Accès Rapide
S'identifier

IA et cybersécurité : quelle perception juridique ?

Par Moundir Akasbi, Avocat au Barreau de Paris, Maître de conférences associé à l’Université Paris XIII, Directeur du MBA Droit des affaires internationales – ESLSCA Paris Business School

Ce colloque, dans sa deuxième édition, a pour vocation de s’inscrire dans une tradition audacieuse initiée par le Master Business of Administration (MBA) Droit des affaires internationales de l’École supérieure libre des sciences commerciales appliquées (ESLSCA). Au-delà de la pertinence du sujet et de son actualité, les étudiants doivent relever chaque année le défi de repérer, dès le mois d’octobre, date de leur rentrée, un sujet qui doit rester pertinent et d’actualité jusqu’en septembre de l’année suivant, date habituelle du colloque. Ce défi a, paraît-il, été relevé en 2018, avec un sujet autour des blockchains et des cryptomonnaies  (1). Au regard de l’actualité et des calendriers législatifs nationaux, européens et internationaux autour de l’intelligence artificielle (IA) et la cybersécurité (2) , l’organisation de cette nouvelle édition semble être promise à la même réussite.

L’IA : une matière pluridisciplinaire

Initialement, c’est une thématique scientifique et technologique. Aujourd’hui, c’est un sujet de société et géopolitique, très présent sur la scène internationale et diplomatique. Pour essayer d’appréhender le phénomène, la mission parlementaire sur l’IA, confiée par le gouvernement en septembre 2017 (3), a réuni des directeurs de recherches en IA, des ingénieurs, des spécialistes en sciences humaines et des juristes. Cette approche pluridisciplinaire, nous l’avons également adoptée pour les travaux du présent colloque.

L’IA est l’affaire de tout le monde. Elle s’applique dans les évolutions du travail, le comportement des entreprises, de la société et de la politique. Aujourd’hui, elle est déjà présente assez discrètement dans notre quotidien (4) . Une matière technologique d’abord, l’IA vient en relation et en interaction avec les sujets humains ainsi que leurs droits et obligations.

L’IA dispose aussi de caractéristiques très variées. D’abord une transversalité à travers différentes disciplines en plus d’un caractère universel et une capacité à s’introduire dans tous les sujets.

L’appréhension sociale et juridique de l’IA est surprenante. Après avoir passé une trentaine d’années à n’intéresser qu’une poignée de chercheurs ou les cinéastes les plus fantasques, elle opère une fracassante entrée médiatique, dont l’origine peut être portée à deux épisodes : l’inattendue victoire d’AlphaGo contre Lee Sedol au jeu de Go, ensuite l’expérimentation des voitures autonomes « Google cars » sur les routes californiennes depuis 2015. De sujet d’actualité, l’IA devient l’objet d’une obsession qui gagne même les chercheurs les plus avérés et un enjeu majeur de plusieurs d’acteurs dans des domaines d’activités différents.

C’est quoi une IA ? Une définition ou une illusion ?

L’IA désigne toute technique qui permet à un mécanisme algorithmique de réaliser des tâches subtiles, dépendantes d’un grand nombre de paramètres, personnalisées, des tâches où on cherche de la prédiction, et dont la solution n’est pas apparente. Des tâches où le programmeur lui-même ne connaît pas la réponse, mais dont il a mis tout en œuvre pour que le mécanisme puisse la trouver (5). Plus communément, c’est un dispositif qui fonctionne via des algorithmes qui tentent d’imiter ou de remplacer l’être humain.
La définition est vague, voire illusoire, parfois abandonnée. C’est le cas du rapport parlementaire. Pas de définition précise, mais une quête de grands principes à préserver : sécurité, protection, éthique, etc.

De la technique au droit

Lorsqu’il y a une solution technique à mettre en œuvre en matière d’IA, il y a trois grands types de défis à résoudre : le défi scientifique et technologique ; le défi éthique et juridique ; le défi de gouvernance et humain, c’est-à-dire les rapports de confiance sociaux. Souvent on surestime la difficulté du premier et on sous-estime les difficultés des autres (6) . Les défis techniques sont bien moins difficiles à surmonter que les obstacles socio-juridiques.

Parmi les principales questions juridiques, le débat se place encore au niveau des difficultés liées à la réparation du dommage pouvant être causé par les machines. Ainsi, la problématique soulevée dès 2004 (7)  n’a pas changé et se pose encore en des termes identiques. Quelle responsabilité pour l’intelligence artificielle ? L’intelligence artificielle doit-elle être considérée comme un sujet de droits ou un objet de droits ? Deux principales tendances doctrinales tentent de répondre à ces questions.

La première tendance propose la création d’un régime spécial de responsabilité. Le robot est simple objet de droit (8) .

La seconde, impulsée par la pensée d’Alain Bensoussan (9) , propose de s’inspirer du modèle des sociétés sur la personnalité morale. Cette tendance milite pour l’instauration d’une « personnalité-robot ». Ainsi, le robot deviendrait un véritable « sujet » de droits et d’obligations.

Le Parlement européen opte pour la création d’une personnalité électronique, propre aux « robots ». C’est ainsi que le rapport préconise « la création, à terme, d’une personnalité juridique spécifique aux robots, pour qu’au moins les robots autonomes les plus sophistiqués puissent être considérés comme des personnes électroniques responsables, tenues de réparer tout dommage causé à un tiers ; il serait envisageable de conférer la personnalité électronique à tout robot qui prend des décisions autonomes ou qui interagit de manière indépendante avec des tiers »(10) .

Sur le plan indemnitaire, les partisans de la « personnalité-robot » (11) soutiennent que, du fait de son patrimoine propre, l’intelligence artificielle pourra répondre des dommages qu’elle cause. La question se pose alors de savoir par quel actif serait constitué ce « patrimoine robot » (12) . Si cet actif est composé de sommes versées par le propriétaire, ce dernier répondra indirectement des dommages causés par sa machine. Cette analyse corrobore la relation de propriété entre le payeur et la chose artificielle. L’assimilation avec le droit des sociétés perdra alors de sa pertinence, car ce dernier ne reconnaît aucun droit de propriété au profit des associés sur la société, c’est-à-dire entre les apporteurs des capitaux et le sujet de droits, contrairement au droit applicable au robot. Autonomie dans le fonctionnement ne rime, semble-t-il, pas toujours avec autonomie juridique.

Sur un plan pénal, les objets intelligents devenus personnes juridiques pourraient-ils être pénalement poursuivis ? Quid de la question de la peine ? Comment transposer à ces systèmes la notion d’« intention », nécessaire à la commission de certaines infractions(13) ?

Enfin, parmi les enjeux majeurs du développement de l’IA, la souveraineté occupe une place importante. Le développement de certains acteurs de l’IA peut être menaçant pour la souveraineté des États en termes scientifiques, économiques, politiques, mais aussi criminels.

De l’IA à la cybersécurité

On peut continuer de s’émerveiller devant les avancées prodigieuses de l’IA, mais cette dernière ne doit pas être dissociée du risque qu’elle présente à cause de ses imperfections. À ce propos, certains trans-humanistes affirment que, dans quelques années, nous connaîtrons la singularité ou la machine dépassera l’homme(14). D’autres affirment plutôt le contraire. Les deux approches sont en revanche d’accord sur l’exigence d’avancer d’une manière très précautionneuse. Si la plupart des programmes sont conçus et pilotés par l’homme, d’autres peuvent être totalement autonome(15) . Dans les deux cas, les IA les plus sophistiquées peuvent encore être détournées par des trolls et des cybercriminels sans scrupules. Les victimes de la cyberattaque sont variées. Il peut s’agir de gouvernements(16), d’entreprises(17), de la recherche(18), du domaine militaire(19). Il peut s’agir aussi de propagation de virus comme le malware WannaCry(20). Cette menace, les militaires la comprennent très bien car ils s’équipent aujourd’hui essentiellement en objets connectés(21) . Le risque militaire n’est plus hypothétique. Des centres ont été créés pour faire de la prévention, de la sensibilisation et pour lutter contre la cybercriminalité – comme l’Agence nationale de la sécurité des systèmes d’information (ANSSI) en France.
Aujourd’hui, l’urgence est de protéger. Le cybercrime pèserait entre 400 et 500 milliards de dollars. Avec l’essor des objets connectés et la robotisation, on pourrait atteindre le chiffre de 2 000 milliards de dollars, soit deux à trois fois le poids illicite de la drogue. Si ce parasitage demeure incontrôlé, certaines économies s’effondreront. Nous assisterons alors à un nouveau type de terrorisme de masse.

En 2033, il y aura plus de robots que d’humains sur terre. Il ne faut pas imaginer une suprématie des ordinateurs façon « Terminator ». Les robots, même avec l’IA, ne se battront pas pour leur survie ou pour une quelconque conquête. Ils s’éteignent en appuyant sur un bouton « off ». Le problème est celui de l’utilisateur qui dispose désormais d’un pouvoir divin de créateur et de destructeur. Ce sont les agissements de ce dernier qui requièrent davantage de vigilance.
Pour commencer, on peut s’inspirer des entreprises. Le chef d’entreprise a une obligation de sécurité vis-à-vis de ses clients, ses salariés, ses actionnaires, ses créanciers… C’est une obligation de moyens qui s’apprécie de manière subjective essentiellement.

À présent, nous sommes passés d’une obligation de sécurité appréciée vers une obligation réglementaire, essentiellement européenne. Un empilement de textes qui présente une complexité à laquelle le chef d’entreprise doit faire face : le règlement général sur la protection des données (RGPD), le règlement « e-privacy », la directive « Network and Information Security » (NIS), etc. Les textes ont tendance à renforcer cette obligation de sécurité du chef d’entreprise. Néanmoins, ce dernier doit faire face à la double caractéristique de ces cyberattaques : leur virtualité et leur transversalité.
La question n’est plus de savoir s’il y a une menace, mais comment se protéger efficacement et y apporter des réponses et des solutions opérationnelles.

Solution : une convention de Genève du numérique ?

Il ne faut exagérer la mondialisation des règles de protection. Aujourd’hui, au niveau juridique, c’est le droit international qui doit s’appliquer. Certains agitent les chiffons rouges et disent que les règles en vigueur ne sont pas applicables aux cyberespaces. D’autres militent pour la transposition dans les cyberespaces de ces règles, c’est le cas de l’ANSSI. L’une de ces règles est la due diligence. Lorsqu’une personne porte une action malveillante depuis un territoire vers un autre, le pays de l’émission de l’action porte une responsabilité. Nier cette dernière n’est peut-être pas cohérent avec les règles de droit international. D’éventuelles conventions internationales peuvent au moins le rappeler.
Pour y parvenir, il faut impliquer une gouvernance avec les différents acteurs, les dirigeants, les experts, former les agents, penser les systèmes numériques en pensant à la sécurité ; enfin, parier sur l’homme et sur les techniques ; ils doivent avancer ensemble. Parier sur les deux ne nécessite pas une révolution de droit. Un accompagnement bienveillant ayant le même rythme que les avancées technologiques est toutefois requis.

À présent, et comme l’IA ne peut le faire à la place de personne, il est nécessaire de parcourir les débats qui suivent, bien plus sophistiqués que les simples imitations algorithmiques. Les réflexions évoquées et la qualité des interventions sont en mesure de prouver que l’IA est plus artificielle qu’intelligente et ne peut, de ce fait, remplacer les facultés et les qualités humaines les plus élémentaires.

Notes : 

(1) Blockchains et cyptomonnaies : bouleversent-elles l’ordre juridique et économique ? Dossier complet publié in journ. sociétés, déc. 2018, n° 169, p. 8 à 37 ; v. également, M.-A. Bailly, Colloque « Blockchain et cryptomonnaies » JSS, nov. 2018, n° 79, p. 14 ; A. Portmann, « Le droit doit-il s’adapter à la blockchain ? », Dr. & patr. 2018, n° 284, p. 6. 
(2) Nombreux sont également les colloques qui s’organisent en ce moment autour de ces questions. V. notamment « Science et sens de l’IA », colloque de l’IRDA, 19 nov. 2019. 
(3) Mission parlementaire, le 8 septembre 2017, confiée à Cédric Villani : « Donner un sens à l’intelligence artificielle : pour une stratégie nationale et européenne », rapp. 8 mars 2018. 
(4) Traduction (translate Google) : publicité adaptée aux profils sur les réseaux sociaux, jeux vidéo (s’adaptant à l’âge et au profil du joueur) ou dans la domotique (Alexa, assistant virtuel d’Amazon), etc.
(5) Rapp. Villani, Donner un sens à l’intelligence artificielle : pour une stratégie nationale 
et européenne, précité.
(6) V. Blockchains et cyptomonnaies : bouleversent-elles l’ordre juridique et économique ? Précité. Le même constat a été fait : la technique présente une sécurité suffisante quant à son fonctionnement, 
le plus difficile est d’appréhender la pratique des utilisateurs.
(7) R. Retif, Un critère unique de la garde de la chose : la faculté de prévenir le préjudice qu’elle peut causer ? Resp. civ. et assur. 2004, n° 11, chron. n° 24 ; F. Chabas, note sous Cass. 2e civ., 20 nov. 2003, Dr. & patr. 2004, p. 123.
(8) G. Loiseau, Des robots et des hommes, D. 2015, p. 2369 ; G. Loiseau et M. Bourgeois, Du robot en droit à un droit des robots, JCP G 2014, n° 48, p. 2164 ; X. Bioy, Vers un statut juridique des androïdes ? Journal international de bioéthique, 2013, vol. 24, n° 4, p. 98. V. également A. Bensamoun et G. Loiseau, Droit de l’intelligence artificielle, LGDJ, oct. 2019. 
(9) A. Bensoussan, Droit des robots : science-fiction ou anticipation ? D. 2015, p. 1640.
(10) Résolution PE, 16 février 2017, contenant des recommandations à la Commission concernant des règles de droit civil sur la robotique (2015/2013) (INL), 59, f.
(11) A. Bensoussan, Droit des robots : science-fiction ou anticipation ? précité.
(12) G. Loiseau et M. Bourgeois, Du robot en droit à un droit des robots, précité.
(13) C’est peut-être la raison pour laquelle la justice américaine a décidé d’abandonner les poursuites après l’accident mortel causé par une voiture autonome en Arizona survenu 
en mars 2018.
(13) R. Kurzweil, Singularity is Near : When Humans Transcend Biology, Éd. Viking, 2005.
(14) En 2016, Microsoft s’est lancé dans un projet inédit sur Tweeter en mettant un programme neutre qui évoluera avec les internautes. Rapidement, des trolls détournent l’IA et la rendent antiféministe 
et parfois raciste, créant ainsi des problèmes pénaux non maîtrisables. Les ingénieurs l’ont retiré en catastrophe de la toile. 
(15) Israël en 2009, le ministère des Affaires étrangers saoudien en 2013.
(16) Sony en 2014 et Yahoo en 2016.
(17) La NASA en 2011.
(18) L’OTAN en 2011 et le département de la Défense américaine en 2017.
(19) Il a touché 300 000 machines dans 150 pays.
(20) Depuis 2012, plus de 30 % des véhicules aériens de l’US Force sont des drones qui peuvent être « hackés ». Un drone sentinelle américain s’est posé en Iran, en pensant 
se trouver sur une base américaine.

TOUTE L’ACTUALITÉ DU DROIT & DE LA GESTION PATRIMONIALE

abonnez-vous
Div qui contient le message d'alerte

Se connecter

Identifiez-vous

Champ obligatoire Mot de passe obligatoire

Mot de passe oublié

Déjà abonné ? Créez vos identifiants

Vous êtes abonné, mais vous n'avez pas vos identifiants pour le site ? Remplissez les informations et un courriel vous sera envoyé.

Div qui contient le message d'alerte

Envoyer l'article par mail

Mauvais format Mauvais format

captcha
Recopiez ci-dessous le texte apparaissant dans l'image
Mauvais format

Div qui contient le message d'alerte

Contacter la rédaction

Mauvais format Texte obligatoire

Nombre de caractères restant à saisir :

captcha
Recopiez ci-dessous le texte apparaissant dans l'image
Mauvais format