Condensé #31 - Semaine du 13 octobre 2022

Le condensé de la semaine:

Quel impact pour la nouvelle proposition européenne sur la responsabilité en matière d'IA?

Transferts de données UE-USA: Un décret présidentiel pour se rapprocher de l'objectif

En une ligne dans le reste du monde.


Par Malik Aouadi.

Par Malik Aouadi.

Les lectures qui m'ont marqué récemment:

  1. Of God and Machine par The Atlantic: un essai court sur le futur de l'intelligence artificielle et de la créativité humaine.

  2. Everyone knows what YouTube is — few know how it really works par le The Verge : un entretien sur le fonctionnement de la plateforme américaine avec Mark Bergen, auteur de Like, Comment, Subscribe: Inside YouTube’s Chaotic Rise to World Domination.

Quel impact pour la nouvelle proposition européenne sur la responsabilité en matière d'IA?

En toute fin de mois de septembre, la Commission européenne a publié une proposition de directive visant à établir de nouvelles règles de responsabilité pour les systèmes d’IA, fondées sur la faute. Conjointement, la Commission propose une réforme des règles existantes sur la responsabilité objective des fabricants pour les produits défectueux.

Vraiment nécessaire?

Oui, à en croire les résultats obtenus par l'enquête European enterprise survey on the use of technologies based on artificial intelligence. Fondamentalement, cette proposition de directive est la réponse logique à cette étude menée par la Commission auprès d'entreprises européennes sur l'utilisation des technologies basées sur l'intelligence artificielle. Celle-ci rapporte notamment que les spécificités de l’IA engendrent une incertitude juridique pour les entreprises et compliquent fortement les demandes d’indemnisation des victimes.

Le texte. Avec cette proposition, l’Europe souhaite mettre fin à ces incertitudes et tente d’aborder des particularités spécifiques des dispositifs utilisant l’IA en matière de responsabilité pour faute, de leurs comportements autonomes à leurs prévisibilités limitées.

révolutionnaire?

En résumé, la proposition porte sur tous les usages de l’IA et vise à obliger les fournisseurs, les développeurs et les utilisateurs de système utilisant cette technologie d’indemniser tout type de dommage couvert par le droit national et pour tout type de victime – particuliers, entreprises, organisations, etc. Encore une fois, c’est à la Commission qu’il incombe de trouver un difficile compromis entre préservation de l’innovation et protection des consommateurs/victimes.

En vue de prouver une telle faute, l'institution européenne propose deux innovations majeures qui modifient les règles en vigueur en matière de responsabilité :

  • Le principe d’accès aux éléments de preuve détenus par les entreprises ou fournisseurs : les demandeurs ont désormais le pouvoir de demander la divulgation d’informations relatives au fonctionnement de l’intelligence artificielle, uniquement en ce qui concerne les systèmes d’IA à haut risque. Pour autant, certaines informations précieuses comme les secrets industriels restent protégées.

  • le principe de présomption de causalité - la proposition établit une présomption réfutable de causalité entre la faute du système utilisant l’IA et le dommage causé à la victime, en vue d’aider cette dernière dans sa demande d’indemnisation. Cet aspect est fondamental car il enlève à la victime la charge de la preuve.

    Cette présomption n’intervient que s’il est raisonnablement probable, d’après les circonstances dans lesquelles le dommage est survenu, que la faute du dispositif utilisant l’IA en est à l’origine. Par exemple, lorsqu’une obligation portant sur l’IA est violée par un dispositif utilisant cette technologie, la faute de la personne qui a développé, fourni ou utilisé ce dispositif sera présumée. Dans le cas où le juge estimerait qu’il est effectivement raisonnablement probable que la faute du dispositif a causé le dommage, c’est au défendeur qu’il incombera de démontrer que son dispositif n’est pas la cause du préjudice.

Compromis réussi pour la Commission?

Assez difficile à dire. Certes d’un côté, la victime lésée par un dispositif utilisant l’IA voit son obligation d’apporter la preuve de la faute grandement facilitée –face à une situation aux mécanismes bien souvent opaques. Pour autant, l’innovation en la matière risque d’accuser le coup. Déjà confrontés au futur AI Act et ses nombreuses obligations, les acteurs du secteur auront à cœur d’établir des mécanismes permettant de prévenir une potentielle prolifération de plaintes.

Malgré un texte déjà assez conséquent, l'initiative n'en est qu'à ses débuts. Il reste du temps pour que les principaux intéressés présentent leurs points de vue et négocient certains aspects. Comme l’exclusion du principe de présomption de causalité pour les dommages non matériels ? À suivre.

Transferts de données UE-USA: Un décret présidentiel pour se rapprocher de l'objectif

Le 7 octobre 2022, le président américain Joe Biden a publié un décret (Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities ou « EO ») dont l’objet est de mettre en œuvre l’accord entre l’UE et les USA survenu plus tôt dans l’année.

Contexte

Le 25 mars dernier, la Commission européenne et le gouvernement des États-Unis avaient annoncé la conclusion d’un nouvel accord de principe portant sur l’échange de données personnelles de l’Union européenne vers les États-Unis conformément aux décisions de la Cour de Justice de l’Union européenne. En effet, depuis l’invalidation du Privacy Shield à la suite de l’arrêt Schrems II, les transferts de données européennes vers les Etats-Unis sont, en principe, illégaux, sauf mécanismes alternatifs souvent longs et complexes.

Le décret concerne particulièrement le traitement des données personnelles européennes par les services de renseignements américains ainsi que sur leurs réponses face aux plaintes des citoyens européens. En précisant le contenu de l’accord de mars, le gouvernement américain espère permettre à la Commission d’adopter une décision d’adéquation en faveur des Etats-Unis conformément au RGPD.

À ce jour, seule une petite dizaine de pays a fait l'objet d'une décision d'adéquation. On y compte notamment le Canada, l'Argentine, le Japon, le Royaume-Uni ou encore la Suisse.

Les garanties admises par les Etats-Unis

Les garanties admises par les Etats-Unis

Refoulés depuis plusieurs années en raison de ses lacunes juridiques et de son manque de sécurité face à l’ingérence de ses agences gouvernementales aux yeux de l’Europe, les Etats-Unis entendent faire un nouveau pas dans la direction de leurs homologues d’outre-Atlantique. Le décret annonce ainsi la mise en œuvre des garanties suivantes :

  • Un encadrement plus strict des mesures de surveillance électroniques existantes : le texte prévoit que les activités de renseignement seront soumises à une surveillance stricte afin de garantir qu’elles permettent la réalisation d’objectifs définis en matière de sécurité nationale. Ces activités devront prendre en considération la vie privée et les libertés fondamentales des individus, indépendamment de leur nationalité ou de leur pays de résidence pour autant que ce soit nécessaire et proportionné.

    Le décret prévoit également une série d’objectifs interdits tels que :

    • La suppression ou la pression de la critique, de la dissidence ou d’une libre expression par des individus ou la presse ;

    • La suppression ou la restriction des intérêts légitimes en matière de vie privée ;

    • La suppression ou restriction d’un droit à un conseil juridique ;

    • Le désavantage subi par une personne en raison de son origine ethnique, sa race, son sexe, son identité sexuelle ou sa religion.

  • Une atténuation de la possibilité de collecte de données en masse : le texte prévoit que la collecte ciblée doit être priorisée à la collecte en masse. Quand il sera nécessaire de procéder à cette dernière, les agences de renseignement devront appliquer des techniques raisonnables pour limiter la collecte à ce qui est nécessaire, tout en réduisant au maximum la collecte de données non pertinentes.

    Ainsi, une telle collecte ne sera autorisée que pour des raisons de :

    • Protection contre le terrorisme et l’espionnage ;

    • Protection contre les menaces liées au développement, à la possession ou à la prolifération d’armes de destruction massive ;

    • Protection face aux menaces de cybersécurité ;

    • Protection contre des menaces criminelles transfrontalières.

Pour autant, le décret prévoit le respect de ces garanties, sauf si les informations sont :

  • utilisées uniquement pour soutenir la phase initiale de l'activité de collecte ciblée de renseignements ;

  • conservées uniquement pendant une courte période de temps ;

  • supprimées par la suite.

  • Une procédure de recours pour les citoyens européens : conformément à l’accord du mois de mars, le texte prévoit un contrôle renforcé par des organes spécialisés :

    • un Civil Liberties Protection Officer chargé de recueillir les plaintes relatives à des violations de ce décret. Désigné par la Direction des renseignements, ses décisions lient l’ensemble des autres services de renseignement.

    • Une Data Protection Review Court dont la compétence portera sur la validité des décisions du Civil Liberties Protection Officer. Les juges seront indépendants du gouvernement, spécialisés en matière de protection des données et leurs décisions lieront de même les services de renseignement.

« Mmmmmmhhhh » murmure Noyb, l'organisation de Max Schrems... Assez pour satisfaire la Commission et donner lieu à une nouvelle décision d'adéquation? 

Dans le reste du monde:

  • Dans le reste du monde:
     

    • Instagram va intégrer de la pub partout, même sur votre profil.

    • L'iPhone 14 appelle les secours si vous faites des attractions. L'appareil assimile les secousses à une urgence à travers sa fonctionnalité "Détection des accidents".

    • L'ex-patron de la publicité chez Google crée un moteur de recherche sans traceur.

    • L'ancien responsable de la sécurité d'Uber est reconnu coupable d'avoir dissimulé une violation de données.

    • Des chercheurs du MIT créent des synapses artificielles 10 000 fois plus rapides que les synapses biologiques.

    • Le premier jeu basé sur la blockchain de SEGA est en route.

    • Une société spécialisée dans les blockchains réclame 350 millions de dollars à Coinbase pour violation de brevets.

    • Le Pentagone a acheté un outil de surveillance de masse collectant les données de navigation des Américains sur Internet.

    • Revolut confirme qu'une cyberattaque a divulgué les données personnelles de dizaines de milliers d'utilisateurs.

    • Google et Meta se voient infliger une amende de 71,8 millions de dollars pour avoir enfreint la loi sur la protection de la vie privée en Corée du Sud.