Introduction
L’intelligence artificielle (IA) désigne de manière générale une discipline scientifique. Selon le Parlement européen, l’IA est un outil utilisé par une machine afin de simuler des comportements humains, tels que le raisonnement, la planification et la créativité. Une des caractéristiques majeures de l’IA est l’apprentissage machine (machine learning), capacité de l’IA à apprendre à partir de sa propre expérience, lui conférant une autonomie.
L’arrivée d’IA génératives de contenus dans le paysage juridique et leur évolution rapide interroge les professionnels du droit. Actuellement, ces IA génératives sont capables de produire des œuvres sur la base d’instructions fournies par les utilisateurs et les données collectées. Les enjeux juridiques, notamment ceux relatifs au droit d’auteur, interrogent, compte tenu de l’expansive utilisation de ces technologies dans les milieux professionnels.
Le droit d’auteur et l’utilisation de l’IA générative
L’utilisation des IA génératives telles que ChatGPT (générateur de dialogues) ou Midjourney (générateur d’images) questionne en amont et en aval sur l’application du droit d’auteur aux contenus générés. Il convient en effet de déterminer si le contenu ainsi généré est protégeable par le droit d’auteur et, le cas échéant, qui peut en être titulaire.
ChatGPT est un Chatbot, à savoir un agent conversationnel donnant l’illusion de communiquer en langage naturel avec un interlocuteur humain, en utilisant des techniques d’apprentissage automatique.
Le produit de l’IA peut-il bénéficier de la protection du droit d’auteur ?
L’article L.112-1 du Code de la propriété intellectuelle consacre la protection des œuvres de l’esprit. Pour qu’une œuvre soit qualifiée d’œuvre de l’esprit, elle doit correspondre à une création intellectuelle à la fois formalisée et originale.
La notion d’originalité retenue par la Cour de Justice de l’Union Européenne (CJUE) a évolué au fil de sa jurisprudence pour s’adapter aux évolutions technologiques et numériques. Dans une affaire Infopaq en 2009, adoptant une approche plus objective, la CJUE qualifiait d’originale « une création intellectuelle propre à son auteur ». En outre, la CJUE n’exclut pas qu’une œuvre puisse être qualifiée d’originale dès lors que sa création a été partiellement dictée par des considérations techniques.
La CJUE a par ailleurs confirmé qu’il était possible de créer des œuvres originales en faisant intervenir une machine ou un dispositif dans le processus de création. En l’espèce, il s’agissait non pas d’IA mais de photographie, domaine longtemps considéré par la doctrine comme non protégeable par le droit d’auteur en raison du caractère mécanique du processus de création.
La conception de l’originalité telle qu’envisagée par le droit positif ne permet donc pas, en l’état actuel, de qualifier d’originales toutes les œuvres dont la création a sollicité l’apport d’une IA. Une mise en balance devra être opérée afin de déterminer dans quelle mesure l’utilisateur est intervenu dans le processus de création afin de qualifier l’œuvre d’originale.
Plusieurs affaires illustrent la dimension internationale de ces interrogations, adoptant parfois des issues différentes. Ainsi, dans un litige opposant Tencent à Shanghai Yingxun Technology, le tribunal chinois s’est prononcé en faveur d’une protection par le droit d’auteur d’une œuvre générée à l’aide d’un programme algorithmique. Cette décision favorise l’extension de la protection du droit d’auteur aux œuvres générées par une IA. Dans le sens contraire, le United States Copyright Office a confirmé le 21 février 2023 l’absence de protection par le copyright d’images produites à l’aide de l’IA Midjourney, concernant la bande dessinée « Zarya of the Dawn » de l’artiste New-Yorkaise Kris Kashtanova.
La titularité
Le droit d’auteur protège une création intellectuelle humaine. L’auteur doit avoir la capacité de s’exprimer à travers son œuvre, avoir conscience de créer. Ainsi, il est manifeste que l’IA, en l’état actuel, en est dénuée.
Dès lors, en l’état actuel du droit positif, une IA ne peut pas être qualifiée d’auteur. Les conditions de protection du droit d’auteur nécessitent de le rattacher à un auteur personne physique qui, en fonction de son impact dans le résultat et de son implication dans le processus de création, pourra être identifié comme auteur de l’œuvre générée par l’IA.
La jurisprudence, européenne comme française, ne s’est pas encore prononcée sur la question de savoir qui de l’utilisateur et/ou du concepteur de l’IA sera titulaire des droits sur une œuvre originale créée grâce à une IA. Pourtant, les conditions générales d’utilisation d’OpenAI (concepteur de ChatGPT) prévoient que les droits sur le contenu reviennent aux utilisateurs. Cette contradiction prouve la nécessité de répondre à ces questions de manière urgente et définitive.
Plusieurs hypothèses sont envisagées pour une protection adaptée à l’IA et à son évolution, à savoir une évolution de la condition d’originalité en droit d’auteur ou encore la création d’un régime spécifique. Le rapport du Comité Supérieur de la Propriété Littéraire et Artistique (CSPLA) relatif à l’intelligence artificielle et à la culture envisage différentes approches sur la titularité des droits d’auteur à savoir, qualifier le concepteur de l’IA comme étant l’auteur des œuvres générées par l’IA et l’éventuelle qualité d’auteur de l’utilisateur. Ce rapport propose également une identification légale sur le modèle du droit anglais qui met en place un régime dérogatoire pour les « œuvres générées par ordinateur ».
Les atteintes au droit d’auteur et l’IA générative
Etant créées à partir de contenus existants, les œuvres générées par l’IA peuvent constituer des contrefaçons. L’absence de mention des sources mobilisées par ChatGPT pour générer du contenu illustre ce risque d’atteinte aux droits des tiers.
La récente affaire opposant le photographe Robert Kneschke à l’IA LAION a été l’occasion de mettre en lumière les possibles atteintes au droit d’auteur. Le photographe a découvert que certaines de ses photographies s’étaient retrouvées dans la banque de données de LAION et en a ainsi demandé la suppression. Une action en justice devant le tribunal du district d’Hambourg a été intentée. La suite de cette affaire est à surveiller.
Nombreuses sont les IA qui ne fournissent pas de garantie sur l’absence d’atteinte aux droits des tiers dans les résultats générés. C’est la raison pour laquelle il est nécessaire de se reporter aux conditions d’utilisation de l’IA concernée.
Ainsi, les titulaires des droits sur les données collectées pourront, en cas de non-respect de leurs droits, intenter des actions sur le fondement de la contrefaçon ou de la concurrence déloyale afin de se défendre. La nécessité d’un régime propre à l’IA s’illustre notamment dans le cas d’OpenAI, qui prévoit d’ores et déjà au sein de ses conditions générales d’utilisation que l’utilisateur est responsable de l’utilisation qu’il fait de l’outil, et qu’il doit vérifier qu’il ne porte pas atteinte aux droits d’un tiers.
Les risques liés à la fiabilité des résultats, à la vie privée et au droit à l’image
D’autres risques sont sous-jacents à l’utilisation d’IA. Ainsi, la fiabilité des résultats et les risques pour la vie privée et le droit à l’image d’une personne existent. Sur le contenu généré par l’IA comme l’illustre ChatGPT, les résultats générés sont susceptibles de contenir des informations erronées, discriminatoires ou encore injustes. Néanmoins, pour le Parlement Européen, le contenu généré par l’IA ne peut pas être considéré comme un contenu YMYL (« Your money Your life ») mais des vérifications devront être faites.
Toutefois, des projets d’encadrement juridique des systèmes d’IA sont envisagés au niveau européen, à savoir une proposition de règlement, l’IA Act, et deux propositions de directives publiées par la Commission européenne respectivement le 21 avril 2021 et le 28 septembre 2022. Ce cadre législatif européen inclus notamment la question de la responsabilité civile des systèmes d’IA.
Les données personnelles et l’IA générative
Le disfonctionnement de ChatGPT à l’origine d’une fuite de données en mars 2023 illustre les problématiques liées à la confidentialité des données. De même, une étude de l’éditeur de sécurité Cyberhaven rapportée par « Le Monde Informatique » a alerté sur les risques liés à l’utilisation de ChatGPT par les salariés des entreprises. En effet, cette étude a mis en lumière les risques de fuite de données par les salariés s’agissant de dossiers sur des projets sensibles, de données client, de codes sources ou encore de données confidentielles.
Pour fonctionner conformément à leur objectif, les agents conversationnels tels que ChatGPT utilisent et collectent des données, bien que non conçus pour la collecte de données personnelles. La nature des données collectées doit être examinée pour savoir s’il s’agit de données protégées ou non. Si les données sont protégées, le développeur de l’IA a l’obligation de demander l’autorisation des titulaires des droits sur les données.
Certains pays adoptent une position méfiante à l’égard du traitement des données personnelles opéré par ChatGPT. Au Canada, le Commissariat à la protection de la vie privée a ouvert une enquête à l’encontre d’OpenAI. En Italie, le président de l’Autorité italienne de protection des données personnelles, GPDP, avait temporairement interdit l’accès à ChatGPT le 31 mars 2023 qu’il accusait notamment de ne pas respecter la réglementation européenne et de ne pas avoir de système pour vérifier l’âge des usagers mineurs. Depuis, des modifications ont été effectuées rendant à nouveau disponible ChatGPT en Italie.
En effet, la politique de confidentialité d’OpenAI n’apparait pas conforme aux exigences du RGPD et de la loi Informatique et Libertés, notamment par une absence de mention sur la durée de conservation des données traitées.
La Commission Nationale de l’Informatique et des Libertés (CNIL) a publié en 2021 des conseils afin que les Chatbots respectent les droits des personnes. Elle a également publié des lignes directrices et recommandations en 2021 sur l’usage des cookies et autres traceurs encadrés par l’article 82 de la Loi Informatique et Libertés (transposition de l’article 5.3 de la directive 2002/58/CE « ePrivacy »).
L’objectif de ces recommandations et lignes directrices est d’assurer un consentement éclairé des utilisateurs et une transparence dans l’information à l’égard des traceurs. La CNIL a également un pouvoir de sanction en cas de manquement de la part des acteurs concernés.
Il est impératif pour les acteurs concernés de s’assurer de la conformité des pratiques avec les exigences du RGPD et de la directive ePrivacy.
Ces enjeux juridiques importants doivent être pris en compte pour garantir une utilisation éthique et responsable de cette technologie. Les questions de droit d’auteur, de collecte de données et de titularité sont autant d’exemples qui poussent à une réflexion approfondie de la part des acteurs impliqués dans le développement et l’utilisation de l’IA.
Le cadre juridique actuel de l’IA et les perspectives d’évolution
L’Union européenne souhaite mettre en place un cadre réglementaire pour l’IA. Des résolutions relatives à l’IA et à son utilisation ont d’ores et déjà été adoptées par le Parlement européen en 2020.
De nouvelles propositions européennes tendent à assurer le bon fonctionnement du marché intérieur. L’objectif est de faire de l’Union un acteur mondial de premier plan dans le développement d’une IA éthique, fiable et garantissant la protection des principes éthiques notamment des droits fondamentaux et des valeurs de l’Union.
La proposition de règlement européen : « IA Act »
La proposition de règlement publiée par la Commission européenne le 21 avril 2021 établit des règles harmonisées concernant la mise sur le marché, la mise en service et l’utilisation des systèmes d’IA. Le processus législatif est assez long et le projet n’est pas encore adopté. Le Parlement européen, le Conseil de l’Union européenne et la Commission européenne devront adopter le texte dans les mêmes termes. Pour l’instant, le Parlement européen vient de parvenir à un accord provisoire sur ledit règlement, le 27 avril 2023, qui a été voté le 11 mai 2023. Une fois adopté, il faudra un certain laps de temps avant son entrée en application.
Le projet de règlement met l’accent sur la transparence, la responsabilité et la sécurité pour promouvoir un développement éthique et responsable de l’IA au sein de l’Union européenne. L’objectif est de garantir une IA digne de confiance.
La proposition de règlement prévoit une approche proportionnée fondée sur les risques :
Risques inacceptables : ce sont les systèmes d’IA interdits car contraires aux valeurs de l’Union (par exemple, les IA liées aux reconnaissances faciales).
IA à haut risque : ces IA présentent des risques pour la santé, la sécurité ou les droits fondamentaux des personnes physiques (par exemple, les IA liées à l’identification biométrique). Ces systèmes sont encadrés par des obligations strictes pesant sur les concepteurs, les fournisseurs et les utilisateurs de ces systèmes.
Risques limités : pour ces systèmes d’IA, des obligations spécifiques de transparence sont mises en place à l’égard des utilisateurs. Les utilisateurs doivent savoir qu’en utilisant des systèmes d’IA tels que des Chatbots, ils interagissent avec une machine afin de décider en connaissance de cause de poursuivre ou non. Les agents conversationnels n’étant pas catégorisés comme des systèmes d’IA à haut risque, ils ne seront pas tenus par les exigences strictes auxquelles ces derniers seront tenus.
Risques négligeables : la proposition de règlement ne prévoit pas d’intervention pour ces systèmes d’IA en raison du risque minime voire inexistant que présentent ces systèmes d’IA pour les droits ou la sécurité des citoyens.
Tel que susmentionné, l’équipe de négociation du Parlement européen vient de parvenir à un accord provisoire sur ledit règlement, qui intègre les IA génératives. A ce titre, les « système d’IA à usage général », pouvant remplir plusieurs fonctions, sont distingués des « modèles de fondation », soit des techniques reposant sur une grande quantité de données et pouvant être utilisées pour diverses tâches. Les fournisseurs de ce type de modèles, comme Open AI, seraient ainsi soumis à des obligations plus strictes, et devront notamment adopter une stratégie de gestion des risques et veiller à la qualité de leurs données.
Dans un communiqué de presse, le Parlement européen a annoncé que les députés européens ont adopté le projet de mandat de négociation. Ce projet doit encore être approuvé par l’ensemble du Parlement lors d’un vote attendu au cours de la session du 12 au 15 juin.
En outre, le 28 septembre 2022, la Commission européenne a publié deux propositions de directives ayant pour objet d’édicter des règles en matière de responsabilité adaptées aux systèmes d’IA. Ces propositions de directives tendent à faire évoluer le droit de la responsabilité civile des systèmes d’IA. Néanmoins, aucune de ces deux propositions n’envisagent la contrefaçon de droit de propriété intellectuelle ni le régime de responsabilité associé.
Proposition de directive relative à la responsabilité du fait des produits défectueux
La Commission européenne propose une révision de la directive sur la responsabilité du fait des produits défectueux pour l’adapter aux évolutions technologiques des dernières années. Elle vise à opérer une refonte de la directive 85/374/CEE du 25 juillet 1985.
Cette proposition de directive inclut plusieurs changements, à savoir la notion de produit, la notion de dommage, la nécessité pour les entreprises de fournir certaines informations ou encore des modifications sur la charge de la preuve pour les victimes notamment par la mise en place de présomptions spécifiques.
Ces nouvelles dispositions s’appliquent à la responsabilité du fait des produits défectueux sans restriction et concernent les produits issus de l’IA et tout autre produit.
Proposition de directive sur la responsabilité en matière d’IA
La seconde proposition de directive sur la responsabilité en matière d’IA vise à adapter les règles en matière de responsabilité civile extracontractuelles au domaine de l’IA.
Cette proposition tend à répondre aux insécurités juridiques identifiées par la Commission européenne pour les entreprises, les utilisateurs et le marché intérieur. Différents aspects posent difficulté, à savoir l’application des règles de responsabilité civile, l’identification de l’auteur du dommage, la constitution de preuves ou encore le risque de fragmentation au niveau des législations applicables.
L’approche adoptée par la Commission est prudente, à l’image des dispositions qui prévoient un allègement de la charge de la preuve en faveur des victimes de produits ou de services dotés d’IA. De ce fait, les victimes ne seront pas moins protégées et pourraient être moins dissuadées d’engager une action en responsabilité civile.
Ainsi, les actions civiles fondées sur la faute pour des dommages subis par les systèmes d’IA pourront être facilitées.
Les risques en matière de responsabilité pour les acteurs impliqués dans ces domaines sont élevés et requièrent une attention particulière. La proposition de règlement prévoit la mise en place d’un système de sanction dissuasif. En effet, tout manquement aux règles édictées sera passible d’une amende administrative pouvant atteindre 20 millions d’euros ou pour une entreprise 4% de son chiffre d’affaires annuel total.
Il est recommandé aux entreprises et aux fournisseurs de systèmes d’IA de suivre de près les évolutions législatives et de se conformer aux exigences réglementaires futurs pour éviter tout contentieux.
Conclusion
Bien que de nombreuses pistes soient envisagées pour établir une réglementation de l’IA, l’aspect contractuel n’est pas à négliger. Le contrat va pouvoir s’ajouter en complément voire pallier les insuffisances du cadre législatif à venir. Par cet outil, une véritable stratégie peut être mise en place en encadrant l’utilisation de l’IA et son résultat, la relation entre les différents intervenants, la responsabilité de chacun, etc.
En tant qu’utilisateur de ces systèmes d’IA, certaines précautions sont à adopter, comme établir une politique écrite interne, s’informer sur les conditions d’utilisations de ces IA, éviter de délivrer des informations confidentielles lors de leurs utilisations, vérifier la fiabilité des informations fournies, etc. Le rôle des conditions générales est primordial en ce qu’elles fournissent des informations notamment sur le droit applicable et la juridiction compétente, l’étendue de la responsabilité du prestataire de services, les clauses d’indemnisation et de non-responsabilité. Leur rédaction doit donc plus que jamais être au centre des intérêts des fournisseurs d’IA.
Pour aller plus loin
– Le droit d’auteur à l’épreuve de l’intelligence artificielle.
References
- Parlement européen. Intelligence artificielle : définition et utilisation | Actualité. 9 juillet 2020. URL : https://www.europarl.europa.eu/news/fr/headlines/society/20200827STO85804/intelligence-artificielle-definition-et-utilisation
- CJCE, 16 juill. 2009, aff. C-5/08, Infopaq
- CJUE, 11 juin 2020, aff. C-833/18, Brompton
- CJUE, 1er déc. 2011, aff. C-145/10, Eva-Maria Painer
- Dreyfus, N. [Chine] Le droit d’auteur à l’épreuve de l’intelligence artificielle. Village de la Justice. 1e décembre 2021.
- United States Copyright Office, Zarya of the Daws (Registration #VAu001480196), 21 février 2023.
- Rapport du CSPLA. Mission intelligence artificielle et culture. 27 février 2020.
- Proposition de règlement du Parlement européen et du Conseil établissant des règles harmonisées concernant l’intelligence artificielle (législation sur l’intelligence artificielle) et modifiant certains actes législatifs de l’union, Commission européenne, 21 avril 2021, COM/2021/206 final.
- Coles, C. 11 % of data employees paste into ChatGPT is confidential – Cyberhaven. 21 avril 2023. URL : https://www.cyberhaven.com/blog/4-2-of-workers-have-pasted-company-data-into-chatgpt/
- Commissariat à la protection de la vie privée du Canada. Le Commissariat ouvre une enquête sur ChatGPT. 4 avril 2023. URL : https://www.priv.gc.ca/fr/nouvelles-du-commissariat/nouvelles-et-annonces/2023/an_230404/
- Garante Per la protezione dei dati personali. Intelligenza artificiale : il Garante blocca ChatGPT. Raccolta illecita di dati personali. Assenza di sistemi per la verifica dell’età dei minori. 31 marzo 2023. URL :https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9870847
- CNIL. Chatbots : les conseils de la CNIL pour respecter les droits des personnes. 19 février 2021. URL :https://www.cnil.fr/fr/chatbots-les-conseils-de-la-cnil-pour-respecter-les-droits-des-personnes#:~:text=Une%20telle%20action%20est%20encadr%C3%A9e,%C3%A0%20l’activation%20du%20chatbot.
- CNIL. Lignes directrices et recommandations de la CNIL. URL :https://www.cnil.fr/fr/decisions/lignes-directrices-recommandations-CNIL
- Article 82 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par Ordonnance n°2018-1125 du 12 décembre 2018 – art. 1
- Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques)
- Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).
- Résolution du Parlement européen du 20 oct. 2020 (2020/2012(INL)) ; (2020/2015(INI)) ; (2020/2014(INL)) ; Résolution du Parlement européen du 19 mai.2021 (2020/2017(INI)) ; Résolution du Parlement européen du 6 oct. 2021 (2020/2016((INI)) ; Résolution du Parlement européen du 3 mai. 2022 (2020/2266(INI))
- Proposition de règlement du Parlement européen et du Conseil établissant des règles harmonisées concernant l’intelligence artificielle (législation sur l’intelligence artificielle) et modifiant certains actes législatifs de l’union, Commission européenne, 21 avril 2021, COM/2021/206 final.
- Sophie Petitjean, Le Parlement enfin prêt à voter sur le règlement pour l’IA, Contexte Numérique, 27 avril 2023. URL : https://www.contexte.com/article/numerique/le-parlement-enfin-pret-a-voter-sur-le-reglement-pour-lia_167920.html
- Parlement européen, Un pas de plus vers les premières règles sur l’intelligence artificielle, Actualité, 5 nov. 2023. URL : https://www.europarl.europa.eu/news/fr/press-room/20230505IPR84904/un-pas-de-plus-vers-les-premieres-regles-sur-l-intelligence-artificielle
- Proposition de directive du Parlement européen et du Conseil relative à la responsabilité du fait des produits défectueux, COM (2022) 495 final, 28 sept. 2022
- Directive 85/374/CEE du Conseil du 25 juillet 1985 relative au rapprochement des dispositions législatives, réglementaires et administratives des États membres en matière de responsabilité du fait des produits défectueux
- Proposition de directive du Parlement européen et du Conseil, COM (2022) 496 final, 28 sept. 2022