Intelligence Artificielle : quels défis juridiques pour vos partenariats entre la France et le Canada ?

A+ A- A

L’intelligence artificielle (IA) est de plus en plus présente dans les projets de développement des entreprises au niveau mondial avec des chiffres qui donnent le vertige : d’environ 4 milliards aujourd’hui, le marché de l’IA pourrait avoisiner 60 milliards d’ici 2025. Un rapport de l’Organisation mondiale de la propriété intellectuelle (OMPI) de janvier 2019 sur les tendances technologiques consacrées à l’IA, précise que le nombre de brevets en IA a cru de 28% en moyenne par an entre 2012 et 2017, avec 55.660 brevets déposés dans le monde pendant cette seule année 2017, en grande majorité par des industriels et quelques organismes de recherche publique. Le rythme de mise en application observé est exceptionnellement rapide.

On le sait, ce phénomène connait une ampleur particulière au Canada, et notamment au Québec, devenu leader mondial en la matière, grâce à son écosystème de chercheurs, à la présence d’experts internationaux, à ses infrastructures de recherche et aux investissements majeurs qui y sont réalisés. Ainsi, en juin 2018, le gouvernement canadien a invité la communauté scientifique à soumettre des projets de recherche utilisant des solutions d’IA et entre autres secteurs, un budget de 24M$ sera par exemple investi sur la santé, afin de soutenir la réalisation de projets d’IA novateurs dans la lutte contre les maladies chroniques. Début décembre 2018, Montréal réunissait près de 8.000 chercheurs et spécialistes mondiaux de l’IA pour le congrès scientifique majeur « NeurIPS » – parfois comparé au Super Bowl de l’IA tandis que le 4 décembre 2018, était publiée la Déclaration de Montréal pour le développement responsable de l’IA.

Cette stratégie canadienne rejoint d’autres actions similaires à l’échelon international et notamment celles de l’Union européenne et de ses États membres. La France, par exemple, a décidé de soutenir le développement de l’IA avec un budget de fonds publics et privés d’environ un milliard d’euros d’ici 2022, la création d’instituts de recherche nationaux et le développement d’infrastructures de super calcul dédiées.

Forts de ces initiatives, et à la suite de la déclaration commune de Justin Trudeau et d’Emmanuel Macron avant le sommet du G7 en juin 2018, le Canada et la France se sont mobilisés pour annoncer, le 7 décembre 2018, la création du G2IA, un nouveau groupe d’experts internationaux sur l’intelligence artificielle éthique. Destiné à étudier l’impact de l’IA sur la société et l’économie, à mettre en place des bonnes pratiques et à permettre de faire face aux géants chinois et américains de l’IA, le G2IA, qui doit fonctionner comme le fait le GIEC en matière environnementale, a pour ambition de devenir le point de référence mondial en IA, en espérant rallier d’autres membres du G7, de l’ONU et de l’OCDE, bientôt invités à se joindre au projet. L’objectif est désormais de définir l’organisation, la gouvernance et les premiers membres du G2IA d’ici à l’été 2019, date à laquelle la France prévoit d’organiser une grande conférence scientifique mondiale sur le sujet. Gageons que de nombreux partenariats scientifiques et commerciaux vont en résulter.

L’IA affecte de nombreux secteurs économiques (santé, énergie, agriculture, mobilité, construction, finances, tourisme, ressources humaines, loisirs, services, secteur public…) et son impact promet d’être révolutionnaire. Au cœur de l’industrie du futur, l’IA apporte d’ores et déjà des avancées majeures, comme, par exemple dans le secteur de la santé, l’amélioration significative des diagnostics et une meilleure personnalisation des traitements. Tandis que nous n’en sommes qu’à un stade d’IA dite « faible », de nouveaux produits et services sont déjà commercialisés ou en cours de développement, donnant lieu à une multiplication d’accords partenariaux entre acteurs de toutes tailles pour saisir les opportunités de complémentarités d’expertises et de ressources et ainsi conquérir des parts de marché. Cette approche partenariale est d’ailleurs encouragée dans la dernière résolution du Parlement européen sur l’IA.

De manière schématique, il est possible de distinguer trois grandes catégories d’acteurs : les fournisseurs de données (hôpitaux, centres de radiologie, laboratoires, assureurs, exploitants d’outils d’IoT, etc.), les fournisseurs de technologies, produits ou services d’IA (plateformes, éditeurs de logiciels, prestataires de R&D, services de support à l’utilisation, maintenance, etc.) et les utilisateurs d’IA.

Pour les porteurs de projets, il est indispensable de sécuriser et valoriser leurs innovations et leurs usages en intégrant le juridique dès leur conception, autrement dit en pratiquant du « legal by design » (intégration de la conformité juridique dès la conception du projet). La voie de la contractualisation s’impose alors comme un passage essentiel pour définir les droits, obligations et responsabilités des parties prenantes.

Qu’il s’agisse d’accords classiques (par ex., accords de confidentialité, contrats d’intégration ou de développement, conditions générales de vente, conditions générales d’utilisation) ou sui generis, les accords portant sur des produits ou services intégrant de l’IA (R&D, exploitation, services, etc.) devront être adaptés au domaine complexe et évolutif que constitue l’IA et nécessiteront pour cela de faire appel à la créativité contractuelle. Ceci vaut d’autant plus dans un contexte international obligeant à manier différents régimes et cultures juridiques.

Les enjeux juridiques de ce type d’accord sont variés et devront faire l’objet d’une attention particulière par leurs rédacteurs, afin de protéger les organisations privées comme publiques et valoriser leurs actifs. Nous sommes heureux de vous en proposer ci-après une brève synthèse. Notre prisme est certes principalement celui des droits européens et français. Ceci dit, la question intéresse d’autres droits, à commencer par le droit canadien, dès lors que ces questions se posent quel que soit le droit choisi pour gouverner l’accord contractuel. Ces sujets sont en tous cas incontournables dans la perspective d’un contrat international impliquant le Canada et la France.

IA faible : « Capacité d’un système d’accomplir des tâches précises inspirées des connaissances et de la compréhension humaines ; par comparaison à une IA forte » : « Capacité d’un système d’accomplir une vaste gamme d’activités intellectuelles et sociales à un niveau équivalent ou supérieur à celui des humains».

Outre les questions classiques de structuration, rédaction et gouvernance contractuelles, trois sujets majeurs et transversaux doivent être particulièrement maîtrisés dans le contexte spécifique d’un contrat lié à l’IA : la protection et valorisation des actifs matériels et immatériels (I), la sécurisation de l’accès aux données et la capacité à les exploiter (II) et l’autonomie et la responsabilité de l’IA (III).

I. Protection et valorisation des actifs matériels et immatériels
La titularité des droits de propriété sur les actifs immatériels liés aux travaux d’IA ou qui en sont issus, devra être explorée. Il va de même pour l’exploitation de ces droits, le tout en utilisant les outils juridiques adaptés au contexte. C’est avec un contenu sur mesure que le juriste structure et accompagne les flux d’actifs (entrants et sortants) et leurs conditions de mise en œuvre notamment sur le plan financier.

1. La protection indirecte de l’IA par la propriété intellectuelle
En droit français, le droit d’auteur protège les œuvres originales et non les simples idées ou concepts, qui sont considérés comme de « libre parcours » et partant, insusceptibles de faire l’objet d’une appropriation. Pour être éligible à cette protection, un algorithme doit faire partie du code source d’un logiciel protégeable : il ne sera dès lors pas protégé en tant que tel, mais seulement de manière indirecte. Sa protection est cependant immédiate, dès la création de l’œuvre originale, mais suppose de pouvoir prouver sa paternité et sa date de création en cas de litige.

Ce raisonnement semble proche de celui tenu par le droit canadien, puisque, comme le note la doctrine, il a été jugé qu’un algorithme incorporé dans un circuit ROM (read only memory) est considéré comme une œuvre protégée par le droit d’auteur.

Le droit français des brevets, quant à lui, vise à protéger l’innovation. Pour autant, l’algorithme ne sera pas protégeable en tant que tel, mais seulement comme élément d’une solution brevetable. Or, le monopole d’exploitation conféré par le brevet requiert à la fois que l’invention soit nouvelle, ce qui implique une activité inventive, et qu’elle soit susceptible d’application industrielle. L’invention devra apporter une solution technique supplémentaire à un problème technique.

Le droit canadien semble adopter la même solution concernant la protection de l’algorithme. Comme le note la doctrine, dans une décision de 201217, la Cour d’appel fédérale a conclu qu’un procédé informatique pourrait être brevetable s’il « ne constitue pas l’invention entière, mais seulement un élément essentiel parmi d’autres dans une nouvelle combinaison ». Au niveau européen, l’Office européen des brevets (OEB) affirme qu’« un brevet peut être délivré pour une invention mise en œuvre par un ordinateur qui résout un problème.

En outre, il ressort des décisions IBM I et II qu’un programme d’ordinateur est susceptible de brevetabilité « si sa mise en œuvre sur un ordinateur produit un effet technique supplémentaire, allant au-delà des interactions physiques « normales » entre programme et ordinateur ».

Ceci étant, la protection par le brevet implique de divulguer l’algorithme au public (donc à des concurrents), et de déposer les mises à jour de l’algorithme afin de pouvoir prétendre à leur propre brevetabilité selon les conditions mentionnées ci-dessus.

Le droit sui generis du producteur de base de données prévu par la Directive européenne 96/9/CE du 11 mars 1996, et transposée en France par la loi n° 98-536 du 1er juillet 1998, doit également être mentionné. En effet, il confère une protection sur le contenu d’une base de données à celui qui a investi des moyens humains, financiers et/ou matériels substantiels dans la construction de ce contenu. Il peut s’ajouter ou venir en alternative du droit d’auteur qui lui, selon ses conditions, pourra protéger la structure de la base de données.

En droit canadien, comme le relève la doctrine, il semble falloir démontrer que la base de données résulte d’un exercice de talent et de jugement d’un ou de plusieurs auteurs. Pour revenir au droit français, d’autres protections peuvent être envisagées au-delà de celle de l’algorithme, comme, par exemple, le droit des marques ou des dessins et modèles s’agissant d’une innovation esthétique.

Au-delà de ces positions juridiques nationales, l’Accord Economique et Commercial Global (AECG ou CETA), entre le Canada et l’UE et entré en application provisoire le 21 septembre 2017, octroie une protection supplémentaire et instaure une coopération renforcée en matière de droits de propriété intellectuelle et plus particulièrement de droit d’auteur lié aux nouvelles technologies et aux œuvres numériques. Le but est de mieux protéger l’innovation, d’instaurer des conditions de concurrence équitable et de lutter contre la contrefaçon.

Plus globalement, le CETA devrait contribuer à dynamiser les échanges commerciaux et à créer des emplois, de la croissance et de nouveaux débouchés pour les entreprises tant canadiennes qu’européennes.

2. L’importance du secret
A défaut d’une protection par la voie de la propriété intellectuelle ou en complément de celleci, la voie contractuelle peut permettre d’organiser le secret d’une innovation et ainsi, de contribuer à la protéger (clause de confidentialité insérée dans un contrat ou conclusion d’un accord de non-divulgation dédié). Le contrat peut notamment prévoir des sanctions en cas de manquement à cette obligation et jouer des prérogatives de la liberté contractuelle (définition des informations protégées, interdiction d’exploitation en dehors du cadre du contrat, maintien de l’obligation après la cessation du contrat, etc.). Il en va ainsi tant en France que semble-t-il au Canada.

Ces stipulations présentent un intérêt renouvelé avec la reconnaissance du secret des affaires par la directive européenne n° 2016/943 du 8 juin 2016 sur la protection des savoir-faire et des informations commerciales non divulgués (secrets d’affaires) contre l’obtention, l’utilisation et la divulgation illicites. Cette directive a été transposée en droit français en 2018 par la loi relative à la protection du secret des affaires.

Pour être protégé à ce titre, un algorithme doit n’être connu que d’un nombre restreint de personnes, avoir une valeur commerciale en raison de son caractère secret et, enfin, faire l’objet de mesures particulières de protection de la part de son détenteur. Le texte précise également les conditions dans lesquelles l’obtention, l’utilisation et la divulgation du secret des affaires sont illicites et peuvent engager la responsabilité civile de leur auteur.

II. Sécurisation de l’accès aux données et capacité à les exploiter
1. L’accès aux données, moteur de l’IA
La valeur créée par l’IA provient notamment des données, personnelles et non personnelles, nécessaires à l’apprentissage et au perfectionnement de l’outil. C’est, là encore, tout l’intérêt de la conclusion de partenariats entre des développeurs et des centres de recherche qui vont permettre l’accès à leurs données et qui placeront ainsi la donnée au cœur de la logique partenariale.

Un schéma actuellement récurrent consiste, pour l’éditeur d’outil d’IA, à mettre gratuitement à disposition du centre de recherche (par exemple, un établissement de soins ou un centre de cardiologie), sa plateforme et son algorithme. En contrepartie, il accède tout aussi gratuitement à des jeux de données personnelles ou anonymisées en provenance du centre de recherche, que l’éditeur peut ensuite injecter dans sa solution pour « l’entraîner » et en améliorer les performances.

2. Garantir un traitement licite des données
L’accès sécurisé et efficient aux données est donc un enjeu essentiel. Sur le plan juridique, il s’agit notamment de déterminer quelles sont les contraintes légales et contractuelles liées aux flux de données, quelles sont les mesures techniques et organisationnelles à mettre en place par les parties pour les sécuriser (dans un contexte de cyber-attaques en plein essor) et en même temps, comment en assurer la disponibilité et l’interopérabilité. En matière de données personnelles, ce point est d’autant plus important.

Bien qu’il s’agisse d’un texte européen, les organisations canadiennes peuvent être concernées par le RGPD dans différentes situations : (i) si elles ont un établissement localisé dans l’Union européenne (quand bien même le traitement de données serait réalisé, même partiellement, au Canada), (ii) si, depuis le Canada (ou ailleurs hors UE), elles proposent des biens ou des services, même gratuitement, à des personnes situées dans l’Union européenne ou suivent leur comportement (profilage), ou encore (iii) si elles agissent, même depuis le Canada, en qualité de « sous-traitants » dans le traitement de données personnelles pour le compte d’organisations européennes.

En outre, le RGPD prévoit des obligations renforcées pour les acteurs traitant des données personnelles pour le compte d’autres entités ou conjointement avec elles, notamment en leur imposant un contenu contractuel spécifique (encadrement de la sous-traitance de données personnelles et de la responsabilité conjointe). En cas de transfert de données personnelles entre l’UE et le Canada, les conditions de l’accord d’adéquation conclu le 20 décembre 200130 devront être respectées par les entités importatrices et exportatrices. Grâce à sa loi PIPEDA, le Canada est en effet considéré à ce jour par l’UE comme un pays offrant une protection adéquate partielle aux données personnelles en provenance d’Europe.

Ainsi, une exportation vers le Canada de données traitées par des organisations privées dans le cadre d’activités commerciales ne requiert pas en tant que telle de protection spécifique complémentaire à celle prévue pour les flux au sein de l’Union européenne. En revanche, un transfert vers le Canada d’autres catégories de données tout comme un transfert vers d’autres pays dits « non adéquats », comme la Chine ou les Etats-Unis, nécessitent d’utiliser les outils définis par l’UE, tels que par exemple, les clauses contractuelles types de transfert ou des règles contraignantes d’entreprises (en anglais BCR, pour « Binding Corporate Rules »).

S’agissant du Canada, notons toutefois la possible évolution de l’accord de reconnaissance d’adéquation de 2001 avec l’UE, le droit canadien de la protection des données restant sensiblement différent des règles européennes.

Le RGPD impose également de maîtriser l’articulation entre le droit européen et les différents droits nationaux des Etats membres. En effet, des marges de manœuvre leur sont accordées sur une cinquantaine de thématiques, dont les données de santé, la recherche scientifique ou les ressources humaines, pour n’en citer que quelques unes. En droit français, la loi informatique et libertés n°78-17 du 6 janvier 1978, modifiée par la loi n°2018-493 du 20 juin 2018 et par l’ordonnance n°2018-1125 du 13 décembre 2018, a ainsi défini un nouveau cadre en matière de traitement de données personnelles.

Pour les données non personnelles, l’initiative du Free flow of data récemment lancée par l’Union européenne devrait bientôt devenir une tendance de fond. D’autres réglementations sont aussi en gestation et devraient prochainement être publiées, en particulier le futur Règlement dit « e-privacy » (Règlement « vie privée et communications électroniques »).

III. Autonomie et responsabilité de l’IA
1. Responsabilité
L’identification des droits et obligations des parties est primordiale pour déterminer la répartition de leurs responsabilités éventuelles. Faute de personnalité juridique, une machine ou un algorithme ne saurait encourir la moindre responsabilité. Certains auteurs tentent de démontrer le contraire sans parvenir à convaincre, tant le contexte actuel d’une IA faible et les risques éthiques qu’engendrerait une déresponsabilisation des acteurs, imposent de recourir aux principes juridiques existant pour appréhender la question des responsabilités en cas de dommage.

Entre autres outils, la responsabilité du fait des choses (article 1242 du Code civil français), du fait d’autrui (article 1242 du Code civil français) ou celle du fait des produits défectueux (article 1245 et suivants du Code civil français et Directive européenne n°85/374/CEE du Conseil du 25 juillet 1985) sont d’ores et déjà disponibles pour répondre aux enjeux de l’IA.

Sous l’angle de la responsabilité du fait des produits défectueux, un robot contenant l’IA constitue un bien meuble et est couvert par ce dispositif juridique s’il n’offre pas la sécurité à laquelle l’on peut légitimement s’attendre (articles 1245-2 et 1245-3 du Code civil français). Or, la notion de défaut du produit au sens de l’article 1245-3 est relativement large et doit en même temps être nuancée : pour qualifier la sécurité à laquelle l’on peut légitimement s’attendre, il faut tenir compte « de toutes les circonstances et notamment de la présentation du produit, de l’usage qui peut en être raisonnablement attendu et du moment de sa mise en circulation », sachant qu’« un produit ne peut être considéré comme défectueux par le seul fait qu’un autre, plus perfectionné, a été mis postérieurement en circulation ». Les producteurs pourront tenter de limiter leur responsabilité, par exemple, en mettant en garde les utilisateurs sur les risques élevés encourus du fait de son utilisation dans tel ou tel contexte. En outre, le droit français (article 1245-10 4° du Code civil) permet au producteur de s’exonérer de sa responsabilité de plein droit s’il prouve qu’il ne pouvait déceler le défaut au regard de l’état des connaissances scientifiques et techniques au moment de la mise en circulation. Selon un arrêt de la Cour de justice de la Communauté européenne (devenue CJUE) du 29 mai 1997, la notion de « connaissances scientifiques et techniques » doit s’interpréter de manière objective au regard du niveau le plus avancé des connaissances, et ce, indépendamment du secteur concerné. Il s’agit là d’un moyen potentiellement opérant en matière d’IA, puisqu’il est difficile d’anticiper toutes les situations futures créées par sa
mise en œuvre dans un produit.

Ainsi, dans leurs relations B-to-B et selon le contexte, les acteurs peuvent prévoir des clauses limitatives, voire exclusives, de responsabilité et les éditeurs notamment invoquer le « risque de développement », compte tenu de la nature très évolutive de l’IA qu’ils auront mise sur le marché.

Enfin, les règles juridiques liées à la cyber-sécurité (notamment la directive N.I.S. et le décret français n°2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d’information des opérateurs de services essentiels et des fournisseurs de service numérique) devront également être prises en compte.

2. Assurabilité
La question de la responsabilité pose également celle de l’assurabilité des risques liés à l’IA tandis que de nouveaux produits et services assuranciels dédiés arrivent sur le marché. Les polices déjà offertes en matière de cyber-risques présentent une pertinence certaine, mais doivent encore être approfondies pour s’adapter au contexte de l’IA et en particulier, à l’inévitable passage d’une IA faible à une IA forte.

En conclusion, les principes et habitudes contractuels doivent être réinterrogés pour les besoins spécifiques des activités relatives à l’IA. Au-delà du contenu du contrat, les enjeux de celle-ci impliquent une approche juridique nécessairement transversale, multisectorielle, décloisonnée et globalisée. Ils supposent de veiller à l’articulation des
différentes règles de droit contraignant et de droit souple existant au niveau national et international et de s’inscrire en complémentarité d’expertises avec d’autres métiers, techniques et services. Au-delà du juridique, l’éthique de l’IA doit conditionner son développement et sa pérennité en plaçant l’humain au cœur du dispositif.

Auteurs de l’article:

Cécil_IA

Cécile Théard-Jallu, Avocat Associé – ctheardjallu@dgfla.com

thumbnail_XV DGFLA

Xavier Vuitton, Avocat Of Counsel – xvuitton@dgfla.com

Nira_IA

Nina Gosse, Avocat – ngosse@dgfla.com De Gaulle Fleurance & Associés