Votre recherche

Popular Tags

Paris

19.2°C
Clear Sky Humidity: 45%
Wind: E at 3.6 M/S

L'IA éthique et le devoir de vigilance : quel cadre pour les entreprises européennes ?

Décryptages

Baptisée par certains de « Quatrième Grande Transformation », l’intelligence artificielle porte en elle des promesses considérables en termes de croissance économique et de gains de productivité. Toutefois, son développement fulgurant suscite de nombreuses préoccupations quant à ses potentielles dérives et aux différents facteurs de risque qu’elle engendre pour les entreprises en matière de droits de l’homme, d’environnement et de sécurité des personnes. Explications par Olivier Attias, Associé – cabinet August Debouzy et Claire Li, Avocate, August Debouzy.

L’omniprésence de l’IA et son intégration croissante dans les processus décisionnels des entreprises ont alimenté les débats sur les risques qu’elle fait peser sur les droits fondamentaux et l’environnement. Conscients de ces enjeux, les pouvoirs publics n’ont pas manqué de relever la nécessité d’un encadrement juridique adapté. A l’échelle internationale, un certain consensus s’est ainsi formé quant à la nécessité de garantir une IA éthique, et de renforcer la coordination entre Etats afin d’assurer un cadre réglementaire efficace.

L’Union européenne a été pionnière en la matière en publiant le 12 juillet 2024, le règlement européen sur l’intelligence artificielle[1] (« Règlement IA »). Fruit de près de neuf années de réflexion et de débats parlementaires, intensifiés par l’essor de modèles d’IA générative tels que Chat-GPT, le Règlement IA instaure le premier cadre législatif général sur l’intelligence artificielle à l’échelle régionale[2]. En substance, le Règlement IA introduit une classification des systèmes d’intelligence artificielle selon leur niveau de risque - interdites, à haut risque, à risque limité et à risque faible ou minimal.

Dès sa conception, ce texte avait pour ambition de poser les bases d’une « IA sûre, fiable et éthique », comme l’avait formulé le Conseil européen[3]. Toutefois, malgré l’enthousiasme suscité par cette avancée réglementaire inédite, le Règlement IA s’inscrit dans un ensemble législatif dense, dont les articulations restent à préciser. Si le lien avec le règlement général sur la protection des données[4] ou la directive relative aux produits défectueux[5] apparaît évident, son articulation avec la directive sur le devoir de vigilance des entreprises en matière de durabilité[6] (« Directive Devoir de Vigilance »), signée le même jour par la présidente du Parlement européen et le président du Conseil, soulève davantage d’interrogations.

L’intelligence artificielle dans le champ du devoir de vigilance

Bien que le Règlement IA et la Directive Devoir de Vigilance ne contiennent aucune référence explicite l’un à l’autre et restent silencieux quant à leurs interactions, les deux textes reposent néanmoins sur des principes communs. De l’évaluation des risques à la mise en œuvre des mesures de remédiation, un parallèle évident se dessine entre ces deux textes européens.

Pour mémoire, le devoir de vigilance a été pour la première fois codifié en France aux articles L.225-102-4 et L.225-102-5 du Code de commerce et impose aux groupes de sociétés dépassant un certain seuil[7] d’élaborer, de rendre public et de mettre en œuvre un plan de vigilance destiné à « identifier les risques et à prévenir les atteintes graves entre les droits humains et les libertés fondamentales, la santé et la sécurité des personnes, ainsi que l’environnement ».

Cette obligation ne se limite pas aux seules activités des sociétés assujetties mais s’étend également à celles de leurs filiales, sous-traitants et fournisseurs avec lesquels elles entretiennent une relation commerciale établie, lorsque ces activités s’inscrivent dans cette relation (« Chaîne d’activités »). A quelques nuances près, ce cadre juridique a été repris au niveau européen par la Directive Devoir de Vigilance[8].

Le respect du devoir de vigilance constitue un enjeu majeur pour les entreprises dans la mesure où tout manquement peut engager leur responsabilité civile, les exposant à un risque d’atteinte réputationnelle et ainsi à des contentieux et d’éventuelles condamnations à des dommages et intérêts. Bien que, sur le plan européen, l’adoption de la directive dite stop the clock [9]ait entraîné un report d’un an de l’entrée en vigueur de la Directive Devoir de Vigilance, le sujet reste pleinement d’actualité en droit interne où la législation sur le devoir de vigilance demeure en vigueur.

La portée particulièrement large des risques à prendre en compte au titre du devoir de vigilance, combinée à l’imprécision de certaines notions-clés telles que « atteintes graves » ou « incidences négatives » conduit nécessairement à une interprétation étendue de cette obligation. A ce titre, rien n’exclut que les risques liés à l’intelligence artificielle entrent dans son champ d’application.

L’intelligence artificielle comme facteur de risque pour les droits de l’homme, l’environnement et la santé- sécurité des personnes

Les réflexions relatives à l’intelligence artificielle ont pu pointer du doigt les risques qu’elle peut engendrer en matière de droits humains, d’environnement et de santé-sécurité – un triptyque au cœur du devoir de vigilance.

Risques environnementaux

Les impacts environnementaux potentiels liés à l’intelligence artificielle peuvent difficilement être contestés, en raison de son coût énergétique considérable. L’IA mobilise d’importantes ressources en eau et contribue à une empreinte carbone significative. Par exemple, le Conseil économique, social et environnemental (« CESE ») a souligné que l'IA, en raison de sa consommation énergétique élevée et de sa dépendance aux centres de données, contribue de manière significative aux émissions de gaz à effet de serre[10]. De plus, l'Agence internationale de l'énergie (« AIE ») estime que la consommation électrique des centres de données pourrait doubler d'ici 2026 par rapport à 2022, en grande partie en raison de l'essor de l'IA[11]. Avec son développement exponentiel, cette dépense énergétique est ainsi susceptible de menacer la durabilité environnementale[12].

Risques aux droits de l’homme et libertés fondamentales

L’IA a souvent été considérée comme un facteur de risque pour les droits humains en raison de son opacité et de la persistance de certains biais algorithmiques. Certains modèles d’intelligence artificielle, alimentés par des données biaisées, peuvent reproduire et amplifier des discriminations sociales, raciales ou de genre. Lorsque ces modèles sont intégrés à des processus décisionnels critiques (ex. justice, éducation, emploi...), ces biais peuvent conduire à des décisions arbitraires portant atteinte aux droits fondamentaux des individus[13].

Risque à la santé-sécurité des personnes

Dans certains secteurs (santé, industrie, transport, etc.), l’intelligence artificielle peut directement affecter la santé et la sécurité des personnes, notamment lorsqu’elle est incorporée à des produits ou services essentiels. Une erreur algorithmique ou un dispositif mal calibré peut entraîner des conséquences graves pour les utilisateurs et exposer les entreprises à d’importants risques juridiques et éthiques.

Le Règlement IA prend en compte ces considérations lorsqu’elle détermine le niveau de risque des systèmes d’intelligence artificielle. Il qualifie notamment « à haut risque » les systèmes d'IA susceptibles de porter atteinte à la santé, la sécurité des personnes ou aux droits fondamentaux. Dès lors qu’un système d’IA est évalué comme étant à haut risque, le Règlement IA impose des obligations spécifiques telle que la mise en place d’un système rigoureux d’évaluation et d’atténuation des risques. Ces exigences visent à garantir un encadrement strict de ces technologies et à prévenir les dérives potentielles[14].

Si le Règlement IA fait référence à des notions familières au devoir de vigilance et comporte des exigences similaires pour les systèmes d’intelligence artificielle à haut risque, ces deux textes poursuivent néanmoins des objectifs distincts et relèvent de périmètres différents. Ainsi, la conformité au Règlement IA ne garantit pas celle au devoir de vigilance.

Le Règlement IA peut néanmoins constituer un point de référence utile pour évaluer les risques associés à l’intelligence artificielle dans le cadre d’un plan de vigilance. Les entreprises devront donc mener une réflexion intégrée afin de garantir, d’une part, la conformité de leurs systèmes d’IA vis-à-vis des exigences du Règlement IA, et, d’autre part l’intégration des enjeux liés à l’IA dans leur plan de vigilance.

L’intelligence artificielle comme facteur de responsabilité

Les entreprises assujetties au devoir de vigilance doivent non seulement identifier les risques liés à l’intelligence artificielle dans leurs propres activités, mais également dans celles de leurs filiales et tout au long de leur Chaîne d’activités. En cas de manquement à ces obligations, la responsabilité de l’entreprise peut être engagée devant les juridictions compétentes.

Dans le cadre du devoir de vigilance, deux situations distinctes peuvent se présenter à notre sens :

L’entreprise utilisatrice de l’IA[15]

Lorsque l’IA est intégrée aux processus internes de l’entreprise à des fins de support opérationnel (à des fins de gestion interne ou à des fins industrielles) ou d’aide à la décision (par exemple, pour le recrutement ou la logistique), il est relativement aisé de localiser et cartographier les risques (discriminations, biais algorithmiques, collecte de données personnelles, etc.). L’entreprise se doit alors de vérifier régulièrement la fiabilité et la conformité de ces systèmes pour éviter, par exemple, des décisions discriminatoires. Sur ce point, la CNIL pointe que si les implications éthiques et sociales d’une délégation de tâches à des systèmes automatisés présentent des degrés de risque variés, l’appréhension des risques pourrait se faire en fonction de deux critères, à savoir (i) l’impact sur l’homme de l’opération qu’il s’agit de déléguer et (ii) le type de système à qui il est question de déléguer celle-ci[16].

En réalité, l’utilisation de l’IA par l’entreprise n’est pas récente et la nature des risques qui en découlent n’a pas fondamentalement évolué. Cependant, la visibilité accrue de l’IA ainsi que l’émergence de modèles plus autonomes incitent les entreprises à adopter un « principe de vigilance ». L’optimisation de certaines tâches ne doit pas conduire à une automatisation de la prise de décision. Il reste donc primordial de maintenir un contrôle humain sur les systèmes d’IA déployés. Par ailleurs, en ce qui concerne les processus internes, il est crucial de garantir une traçabilité rigoureuse des décisions, en particulier dans les domaines les plus sensibles.

L’entreprise productrice ou fournisseuse de l’IA[17]

Lorsque l’IA est un produit commercialisé par l’entreprise, la gestion des risques au titre du devoir de vigilance devient plus complexe. La production d’une IA implique souvent une chaîne d’approvisionnement fragmentée, intégrant une multitude de sous-traitants et de fournisseurs issus de secteurs d’activités multiples et répartis sur différentes zones géographiques.

En fonction de la finalité, et du modèle de l’intelligence artificielle concerné, la Chaîne d’activités peut comprendre plusieurs étapes critiques, chacune pouvant comporter des risques spécifiques[18] :

  • La conception et la fabrication de puces (ex. GPUs, CPUs, Asics): les puces sont fabriquées à partir de matières premières (ex. silicium et germanium), dans des usines spécialisées utilisant des machines de haute précision.
  • La mise en place et l’entretien de l’infrastructure (sur site ou dans le cloud): l’infrastructure informatique permet d’héberger, traiter et déployer les modèles d’intelligence artificielle, avec des données exploitables injectées dans des algorithmes.
  • La définition des modèles d’IA(ex. conception, entraînement du modèle) : cette phase consiste à élaborer et à former les modèles d’IA à l’aide d’infrastructures, conformément à une architecture prédéfinie.
  • Les applications concrètes (ex. chatbots, interfaces de programmation) : les applications rendent les systèmes d’intelligence artificielle accessibles aux utilisateurs, jouant un rôle-clé dans l’interaction avec l’IA.

Chaque étape de cette chaîne peut recéler des risques d’atteinte aux droits humains, à l’environnement ou à la santé et sécurité. En vertu du devoir de vigilance, les entreprises doivent donc mettre en place des procédures rigoureuses d’identification, d’évaluation et de prévention couvrant l’ensemble de ces maillons, y compris lorsque des sous-traitants et fournisseurs opèrent dans plusieurs zones géographiques.

Dans ce contexte, la principale difficulté réside dans l’appréhension pertinente de la Chaîne d’activités. Les débats parlementaires ont notamment porté sur l’interprétation de la notion de relation commerciale établie, mentionnée à l’article L.225-102-4 du Code de commerce. Il en ressort que cette chaîne ne se limite pas aux seuls fournisseurs et sous-traitants de premier rang, mais peut inclure des acteurs situés plus en aval. La Directive Devoir de Vigilance a adopté une approche large en retenant la notion de partenaire commercial, englobant ainsi un spectre plus vaste d’opérateurs économiques (art. 3 de la Directive).

Toutefois, il convient de rappeler que le devoir de vigilance est une obligation de moyens et non de résultat. L’entreprise n’est pas tenue d’éliminer totalement les risques, mais elle doit déployer des efforts raisonnables et proportionnés pour prévenir les atteintes les plus graves. L’approche retenue doit ainsi être pragmatique et fondée sur un ordre de priorités en fonction des ressources et capacités de l’entreprise concernée.

Ainsi, une gouvernance transversale combinant les exigences des deux réglementations est encouragée, où les équipes pertinentes de l’entreprise coopèrent dans le déploiement des systèmes IA. Cette méthodologie permettrait de renforcer la transparence, l’efficacité des dispositifs de conformité et la capacité d’adaptation aux évolutions réglementaires.

Olivier Attias, Associé – cabinet August Debouzy et Claire Li, Avocate, August Debouzy

 ______________________________________

[1]                 Règlement (UE) 2024/1689 du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle.

[2]                 La direction des affaires civiles et du sceau a indiqué qu’une série d’actes complémentaires (ex. actes délégués et d’exécution de la Commission européenne) devra encore être adoptée pour déterminer précisément les modalités d’application du Règlement IA.

[3]                 Conseil européen, réunion extraordinaire du Conseil européen (1er et 2 octobre 2020) — Conclusions, EUCO 13/20, 2020, p. 6.

[4]                 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.

[5]                 Directive (UE) 2024/2853 du Parlement européen et du conseil du 23 octobre 2024 relative à la responsabilité du fait des produits défectueux.

[6]                 Directive (UE) 2024/1760 du Parlement européen et du Conseil du 13 juin 2024 sur le devoir de vigilance des entreprises en matière de durabilité.

[7]                 Le devoir de vigilance français s’applique à toute société qui emploie, à la clôture de deux exercices consécutifs, au moins cinq mille salariés en son sein et dans ses filiales directes ou indirectes dont le siège social est fixé sur le territoire français, ou au moins dix mille salariés en son sein et dans ses filiales directes ou indirectes dont le siège social est fixé sur le territoire français ou à l'étranger.

[8]                 La Directive Devoir de Vigilance sera transposée de manière progressive à compter du 26 juillet 2026.

[9]                 Directive (UE) 2025/794 du Parlement européen et du Conseil du 14 avril 2025 modifiant les directives (UE) 2022/2464 et (UE) 2024/1760.

[10]                https://www.lecese.fr/actualites/quels-effets-lintelligence-artificielle-ia-peut-elle-avoir-sur-lenvironnement?

[11]                Voir en ce sens la publication de la Direction Générale des Entreprises du 10 février 2025, IA en entreprise : quels impacts environnementaux ? https://www.entreprises.gouv.fr/decryptages-de-nos-experts/intelligence-artificielle-en-entreprise-quels-impacts-environnementaux?

[12]                Selon l’International Scientific Report on the safety of advanced AI » (17/05/2024), l’intelligence artificielle pourrait devenir le principal facteur de consommation dans les centres de données qui représentent déjà entre 1 à 1,5% de la consommation mondiale d’électricité.

[13]            Par exemple, l'UNESCO souligne que l'IA peut amplifier les préjugés, renforcer les discriminations et menacer les droits de l'homme et les libertés fondamentales (https://www.unesco.org/fr/artificial-intelligence/recommendation-ethics?)

                  De plus, le Conseil de l'Europe mettait déjà en évidence en 2018 que l'utilisation de l'IA peut entraîner des atteintes au droit à la vie privée et à l'égalité, notamment en reproduisant ou en amplifiant des discriminations existantes (https://www.coe.int/fr/web/disability/-/safeguarding-human-rights-in-the-era-of-artificial-intelligence?).

[14]                Pour plus de détails : Guide de mise en œuvre de l’AI Act : Cartographie des obligations applicables aux organisations – 14 janvier 2025 :  https://www.cigref.fr/guide-de-mise-en-oeuvre-de-lai-act-cartographie-des-obligations-applicables-aux-organisations

[15]                Dans cette hypothèse, l’entreprise serait un « déployeur » au sens de l’article 3.4) du Règlement IA.

[16]                Rapport CNIL, décembre 2017. Comment permettre à l’homme de garder la main : https://www.cnil.fr/sites/cnil/files/atoms/files/cnil_rapport_garder_la_main_web.pdf

[17]            Dans cette hypothèse, l’entreprise serait un « fournisseur » au sens de l’article 3.3) du Règlement IA.

[18]                Tordeux Bitker, Marianne et al. 2024. Des puces aux applications, l’Europe peut-elle être une puissance de l’IA générative ? France Digitale. https://francedigitale.org/publications/etude-ia-generative.  
Image
Back To Top

Actualisé quotidiennement, le Monde du Droit est le magazine privilégié des décideurs juridiques. Interviews exclusives, les décryptages des meilleurs spécialistes, toute l’actualité des entreprises, des cabinets et des institutions, ainsi qu’une veille juridique complète dans différentes thématiques du droit. De nombreux services sont également proposés : annuaire des juristes d’affaires, partenariats de rubriques (affichez votre expertise sur Le Monde du Droit), création d’émissions TV diffusées sur 4Change (Interviews, talkshows, chroniques...), valorisation de vos différentes actions (deals, nominations, études, organisations d’événements, publication de contributions, récompenses, création de votre cabinet...)