparation, les juridictions nationales ne devraient ordonner la divulgation de la part de tiers que si les éléments de preuve ne peuvent pas être obtenus auprès du défendeur.
(21)Bien que les juridictions nationales aient les moyens de faire exécuter leurs injonctions de divulgation en adoptant diverses mesures, ces mesures d’exécution pourraient retarder les actions en réparation et, partant, entraîner des frais supplémentaires pour les parties. Ces retards et ces frais supplémentaires peuvent rendre plus difficile l’exercice, par les personnes lésées, d’un recours juridictionnel effectif. Dès lors, lorsqu’un défendeur dans une action en réparation n’accède pas à la demande d’une juridiction ayant pour objet la divulgation des éléments de preuve qu’il détient, il convient d’établir une présomption de non-respect des devoirs de vigilance que ces éléments de preuve étaient destinés à prouver. Cette présomption réfragable réduira la durée des litiges et améliorera l’efficience des procédures judiciaires. Le défendeur devrait être en mesure de renverser cette présomption en présentant des éléments de preuve contraires.
(22)Afin de remédier aux difficultés à prouver qu’une donnée spécifique entrée par la personne potentiellement responsable a conduit le système d’IA à produire un résultat spécifique à l’origine du dommage en cause, il convient de prévoir, dans certaines conditions, une présomption de causalité. Alors que, dans le cadre d’une action en réparation fondée sur une faute, le demandeur doit généralement prouver le dommage, l’omission ou l’acte humain constituant la faute du défendeur et le lien de causalité entre ces deux éléments, la présente directive n’harmonise pas les conditions dans lesquelles les juridictions nationales établissent la faute. Ces conditions restent régies par le droit national applicable et, lorsqu’elles sont harmonisées, par le droit de l’Union applicable. De la même manière, la présente directive n’harmonise pas les conditions liées aux dommages, par exemple les types de dommages pouvant donner lieu à une indemnisation, qui sont aussi régies par le droit national et le droit de l’Union applicables. Pour que s’applique la présomption de causalité au titre de la présente directive, il faut que la faute du défendeur soit établie comme étant une omission ou un acte humain entraînant un manquement à un devoir de vigilance prévu par le droit de l’Union ou par le droit national et qui est directement destiné à protéger contre le dommage survenu. Ainsi, cette présomption peut s’appliquer, par exemple, dans le cadre d’une action en réparation pour dommage corporel lorsque la juridiction établit que la faute du défendeur réside dans le non-respect de la notice d’utilisation destinée à prévenir les dommages aux personnes physiques. Le manquement aux devoirs de vigilance qui n’étaient pas directement destinés à protéger contre le dommage survenu n’entraîne pas l’application de la présomption. Par exemple, le fait qu’un fournisseur n’ait pas déposé les documents requis auprès des autorités compétentes n’entraînerait pas l’application de ladite présomption en cas d’action en réparation pour dommage corporel. Il y a également lieu d’établir qu’il peut être considéré comme raisonnablement probable, compte tenu des circonstances de l’espèce, que la faute a influencé le résultat du système d’IA ou l’incapacité de celui-ci à produire un résultat. Enfin, le demandeur devrait toujours être tenu de prouver que le résultat ou l’absence de résultat a entraîné le dommage.
(23)Une telle faute peut être établie en ce qui concerne le non-respect des règles de l’Union qui régissent de manière spécifique les systèmes d’IA à haut risque, telles que les exigences fixées pour certains systèmes d’IA à haut risque par [la législation sur l’IA], les exigences qui peuvent être introduites par la future législation sectorielle pour d’autres systèmes d’IA à haut risque conformément à [l’article 2, paragraphe 2, de la législation sur l’IA] ou les devoirs de vigilance qui sont liés à certaines activités et qui sont applicables, que l’IA soit ou non utilisée pour l’activité en question. Dans le même temps, la présente directive ne fixe aucune exigence et ne crée aucune responsabilité, ni ne prévoit aucune harmonisation en la matière, pour les entités dont l’activité est régie par ces actes juridiques, et ne crée donc pas de nouveaux types d’actions en responsabilité. Toute violation d’une telle exigence constitutive d’une faute sera établie conformément aux dispositions des règles applicables du droit de l’Union susmentionnées, étant donné que la présente directive n’introduit pas de nouvelles exigences et n’a pas d’incidence sur les exigences existantes. Par exemple, la présente directive n’a pas d’incidence sur l’exemption de responsabilité pour les fournisseurs de services intermédiaires et sur les obligations de vigilance raisonnable auxquelles ils sont soumis au titre de [la législation sur les services numériques]. De même, le respect des exigences imposées aux plateformes en ligne pour éviter la communication non autorisée au public d’œuvres protégées par le droit d’auteur doit être établi en vertu de la directive (UE) 2019/790 sur le droit d’auteur et les droits voisins dans le marché unique numérique et d’autres dispositions pertinentes de la législation de l’Union relative au droit d’auteur.
(24)Dans les domaines non harmonisés par le droit de l’Union, le droit national continue de s’appliquer et la faute est établie en vertu du droit national applicable. Tous les régimes nationaux de responsabilité prévoient des devoirs de vigilance, et adoptent comme norme de conduite différentes expressions de la manière dont une personne raisonnable devrait agir, ce qui garantit également la sécurité du fonctionnement des systèmes d’IA afin d’éviter toute atteinte à des intérêts juridiques reconnus. Ces devoirs de vigilance pourraient, par exemple, obliger les utilisateurs de systèmes d’IA à choisir, pour certaines tâches, un système d’IA particulier présentant des caractéristiques concrètes ou à exclure certaines tranches d’une population de l’exposition à un système d’IA particulier. Le droit national peut également introduire des obligations spécifiques visant à prévenir les risques pour certaines activités, applicables indépendamment du fait que l’IA soit utilisée pour l’activité en question. Il peut s’agir par exemple de règles de circulation ou d’obligations spécifiquement conçues pour les systèmes d’IA, telles que des exigences nationales supplémentaires pour les utilisateurs de systèmes d’IA à haut risque conformément à l’article 29, paragraphe 2, de la [législation sur l’IA]. La présente directive n’introduit pas de telles exigences ni n’a d’incidence sur les conditions d’établissement de l’existence d’une faute en cas de violation de ces exigences.
(25)Même lorsqu’une faute consistant en un manquement à un devoir de vigilance visant directement à protéger contre le dommage survenu est établie, elle ne devrait pas conduire systématiquement à l’application de la présomption réfragable qui l’associe au résultat de l’IA. Une telle présomption ne devrait s’appliquer que lorsqu’il peut être considéré comme raisonnablement probable, compte tenu des circonstances dans lesquelles le dommage est survenu, qu’une telle faute a influencé le résultat du système d’IA ou l’incapacité de celui-ci à produire un résultat, à l’origine dudit dommage. Il peut, par exemple, être considéré comme raisonnablement probable que la faute a influencé le résultat ou l’absence de résultat, lorsque cette faute consiste en un manquement à un devoir de vigilance concernant la limitation du périmètre de fonctionnement du système d’IA et le dommage survenu en dehors de ce périmètre. En revanche, le manquement à une obligation de fournir certains documents ou de s’enregistrer auprès d’une autorité donnée, même si cela peut être prévu pour cette activité particulière voire s’appliquer expressément au fonctionnement d’un système d’IA, ne saurait être considéré comme raisonnablement susceptible d’avoir influencé le résultat du système d’IA ou l’incapacité de celui-ci à produire un résultat.
(26)La présente directive couvre la faute relative au non-respect de certaines exigences énoncées aux chapitres 2 et 3 de [la législation sur l’IA] pour les fournisseurs et les utilisateurs de systèmes d’IA à haut risque, pouvant entraîner, dans certaines conditions, une présomption de causalité. La législation sur l’IA prévoit une harmonisation complète des exigences applicables aux systèmes d’IA, sauf disposition contraire explicite. Elle harmonise les exigences spécifiques applicables aux systèmes d’IA à haut risque. Par conséquent, aux fins des actions en réparation dans le cadre desquelles une présomption de causalité au sens de la présente directive est appliquée, la faute potentielle des fournisseurs ou des personnes soumises aux obligations incombant au fournisseur en vertu de [la législation sur l’IA] n’est établie que par le non-respect desdites exigences. Étant donné qu’il peut être difficile pour le demandeur, dans la pratique, de prouver ce non-respect lorsque le défendeur est un fournisseur du système d’IA, et en parfaite cohérence avec la logique de [la législation sur l’IA], la présente directive devrait également prévoir que les mesures prises par le fournisseur dans le cadre du système de gestion des risques ainsi que les résultats de ce système, c’est-à-dire la décision d’adopter ou non certaines mesures de gestion des risques, devraient être prises en compte pour déterminer si le fournisseur a respecté les exigences pertinentes énoncées dans la législation sur l’IA visée dans la présente directive. Le système de gestion des risques mis en place par le fournisseur conformément à [la législation sur l’IA] est un processus itératif continu qui se déroule sur l’ensemble du cycle de vie du système d’IA à haut risque, par lequel le fournisseur garantit le respect des exigences obligatoires destinées à atténuer les risques, et peut dès lors constituer un élément utile aux fins de l’évaluation dudit respect. La présente directive couvre aussi les cas de faute des utilisateurs, lorsque cette faute consiste en un non-respect de certaines exigences spécifiques définies par [la législation sur l’IA]. En outre, la faute des utilisateurs de systèmes d’IA à haut risque peut être établie en cas de non-respect d’autres devoirs de vigilance prévus par le droit de l’Union ou le droit national, à la lumière de l’article 29, paragraphe 2, de [la législation sur l’IA].
(27)Bien que les caractéristiques spécifiques de certains systèmes d’IA, telles que l’autonomie et l’opacité, puissent rendre excessivement difficile l’acquittement de la charge de la preuve par le demandeur, de telles difficultés pourraient ne pas se poser dans les cas où le plaignant dispose d’une expertise et d’éléments de preuve suffisants pour prouver l’existence d’un lien de causalité. Tel pourrait être le cas, par exemple, pour les systèmes d’IA à haut risque pour lesquels le demandeur pourrait raisonnablement accéder à une expertise et à des éléments de preuve suffisants en raison des exigences en matière de documentation et de journalisation prévues par [la législation sur l’IA]. Dans de telles situations, la juridiction ne devrait pas appliquer la présomption.
(28)La présomption de causalité pourrait également s’appliquer à des systèmes d’IA qui ne sont pas des systèmes d’IA à haut risque car le demandeur pourrait éprouver des difficultés excessives à établir la preuve. Ces difficultés pourraient par exemple être appréciées à la lumière des caractéristiques de certains systèmes d’IA, telles que l’autonomie et l’opacité, qui rendent l’explication du fonctionnement interne du système d’IA très difficile dans la pratique et affectent la capacité du demandeur à prouver le lien de causalité entre la faute du défendeur et le résultat de l’IA. Une juridiction nationale devrait appliquer la présomption lorsque le demandeur se trouve dans une situation excessivement difficile pour prouver le lien de causalité, puisqu’il est tenu d’expliquer comment l’omission ou l’acte humain constituant une faute a conduit le système d’IA à produire le résultat ou l’absence de résultat qui est à l’origine du dommage. Le demandeur ne devrait toutefois pas être tenu d’expliquer ni les caractéristiques du système d’IA concerné ni en quoi ces caractéristiques compliquent l’établissement du lien de causalité.
(29)L’application de la présomption de causalité vise à garantir à la personne lésée un niveau de protection similaire à celui accordé dans les situations dans lesquelles l’IA n’est pas intervenue et où il peut donc être plus facile de prouver le lien de causalité. Néanmoins, il n’est pas toujours approprié d’alléger la charge de la preuve du lien de causalité en vertu de la présente directive lorsque le défendeur n’est pas un utilisateur professionnel, mais une personne utilisant le système d’IA dans le cadre de ses activités privées. Dans de telles circonstances, afin de concilier au mieux les intérêts de la personne lésée et ceux de l’utilisateur non professionnel, il convient de tenir compte de la question de savoir si cet utilisateur non professionnel peut, de par son comportement, accroître le risque qu’un système d’IA cause des dommages. Si le fournisseur d’un système d’IA a respecté toutes les obligations qui lui incombent et que, partant, ce système a été jugé suffisamment sûr pour être mis sur le marché en vue d’une utilisation donnée par des utilisateurs non professionnels et qu’il est ensuite utilisé à cette fin, une présomption de causalité ne devrait pas s’appliquer au simple lancement de l’exploitation d’un tel système par ces utilisateurs. Un utilisateur non professionnel qui achète un système d’IA et le lance simplement conformément à sa finalité, sans interférer matériellement avec les conditions d’exploitation, ne devrait pas être couvert par la présomption de causalité prévue par la présente directive. Toutefois, si une juridiction nationale constate qu’un utilisateur non professionnel a interféré matériellement avec les conditions d’exploitation d’un système d’IA ou était tenu et en mesure de définir lesdites conditions et ne l’a pas fait, la présomption de causalité devrait s’appliquer, si toutes les autres conditions sont remplies. Tel pourrait être le cas, par exemple, lorsque l’utilisateur non professionnel ne se conforme pas à la notice d’utilisation ou à d’autres devoirs de vigilance applicables lors du choix du domaine d’exploitation ou de la définition des conditions d’exécution du système d’IA. Cela est sans préjudice du fait que le fournisseur devrait définir la destination du système d’IA, y compris le contexte et les conditions spécifiques d’utilisation, et éliminer ou réduire au minimum les risques liés au système, selon le cas, au moment de la conception et du développement, en tenant compte des connaissances et de l’expertise de l’utilisateur visé.
(30)Étant donné que la présente directive introduit une présomption réfragable, le défendeur devrait pouvoir la réfuter, notamment en démontrant que sa faute ne peut avoir causé le dommage.
(31)Il convient de prévoir un réexamen de la présente directive [cinq ans] après la fin de la période de transposition. En particulier, ce réexamen devrait porter sur la question de savoir s’il est nécessaire de créer des règles de responsabilité stricte pour les actions intentées contre l’opérateur, dans la mesure où elles ne sont pas déjà couvertes par d’autres règles de l’Union en matière de responsabilité, en particulier la directive 85/374/CEE, combinées à une assurance obligatoire pour l’exploitation de certains systèmes d’IA, comme l’a suggéré le Parlement européen. Conformément au principe de proportionnalité, il y a lieu d’évaluer cette nécessité à la lumière des évolutions technologiques et réglementaires pertinentes dans les années à venir, en tenant compte de l’effet et de l’incidence sur le déploiement et l’adoption des systèmes d’IA, en particulier pour les PME. Ce réexamen devrait prendre en compte, entre autres, les risques susceptibles de porter atteinte à des valeurs juridiques importantes telles que la vie, la santé et les biens de tiers involontairement exposés du fait de l’exploitation de produits ou de services dotés d’IA. Il devrait également analyser l’efficacité des mesures prévues par la présente directive face à ces risques, ainsi que l’élaboration de solutions appropriées par le marché de l’assurance. Afin de garantir la disponibilité des informations nécessaires pour procéder à ce réexamen, il y a lieu de recueillir des données et d’autres éléments de preuve portant sur les questions pertinentes.
(32)Compte tenu de la nécessité d’adapter les règles nationales en matière de responsabilité civile et de procédure afin de favoriser le déploiement de produits et de services dotés d’IA dans des conditions favorables sur le marché intérieur, ainsi que l’acceptation par la société et la confiance des consommateurs dans les technologies de l’IA et dans le système judiciaire, il convient de fixer un délai de maximum [deux ans après l’entrée en vigueur] de la présente directive pour l’adoption, par les États membres, des mesures de transposition nécessaires.
(33)Conformément à la déclaration politique commune des États membres et de la Commission du 28 septembre 2011 sur les documents explicatifs, les États membres se sont engagés à joindre à la notification de leurs mesures de transposition, dans les cas où cela se justifie, un ou plusieurs documents expliquant le lien entre les éléments d’une directive et les parties correspondantes des instruments nationaux de transposition. En ce qui concerne la présente directive, le législateur estime que la transmission de ces documents est justifiée,
ONT ADOPTÉ LA PRÉSENTE DIRECTIVE:
Article premier
Objet et champ d’application
1.La présente directive établit des règles communes concernant:
(a)la divulgation d’éléments de preuve sur les systèmes d’intelligence artificielle (IA) à haut risque afin de permettre à un demandeur d’étayer une action civile en réparation de dommages causés par une faute extracontractuelle;
(b)la charge de la preuve en cas d’actions civiles fondées sur une faute extracontractuelle introduites devant les juridictions nationales pour des dommages causés par un système d’IA.
2.La présente directive s’applique aux actions civiles en réparation de dommages causés par une faute extracontractuelle, dans les cas où le dommage causé par un système d’IA survient après [la fin de la période de transposition].
La présente directive ne s’applique pas à la responsabilité pénale.
3.La présente directive ne porte pas atteinte:
(a)aux règles du droit de l’Union régissant les conditions de la responsabilité dans le domaine des transports;
(b)aux droits dont la personne lésée peut se prévaloir au titre des règles nationales mettant en œuvre la directive 85/374/CEE;
(c)aux exemptions de responsabilité et aux devoirs de vigilance prévus par [la législation sur les services numériques]; et
(d)aux règles nationales qui déterminent à quelle partie incombe la charge de la preuve, le degré de certitude requis pour satisfaire aux exigences de preuve ou la manière dont la faute est définie, à l’exception de ce qui est prévu aux articles 3 et 4.
4.Les États membres peuvent adopter ou conserver des règles nationales plus favorables aux demandeurs lorsqu’il s’agit d’étayer une action civile en réparation de dommages causés par une faute extracontractuelle imputable à un système d’IA, pour autant que ces règles soient compatibles avec le droit de l’Union.
Article 2
Définitions
Aux fins de la présente directive, on entend par:
(1)«système d’IA», un système d’IA au sens de [l’article 3, paragraphe 1, de la législation sur l’IA];
(2)«système d’IA à haut risque», un système d’IA visé à [l’article 6 de la législation sur l’IA];
(3)«fournisseur», un fournisseur au sens de [l’article 3, paragraphe 2, de la législation sur l’IA];
(4)«utilisateur», un utilisateur au sens de [l’article 3, paragraphe 4, de la législation sur l’IA];
(5)«action en réparation», une action civile fondée sur une faute extracontractuelle visant à obtenir réparation de dommages causés par le résultat d’un système d’IA ou l’incapacité de ce système à produire un résultat qui aurait dû l’être;
(6)«demandeur», une personne introduisant une action en réparation qui:
(a)a été lésée par le résultat d’un système d’IA ou l’incapacité de ce système à produire un résultat qui aurait dû l’être;
(b) a succédé aux droits d’une personne lésée en vertu de dispositions législatives ou contractuelles ou a été subrogée dans ces droits; ou
(c)agit pour le compte d’une ou de plusieurs personnes lésées, conformément au droit de l’Union ou au droit national;
(7)
«demandeur potentiel», une personne physique ou morale qui envisage d’intenter une action en réparation, mais ne l’a pas encore fait;
(8)
«défendeur», la personne contre laquelle est intentée une action en réparation;
(9)
«devoir de vigilance», la norme de conduite requise, fixée par le droit national ou le droit de l’Union, pour éviter de porter atteinte aux intérêts juridiques reconnus au niveau du droit national ou du droit de l’Union, notamment la vie, l’intégrité physique, les biens et la protection des droits fondamentaux.
Article 3
Divulgation d’éléments de preuve et présomption réfragable de non-respect
1.Les États membres veillent à ce que les juridictions nationales soient habilitées, soit à la demande d’un demandeur potentiel qui a précédemment demandé à un fournisseur, à une personne soumise aux obligations incombant au fournisseur en vertu de [l’article 24 ou de l’article 28, paragraphe 1, de la législation sur l’IA] ou à un utilisateur de divulguer les éléments de preuve pertinents qu’il détient concernant un système d’IA à haut risque spécifique soupçonné d’avoir causé un dommage, mais dont la demande a été refusée, soit à la demande d’un demandeur, à ordonner la divulgation de ces éléments de preuve par ces personnes.
À l’appui de cette demande, le demandeur potentiel doit présenter des faits et des éléments de preuve suffisants pour étayer la plausibilité d’une action en réparation.
2.Dans le cadre d’une action en réparation, la juridiction nationale n’ordonne la divulgation des éléments de preuve par l’une des personnes visées au paragraphe 1 que si le demandeur a mis en œuvre tous les moyens proportionnés pour collecter les éléments de preuve pertinents auprès du défendeur.
3.Les États membres veillent à ce que les juridictions nationales, à la demande d’un demandeur, soient habilitées à ordonner des mesures spécifiques pour conserver les éléments de preuve visés au paragraphe 1.
4.Les juridictions nationales limitent la divulgation d’éléments de preuve à ce qui est nécessaire et proportionné pour étayer une action ou une action potentielle en réparation, et la conservation de ces éléments de preuve à ce qui est nécessaire et proportionné pour étayer une telle action en réparation.
Afin de déterminer si une injonction de divulgation ou de conservation d’éléments de preuve est proportionnée, les juridictions nationales tiennent compte des intérêts légitimes de toutes les parties, y compris des tiers concernés, notamment pour ce qui est de la protection des secrets d’affaires au sens de l’article 2, paragraphe 1, de la directive (UE) 2016/943 et des informations confidentielles, telles que les informations liées à la sécurité publique ou nationale.
Les États membres veillent à ce que, lorsque la divulgation d’un secret d’affaires ou d’un secret d’affaires allégué que la juridiction a qualifié de confidentiel au sens de l’article 9, paragraphe 1, de la directive (UE) 2016/943 est ordonnée, les juridictions nationales soient habilitées, à la demande dûment motivée d’une partie ou de leur propre initiative, à prendre les mesures spécifiques nécessaires pour préserver la confidentialité lorsque ces éléments de preuve sont utilisés ou mentionnés au cours d’une procédure judiciaire.
Les États membres veillent également à ce que la personne ayant reçu l’injonction de divulguer ou de conserver les éléments de preuve visés aux paragraphes 1 ou 2 dispose de voies de recours procédurales appropriées en réponse à cette injonction.
5.Lorsqu’un défendeur ne se conforme pas à une injonction de divulguer ou de conserver des éléments de preuve qu’il détient, prononcée en vertu des paragraphes 1 ou 2 par une juridiction nationale dans le cadre d’une action en réparation, la juridiction nationale présume le non-respect, par le défendeur, d’un devoir de vigilance pertinent, en particulier dans les circonstances visées à l’article 4, paragraphes 2 ou 3, que les éléments de preuve demandés étaient destinés à prouver aux fins de l’action en réparation concernée.
Le défendeur a le droit de renverser cette présomption.
Article 4
Présomption réfragable d’un lien de causalité en cas de faute
1.Sous réserve des exigences énoncées au présent article, les juridictions nationales présument, aux fins de l’application des règles de responsabilité à une action en réparation, le lien de causalité entre la faute du défendeur et le résultat produit par le système d’IA ou l’incapacité de celui-ci à produire un résultat, lorsque toutes les conditions suivantes sont remplies:
(b) le demandeur a démontré ou la juridiction a présumé, conformément à l’article 3, paragraphe 5, la faute du défendeur ou d’une personne dont le comportement relève de sa responsabilité, consistant en un manquement à un devoir de vigilance prévu par le droit de l’Union ou le droit national visant directement à protéger contre le dommage survenu;
(c)il peut être considéré comme raisonnablement probable, compte tenu des circonstances de l’espèce, que la faute a influencé le résultat du système d’IA ou l’incapacité de celui-ci à produire un résultat;
(d)le demandeur a démontré que le résultat du système d’IA ou l’incapacité de celui-ci à produire un résultat est à l’origine du dommage.
2.Dans le cas d’une action en réparation contre le fournisseur d’un système d’IA à haut risque soumis aux exigences énoncées au titre III, chapitres 2 et 3, de [la législation sur l’IA] ou contre une personne soumise aux obligations qui incombent au fournisseur en vertu de [l’article 24 ou de l’article 28, paragraphe 1, de la législation sur l’IA], la condition énoncée au paragraphe 1, point a), n’est remplie que si le plaignant a démontré que le fournisseur ou, le cas échéant, la personne soumise aux obligations qui incombent au fournisseur n’a pas respecté l’une des exigences suivantes, énoncées dans lesdits chapitres, compte tenu des mesures prises dans le cadre du système de gestion des risques et des résultats de ce système conformément à [l’article 9 et à l’article 16, point a), de la législation sur l’IA]:
(a) le système d’IA est un système qui fait appel à des techniques qui impliquent l’entraînement de modèles au moyen de données et qui n’a pas été développé sur la base de jeux de données d’entraînement, de validation et de test qui satisfont aux critères de qualité visés à [l’article 10, paragraphes 2 à 4, de la législation sur l’IA];
(b) le système d’IA n’a pas été conçu et développé d’une manière qui réponde aux exigences de transparence énoncées à [l’article 13 de la législation sur l’IA];
(c)le système d’IA n’a pas été conçu et développé de manière à permettre un contrôle effectif par des personnes physiques pendant la période d’utilisation du système d’IA conformément à [l’article 14 de la législation sur l’IA];
(d)le système d’IA n’a pas été conçu et développé de manière à atteindre, compte tenu de sa destination, un niveau approprié d’exactitude, de robustesse et de cybersécurité conformément à [l’article 15 et à l’article 16, point a), de la législation sur l’IA]; ou
(e)les mesures correctives nécessaires n’ont pas été prises immédiatement pour mettre le système d’IA en conformité avec les obligations énoncées au [titre III, chapitre 2, de la législation sur l’IA] ou pour le retirer ou le rappeler, selon le cas, conformément à [l’article 16, point g), et à l’article 21 de la législation sur l’IA].
3.Dans le cas d’une action en réparation contre un utilisateur d’un système d’IA à haut risque soumis aux exigences énoncées au titre III, chapitres 2 et 3, de [la législation sur l’IA], la condition énoncée au paragraphe 1, point a), est remplie lorsque le demandeur prouve que l’utilisateur:
(a)ne s’est pas conformé aux obligations qui lui incombent d’utiliser ou de surveiller le système d’IA conformément à la notice d’utilisation jointe ou, le cas échéant, de suspendre ou d’interrompre son utilisation en vertu de [l’article 29 de la législation sur l’IA]; ou
(b)a exposé le système d’IA à des données d’entrée sous son contrôle qui ne sont pas pertinentes au regard de la destination du système conformément à [l’article 29, paragraphe 3, de la législation sur l’IA].
4.Dans le cas d’une action en réparation concernant un système d’IA à haut risque, une juridiction nationale n’applique pas la présomption énoncée au paragraphe 1 lorsque le défendeur démontre que le demandeur peut raisonnablement accéder à une expertise et à des éléments de preuve suffisants pour prouver le lien de causalité visé au paragraphe 1.
5.Dans le cas d’une action en réparation concernant un système d’IA qui n’est pas à haut risque, la présomption énoncée au paragraphe 1 ne s’applique que si la juridiction nationale estime qu’il est excessivement difficile pour le demandeur de prouver le lien de causalité visé au paragraphe 1.
6.Dans le cas d’une action en réparation contre un défendeur qui a utilisé le système d’IA dans le cadre d’une activité personnelle à caractère non professionnel, la présomption énoncée au paragraphe 1 ne s’applique que si le défendeur a interféré matériellement avec les conditions d’exploitation du système d’IA ou s’il était tenu et en mesure de définir lesdites conditions et ne l’a pas fait.
7.Le défendeur a le droit de renverser la présomption énoncée au paragraphe 1.
Article 5
Évaluation et réexamen ciblé
1.Au plus tard le [DATE cinq ans après la fin de la période de transposition], la Commission réexamine l’application de la présente directive et présente un rapport au Parlement européen, au Conseil et au Comité économique et social européen, accompagné, s’il y a lieu, d’une proposition législative.
2.Le rapport examine les effets des articles 3 et 4 sur la réalisation des objectifs poursuivis par la présente directive. En particulier, il devrait évaluer le caractère approprié des règles de responsabilité stricte pour les actions intentées contre les opérateurs de certains systèmes d’IA, dans la mesure où elles ne sont pas déjà couvertes par d’autres règles de l’Union en matière de responsabilité, et la nécessité d’une couverture d’assurance, tout en tenant compte de l’effet et de l’incidence sur le déploiement et l’adoption des systèmes d’IA, en particulier pour les PME.
3.La Commission établit un programme de suivi pour l’élaboration du rapport visé aux paragraphes 1 et 2, qui précise les modalités et la fréquence de la collecte des données et des autres éléments de preuve nécessaires. Ce programme précise les rôles respectifs de la Commission et des États membres dans la collecte et l’analyse des données et des autres éléments de preuve. Aux fins de ce programme, les États membres communiquent les données et les éléments de preuve pertinents à la Commission, au plus tard le [31 décembre de la deuxième année complète suivant la fin de la période de transposition] et avant la fin de chaque année suivante.
Article 6
Modification de la directive (UE) 2020/1828
À l’annexe I de la directive (UE) 2020/1828, le point 67 suivant est ajouté:
«(67) Directive (UE) …/… du Parlement européen et du Conseil du … relative à l’adaptation des règles en matière de responsabilité civile extracontractuelle au domaine de l’intelligence artificielle (Directive sur la responsabilité en matière d’IA) (JO L … du …, p. …).».
Article 7
Transposition
1.Les États membres mettent en vigueur les dispositions législatives, réglementaires et administratives nécessaires pour se conformer à la présente directive au plus tard le [deux ans après la date d’entrée en vigueur]. Ils communiquent immédiatement à la Commission le texte de ces dispositions.
Lorsque les États membres adoptent ces dispositions, celles-ci contiennent une référence à la présente directive ou sont accompagnées d’une telle référence lors de leur publication officielle. Les modalités de cette référence sont arrêtées par les États membres.
2.Les États membres communiquent à la Commission le texte des dispositions essentielles de droit interne qu’ils adoptent dans le domaine régi par la présente directive.
Article 8
Entrée en vigueur
La présente directive entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.
Article 9
Destinataires
Les États membres sont destinataires de la présente directive.
Fait à Bruxelles, le
Par le Parlement européen
Par le Conseil
La présidente
Le président