L’IA : une notion dépourvue de définition mais source d’indépendance
L’intelligence artificielle (IA) apparaît comme une notion trop vaste pour être définie précisément et pourtant suffisamment présente pour être source d’indépendance et de souveraineté. L’étude est guidée par sept principes sur lesquels le Conseil d’État estime que la réflexion globale sur la place de l’intelligence artificielle – et le cadre normatif associé – doit reposer : la primauté humaine, la performance, l’équité et la non-discrimination, la transparence, la sûreté (en particulier la cybersécurité), la soutenabilité environnementale et l’autonomie stratégique. Trois temps rythment ce rapport dense : construire un langage commun et intelligible de l’intelligence artificielle ; accélérer le déploiement des systèmes d’IA publics pour en exploiter pleinement le potentiel ; et définir et mettre en œuvre les principes et méthodes de l’IA publique de confiance.
Le Conseil d’État, dans un premier temps, pointe l’absence de définition commune et de consensus de la notion d’intelligence artificielle et relève que cela entraîne des confusions tant par les acteurs publics que par les usagers. Afin d’éviter cet écueil, c’est le terme parapluie de « systèmes d’intelligence artificielle » (SIA) qui est employé pour englober la diversité que représente l’intelligence artificielle et ses différentes fonctionnalités (produit ou service, discipline) et techniques (IA fondée sur les règles, machine learning, etc.). Sur ce point, le Conseil d’État relève que l’absence de définition existe aussi bien comme référence commune aux multiples acteurs mais aussi juridique, la tâche étant ardue, puisqu’« un concept aussi hétérogène et évolutif que l’intelligence artificielle se prête particulièrement mal à l’adoption d’une définition juridique ». Toute l’attention est alors portée sur le projet de règlement européen sur l’intelligence artificielle (actuellement en négociation) mais pas seulement.
Les SIA sont d’ores et déjà présents dans de nombreux domaines de la vie publique et leur développement aurait de nombreux bénéfices : adéquation et pertinence des décisions, des actions et des prestations délivrées, délais d’attente raisonnables pour les usagers, une meilleure égalité de traitement et prévention du risque de décrochage technique des administrations (ceci est une liste non exhaustive des bénéfices envisagés). En revanche, l’implantation de nouveaux SIA et l’investissement massif de l’État en la matière ne doit en aucun cas se faire au détriment de la souveraineté de la France et de son autonomie. L’étude cite le risque d’accès aux données et SIA que pourraient avoir des puissances étrangères, et notamment les États-Unis à travers les exemples du Cloud Act et de l’invalidation du Privacy Shield par la CJUE (arrêt du 16 juill. 2020, Schrems II, aff. C-311/18, Dalloz actualité, 22 juill. 2020, obs. C. Crichton ; D. 2020. 2432 
, note C. Castets-Renard ; AJ contrat 2020. 436 , obs. T. Douville ; Dalloz IP/IT 2020. 640, obs. B. Bertrand et J. Sirinelli ; Rev. crit. DIP 2020. 874, Eclairages A. d’Ornano ; ibid. 2022. 287, étude U. Kohl ; RTD eur. 2021. 175, obs. B. Bertrand ; ibid. 973, obs. F. Benoît-Rohmer ). Toutefois, le Conseil d’État tempère : « à l’évidence, l’objectif n’est pas de garantir une totale indépendance du pays, ce qui serait parfaitement illusoire et contre-productif ». Le Conseil d’État semble prudent sur cette question, cherchant un juste équilibre entre la coopération avec l’extérieur qui peut bénéficier l’innovation des SIA en France mais à condition que cela ne se fasse pas à n’importe quel prix.
Cette indépendance sur laquelle insiste le Conseil d’État, qui mènerait à asseoir la souveraineté numérique française, se traduit également par le cadre normatif entourant l’IA. Le Conseil d’État souhaite que la France retrouve sa place de pionnier comme ce fût le cas en 1978 à l’occasion de la loi Informatique et Libertés, adoptée afin de réglementer les traitements de données des citoyens par l’administration au moyen de systèmes automatisés. Un peu moins d’un demi-siècle plus tard, l’opportunité se représente grâce à l’essor de l’intelligence artificielle.
Un appel à l’anticipation d’un cadre législatif face au futur règlement
L’un des points phares de cette étude est l’appel au gouvernement d’anticiper le cadre normatif des SIA dans la sphère publique avant l’entrée en vigueur du futur règlement européen. Il ne s’agit pas de lancer dans un corpus législatif national mais d’établir des lignes directrices, modifiables qui serviraient à l’élaboration future d’une législation nationale, une fois le règlement européen sur l’intelligence artificielle définitivement adopté. Les lignes directrices seraient un moyen non seulement pour le droit de ne pas être dépassé par les avancées technologiques mais également d’éviter des contentieux et des sanctions pour non-respect de la future législation européenne. Ce besoin crucial d’anticipation, tandis que les négociations se poursuivent dans les instances législatives européennes, est justifié par quatre raisons :
• le champ d’application du règlement « ne couvrira pas l’intégralité du champ de l’action publique » puisque certains domaines (les fonctions régaliennes) sont exclus du champ du droit de l’Union européenne,
• tous les SIA ne sont pas inclus dans le futur règlement, seulement ceux dits « à haut risque » (définis à l’article 6 du projet de règlement), quand bien même nombre de SIA publics seraient considérés comme tel et entraînerait leur inclusion dans le droit de l’UE (y compris en matière de sécurité publique),
• les États membres seront dotés d’une certaine marge de manœuvre et le règlement ne différencie pas les SIA en fonction de leurs finalités, laissant le soin aux législations nationales d’encadrer plus précisément certaines utilisations,
• la question de savoir « dans quels cas la conception et l’utilisation d’un SIA public [requerront]un fondement législatif dédié » reviendra certainement à l’administration et au judiciaire puisque la réponse n’est pas donnée par le futur règlement.
L’étude met en garde contre une « application “brutale” de la nouvelle réglementation » qui entraînerait non seulement un coût économique important mais également des risques de non-conformité, et à terme une concurrence non souhaitable entre opérateurs privés français et européens. En effet, il est rappelé que lorsque le RGPD est entré en vigueur, les entreprises n’étaient pas assez préparées ce qui a conduit à un coût élevé d’adaptation (estimé à un milliard d’euros par an par Syntec pour les années 2018, cité p. 139) pour les entreprises et les administrations. En ce sens, des lignes directrices permettraient d’accompagner la mise en conformité des acteurs privés et publics au futur cadre normatif en y intégrant entre autres : une harmonisation terminologique, une doctrine de recours à la prise de décision automatisée, des règles de droit d’ores et déjà applicables et une charte du recours à l’IA dans le secteur public.
Le cadre normatif que doit envisager l’État s’accompagne d’une réflexion sur le contentieux lié à l’intelligence artificielle.
Le contentieux repensé au niveau national et européen
Le juge administratif est déjà confronté aux contentieux portant sur des traitements algorithmiques mais lorsqu’il existe un vide juridique, il devient difficile pour les usagers du service public d’en contester la légalité ou d’identifier la personne responsable en matière de responsabilité extracontractuelle. S’agissant de la question d’un régime de responsabilité du fait des SIA, le Conseil d’État et l’Union européenne sont alignés puisque le Parlement européen et le Conseil ont publié leur proposition de directive en matière d’IA. L’Union européenne souhaite anticiper une future fragmentation des règles civiles de responsabilité en matière d’IA en harmonisant dès maintenant les grands axes. La proposition inclut de renverser la charge de la preuve, une transparence des acteurs du système d’intelligence artificielle afin que la victime puisse identifier les responsables plus aisément et in fine éviter des délais juridictionnels. Cette transparence se traduit par l’obligation pour les fournisseurs de SIA de conserver les informations techniques auxquelles le demandeur aura accès après obtention d’une ordonnance judiciaire (art. 3).
La proposition n’a pas vocation à créer une nouvelle action en justice, simplement d’harmoniser les règles déjà existantes et anticiper celles à venir. Toutefois, puisqu’elle s’appuie sur le futur règlement, il est difficile de savoir quand celle-ci sera adoptée. Cela ne devrait pas avoir d’effet négatif puisque le fait qu’il y ait un commencement de discussion à ce sujet permet également aux États membres de le prendre en compte dans l’élaboration de leurs règles nationales de responsabilité extracontractuelle en matière d’IA. En outre, une disposition prévue par la proposition de directive prévoit la possibilité pour la Commission, après examen des incidents rapportés impliquant des SIA, d’introduire un régime de responsabilité sans faute ou d’assurance obligatoire (art. 6).
Quant au contentieux administratif de manière plus générale, le Conseil d’État propose « au moins » deux voies de droit, laissant la porte ouverte à de futures suggestions ou de mûrir sa réflexion : le recours pour excès de pouvoir et le référé-liberté.
L’étude précise que les systèmes d’IA faisant l’objet de recours pour excès de pouvoir ou de plein contentieux reposent également sur les traitements de données à caractère personnel, après sanction administrative prise par la CNIL dans le dernier cas. Les SIA et les données à caractère personnelles sont liés et cela suscite de l’appréhension quant à l’articulation des législations relatives à l’IA avec le RGPD. Le Conseil d’État se montre rassurant et souple à ce sujet.
L’articulation avec le RGPD
Ce qui ressort de l’avis du Conseil d’État au regard de l’articulation entre réglementation de l’intelligence artificielle et celle des traitements de données personnelles est qu’il existe des obstacles mais ces derniers ne sont pas insurmontables. Le raisonnement adopté démontre un réel souci de ne pas freiner l’innovation, mais au contraire de l’encourager et de « dédiaboliser » le cadre réglementaire de la protection des données et de faciliter les échanges de données entre administrations. Par exemple, le machine learning consiste à fournir des données à un algorithme sans connaître le résultat final. Or l’un des principes cardinaux du droit à la protection des données personnel est que le responsable de traitement traite les données personnelles dans un but précis (principe de finalité) ; cela ne semble pas poser de problème au Conseil d’État qui indique que « le principe de finalité devrait être appliqué de façon souple pour les besoins du développement des SIA ».
L’étude insiste sur un besoin de souplesse pour laisser place à l’innovation sans être enfermé dans un cadre réglementaire trop strict qui pourrait, à terme, nuire aux usagers qui ne bénéficieraient pas de tout l’éventail de services qui pourraient être proposés par les SIA. Les obstacles évoqués, et les exemples pris pour les illustrer – à savoir l’échange de données personnelles entre administrations –, semblent aisément surmontés, prudence reste de mise car d’autres États membres pourraient ne pas partager les solutions présentées dans le rapport et des questions préjudicielles seront sûrement portées à l’attention de la Cour de justice de l’Union européenne à ce sujet.
Avant d’en arriver au contentieux, le mécanisme mis en place pour le RGPD sera également mis en place pour les SIA : une autorité de contrôle et de régulation comme première étape avant de saisir le juge administratif. Cependant, l’étude propose une refonte de la CNIL afin qu’elle puisse étendre son champ de compétences au-delà des données personnelles en y intégrant les SIA.
La CNIL sur le devant de la scène
La création d’une nouvelle entité dédiée aux SIA a été balayée d’un revers de main par l’étude dans la mesure où cela aurait un coût et que la plupart des SIA traitent des données à caractère personnel ce qui aurait provoqué un éclatement des autorités et entraîné un risque d’insécurité juridique pour les fournisseurs de SIA. À cet égard, le « la très forte adhérence entre la régulation des SIA et celle des données, en particulier des données à caractère personnel, et l’intérêt d’une internalisation institutionnelle de l’articulation des deux régimes juridiques, plaident assez naturellement pour que la CNIL se voie confier les deux fonctions. » Doter la CNIL de nouvelles fonctions en relation avec les systèmes d’intelligence artificielle est une chose, mais les mettre en pratique en est une autre. L’étude en a bien conscience et propose un plan d’action : le nécessaire investissement « immédiat massif et déterminé » de moyens financiers et humains. Financiers d’une part, car il est relevé que la CNIL peine à recruter en raison des bas salaires proposés et qui ne la rendent pas assez attractive – notamment pour le recrutement de profils séniors – et de moyens humains d’autre part, car bien qu’elle soit l’une des premières autorités de régulation, elle est également l’une des moins bien loties en termes d’effectifs.
Enfin, le Conseil d’État encourage à ce que la CNIL ne soit plus seulement une autorité de contrôle et de régulation mais un accompagnateur de l’innovation des systèmes d’intelligence artificielle qui sera en mesure de permettre les évolutions technologiques, tout en veillant de près au respect des libertés fondamentales, en particulier de la vie privée.
