|
L'intelligence artificielle dans le secteur de l'assurancepar Georges BERGER Université de Strasbourg - M2 Droit de l'économie numérique 2020 |
PARTIE II :L'intelligence artificielle dans le secteur de l'assurance, une technologie en quête de repères Dans sa Communication du 8 avril 2019 visant à renforcer la confiance dans l'intelligence artificielle69, la Commission européenne rappelle les orientations dégagées par le groupe d'experts de haut niveau sur l'IA désigné afin d'identifier les moyens nécessaires à instaurer un climat de confiance autour de l'intelligence artificielle. À ce titre, les experts ont souligné que, pour parvenir à une intelligence artificielle digne de confiance, il est nécessaire que celle-ci respecte la législation, les principes éthiques et présente des garanties de robustesse et de sécurité. À cet égard, sur la base de ces trois éléments structurants, le groupe d'experts a défini sept exigences essentielles auxquelles doivent répondre les systèmes d'intelligence artificielle pour être considérés comme dignes de confiance (le contrôle humain, la sécurité et la robustesse, le respect de la vie privée, la transparence, l'équité, le bien-être sociétal et environnemental et la responsabilisation). Si une telle démarche ne peut qu'être saluée et apparait pertinente, il faut toutefois préciser qu'il en va autrement dans la pratique. En effet, le cadre juridique et éthique applicable à l'intelligence artificielle reste pour l'heure peu développé (Chapitre 1), constituant un frein à l'intégration de ces nouveaux procédés. En outre, si les possibilités offertes par l'intelligence artificielle semblent nombreuses et permettent de se démarquer dans un secteur où la concurrence est élevée, il faut toutefois souligner l'importance pour les compagnies d'adopter une stratégie de la donnée et d'intégration de ces nouveaux outils (Chapitre 2) qui présentent un triple intérêt : planifier les coûts liés au déploiement, susciter la confiance et garantir la sécurité de ces nouveaux systèmes. 69 Communication de la Commission européenne du 8 avril 2019, Renforcer la confiance dans l'intelligence artificielle axée sur le facteur humain, COM(2019) 168 final 44/97 Chapitre 1 :Un cadre réglementaire et éthique peu développé en la matière Si la croissance économique repose sur la valeur créée par les données, force est de constater que cette croissance doit s'accompagner de mesures favorisant la confiance des utilisateurs dans les technologies. C'est d'ailleurs le constat que faisait la Commission européenne dans son livre blanc sur l'intelligence artificielle de février 2020, soulignant qu'« étant donné que la technologie numérique occupe une place de plus en plus centrale dans tous les aspects de la vie des citoyens, il faut que ces derniers puissent lui faire confiance. Elle ne pourra être adoptée que si elle est digne de confiance70 ». Aspect essentiel du développement de tout nouvel écosystème, la confiance repose, dans le cadre de l'intelligence artificielle d'une part sur l'explicabilité des algorithmes (Section 1) et d'autre part, sur le cadre réglementaire applicable en matière de protection des données et, plus partiellement, sur les standards de responsabilité (Section 2). Section 1. L'explicabilité des algorithmes, un enjeu majeur de développement de l'intelligence artificielle De manière générale, l'un des grands enjeux de ces prochains temps en matière d'intelligence artificielle concerne la transparence et plus particulièrement l'explicabilité des algorithmes (I). Sur ce point, s'il existe des initiatives dans le secteur des assurances, celles-ci restent pour l'heure limitées et disparates (II). I. La transparence des algorithmes d'intelligence artificielle, un principe socle d'une intelligence artificielle soucieuse des droits humains Selon la définition donnée par le Conseil de l'Europe, l'intelligence artificielle fait référence à « l'ensemble des techniques, théories et techniques dont le but est de reproduire par une machine des capacités cognitives d'un être humain ». Bien entendu, dans toute son 70 Livre blanc de la Commission européenne, Intelligence artificielle : une approche européenne axée sur l'excellence et la confiance, 19 février 2020, COM(2020) 65 final 45/97 imperfection, l'Homme est par nature sujet aux biais cognitifs. Comportements purement naturels, les biais cognitifs sont des schémas de pensée trompeurs et faussement logiques, qui constituent donc des mécanismes à l'origine d'une altération du jugement. Plus particulièrement, ces mécanismes vont intervenir chez l'individu lorsqu'il est placé en situation de porter un jugement, ou de prendre une décision rapidement. Ces biais, conceptualisés dans les années 1970 par Daniel Kahneman et Amos Tversky, fonctionnent schématiquement de la manière suivante : face à une situation dans laquelle une personne exposée à une quantité trop importante d'information, à des contraintes de temps, ou à un manque de sens doit prendre une décision, le cerveau humain va alors s'appuyer sur des croyances subjectives et inconscientes71. Par voie de conséquence, ces raccourcis vont conduire à une analyse imparfaite et fausse d'une situation donnée, de son environnement et d'autrui72. En outre, les travaux menés en la matière ont permis de recenser plus de 250 biais cognitifs (voir annexe 7), qui peuvent être classés selon les catégories suivantes : les biais sensori-moteurs, les biais attentionnels, les biais mnésiques, les biais de jugement, les biais de raisonnement, et les biais liés à la personnalité. En tout état de cause, dans une logique de reproduction des mécanismes humains, la pratique a pu montrer que les algorithmes d'intelligence artificielle n'échappaient pas à cette tendance aux préjugés et aux raccourcis. À cet égard, un exemple intéressant a défrayé la chronique il y a quelques années, lorsque Microsoft avait déployé le 23 mars 2016 sur Twitter, dans le cadre d'une expérimentation, un agent conversationnel fondé sur l'intelligence artificielle. Prénommée Tay, cet agent a été conçu pour engager et divertir les utilisateurs du réseau social par le biais d'échanges informels. Mais sous cet aspect ludique, le but de cette expérimentation à large échelle et en conditions réelles visait avant tout à étudier la manière dont l'intelligence artificielle interagissait avec les humains et apprenait de ces derniers. Néanmoins, après plus de 50 000 abonnés et 100 000 tweets, et seulement 24 heures après son lancement73, Microsoft a précipitamment mis fin à l'expérimentation et a retiré Tay de la plateforme. La raison de ce retrait est simple : confrontée aux internautes (et plus 71 https://www.usabilis.com/definition-biais-cognitifs/ 72 https://www.sciencesetavenir.fr/sante/cerveau-et-psy/comment-notre-cerveau-nous-manipule-t-il_135688 46/97 particulièrement aux « trolls »), l'intelligence artificielle a tout simplement fini par tenir des propos racistes et négationnistes74. Cette expérimentation a toutefois permis à Microsoft d'apprendre du fonctionnement général de l'algorithme et surtout des raisons ayant conduit à cette situation. À cet égard, la firme a fait le constat selon lequel « quelle que soit la pertinence de la conception de l'algorithme, les résultats seront à la hauteur de la qualité des données d'origine75 ». Ainsi, les jeux de données utilisés par l'intelligence artificielle peuvent être biaisés par un grand nombre de moyens. S'agissant de Tay, son comportement a été altéré du fait d'un jeu de données alimenté uniquement par une catégorie spécifique de la population, de sorte que ses jugements, ses choix et ses comportements ultérieurs se fondaient uniquement sur des pensées et propos minoritaires, qui ne reflétaient pas et ne représentaient pas la population dans sa globalité. En d'autres termes, c'est donc son exposition à des courants de pensée minoritaires qui ont conduit Tay à tenir de tels propos. C'est dans ce contexte que se sont inscrits les travaux de l'Union européenne et du Conseil de l'Europe s'agissant du déploiement de l'intelligence artificielle. En ce sens, reconnaissant le potentiel de croissance économique que représente l'intégration des nouveaux outils, ces deux institutions soulignent la nécessité de développer un cadre éthique afin d'éviter que le recours à l'intelligence artificielle conduise à des comportements d'exclusion ou de discrimination à l'égard des personnes concernées. Ainsi, le Comité des Ministres a, dans sa recommandation aux États membres du 08 avril 2020 sur les impacts des systèmes algorithmiques sur les droits de l'Homme76, souligné que « le recours croissant aux systèmes algorithmiques dans la vie de tous les jours ne va pas sans poser d'importants défis en matière de droits de l'homme, tels que le droit à un procès équitable ; le droit au respect de la vie privée et à la protection des données ; le droit à la liberté de pensée, de conscience et de religion ; le droit à la liberté d'expression, le droit à la liberté de réunion ; le droit à l'égalité de traitement, et les droits économiques et sociaux ». 74 Tay avait notamment publié une série de tweet le 24 mars 2016 précisant « Bush est responsable du 11 septembre et Hitler aurait fait un meilleur boulot que le singe que nous avons actuellement. Donald Trump est notre seul espoir », ou encore niant l'existence de l'holocauste. 76 Recommandation CM/Rec(2020)1 du Comité des Ministres aux États membres sur les impacts des systèmes algorithmiques sur les droits de l'homme, adoptée par le Comité des Ministres le 8 avril 2020, lors de la 1373e réunion des Délégués des Ministres 47/97 À l'étude des travaux existants en la matière, force est de constater qu'un principe central semble guider le déploiement de ces nouveaux outils : la transparence. En matière d'intelligence artificielle, une telle démarche est naturellement cohérente, puisqu'il ne peut y avoir de confiance sans transparence, ni même de compréhension des mécanismes décisionnels sans transparence des algorithmes. En ce sens, qu'il s'agisse de la conception, du développement, mais également de l'utilisation des algorithmes d'intelligence artificielle, le principe de transparence se matérialise en pratique par la nécessité d'expliquer les comportements de l'intelligence artificielle. Gage de maitrise de ces nouveaux procédés, l'explicabilité de l'intelligence artificielle est définie comme la capacité à expliquer le fonctionnement des algorithmes, afin de comprendre la manière et les raisons ayant conduit à un résultat spécifique. L'explicabilité s'impose donc comme essentielle et consubstantielle au développement d'une intelligence artificielle éthique, surtout s'agissant des techniques d'apprentissage automatique qui restent très souvent opaques. Afin de lutter contre cette opacité inhérente, l'explicabilité repose sur plusieurs méthodes. Les premières méthodes supposent une intervention ex post. En ce sens, les techniques reposant sur l'hypothèse de la « boite noire » visent à analyser les données à l'entrée et celles à la sortie afin d'essayer de comprendre la manière dont l'IA est arrivée à ce résultat, sans disposer du code du système. À l'inverse, les techniques reposant sur l'hypothèse de « la boite blanche » visent à l'étude directe du code du système afin de comprendre la manière dont l'IA est arrivée à un résultat déterminé, et surtout, la manière dont l'algorithme a pu évoluer pour parvenir à ce résultat. En marge de ces méthodes intervenant ex post, de nouvelles dynamiques émergent pour prendre en considération ces besoins de transparence et d'explicabilité dès la conception. C'est ainsi que le concept d'explicability by design (ou explicabilité dès la conception) a vu le jour, supposant le développement d'outils spécifiques, sous la forme d'algorithmes intégrés à la machine lors de la phase de développement, chargés de suivre ses évolutions afin de pouvoir remonter le processus décisionnel. Une fois ces éléments exposés, tout l'enjeu est de savoir comment le secteur de l'assurance entend transposer et concrétiser ces principes. II. Des initiatives pour l'heure limitées et disparates des acteurs du secteur 48/97 En l'état, la question de l'explicabilité de l'intelligence artificielle s'impose comme nécessaire et vitale dans le secteur des assurances, pour notamment trois raisons. D'abord, comme nous avons pu l'expliquer dans le cadre des développements précédents, l'intégration de l'intelligence artificielle dans le secteur de l'assurance fait craindre une dynamique de démutualisation du système au profit d'une logique de responsabilité individuelle. En ce sens, appliquées aux processus d'analyse des risques, les méthodes d'explicabilité doivent permettre d'enrayer les éventuels biais cognitifs qui conduiraient, sur la base des jeux de données internes et externes employés, d'exclure du bénéfice de l'assurance (ou du moins d'appliquer une surprime) un assuré sur la base d'éléments purement subjectifs. Dans ce contexte, l'explicabilité s'impose donc comme un garde-fou nécessaire afin de garantir que chaque risque fait l'objet d'une étude impartiale et objective. Ensuite, et d'un point de vue centré sur la personne concernée, l'intégration d'outils propres à expliquer le processus décisionnel doit lui permettre de conserver la maitrise dont elle dispose sur ses données, et surtout de pouvoir comprendre la manière dont la décision a été prise. Cette démarche vise à créer un climat de confiance, alors nécessaire pour chacune des parties au contrat d'assurance. Enfin, dans un secteur où les autorités de contrôle offrent au consommateur des voies de recours extra-judiciaires (en témoignent les procédures de réclamations et de médiation), l'explicabilité doit permettre à chacune des parties de pouvoir défendre ses droits. Du côté de l'assuré, l'explicabilité peut permettre de mettre en exergue l'ingérence de biais cognitifs dans la prise de position. À l'inverse, elle doit pouvoir permettre pour l'assureur, en cas de réclamation fondée sur une décision automatisée, de retracer la chaine décisionnelle afin d'en mesurer la conformité. En l'état, plusieurs initiatives existent sur ce sujet, même si elles se situent à des degrés de développement différents selon les acteurs. En effet, les autorités de contrôle ont abordé cette question de la transparence sous l'angle de groupes de travail ou de débat public afin de mieux en cerner les contours. En ce sens, la CNIL a lancé une réflexion sur les algorithmes à l'heure de l'intelligence artificielle et a, à cette occasion, appelé tous les acteurs et organismes (organismes publics, acteurs de la société civile ou encore les entreprises) à participer au débat. Le secteur de l'assurance a notamment contribué au débat par le biais de la Fédération Française de l'Assurance (FFA). À 49/97 l'issue du débat, la CNIL a notamment détaillé les limites du cadre juridique actuel, et a formulé un certain nombre de propositions afin de tendre à un équilibre entre le recours à l'intelligence artificielle et le respect des droits et libertés des personnes concernées. En outre, s'agissant plus spécifiquement du secteur de la finance et de l'assurance, l'ACPR a mis en place au début de l'année 2018 une task force rassemblant non seulement les professionnels du secteur (fédérations professionnelles, banques, assurances, fintechs, assurtechs), mais également les autorités publiques (AMF, CNIL, TRACFIUN, DGT) afin d'échanger sur les potentiels offerts par l'intelligence artificielle dans le secteur, mais également d'identifier les risques associés. C'est dans ce contexte que l'Autorité a publié le 1er juin 2020, un document de réflexion sur la gouvernance des algorithmes d'intelligence artificielle dans le secteur financier77. Le document, soumis à la consultation publique des acteurs du secteur, identifie deux axes d'étude : l'évaluation des algorithmes et des outils d'IA, ainsi que la gouvernance de ces outils. En l'état, la démarche proposée par l'ACPR est intéressante, puisqu'elle propose, s'agissant de l'explicabilité, de procéder selon une approche graduée en fonction des acteurs et des risques associés. Plus particulièrement, l'ACPR souligne que l'explicabilité est « une notion qu'il convient de replacer chaque fois dans un contexte particulier pour en préciser la finalité. Une explication du résultat ou du fonctionnement d'un algorithme peut s'avérer nécessaire pour les utilisateurs finaux (clients ou utilisateurs internes) ; dans d'autres cas, elle sera destinée aux responsables de la conformité et de la gouvernance de ces algorithmes. L'explication fournie peut ainsi viser à éclairer le client, à garantir la cohérence des processus dans lesquels des humains prennent des décisions, ou encore à faciliter la validation et la surveillance des modèles de machine learning ». Une telle démarche, si elle fait peser de nouvelles obligations aux entreprises du secteur (déjà soumises à un cadre règlementaire assez contraignant), présente toutefois plusieurs avantages. D'abord, elle permet de fournir un degré d'information différent selon les destinataires, ce qui est particulièrement pertinent s'agissant des clients, dont l'information se doit d'être claire, concise, compréhensible et adaptée (voir annexe 8). 77 ACP, Gouvernance des algorithmes d'intelligence artificielle dans le secteur financier, document de réflexion, Laurent Dupont, Olivier Fliche, Su Yang, juin 2020 50/97 Ensuite, en raisonnant par finalité, la démarche se rapproche du cadre actuel européen en matière de protection des données personnelles, et présente l'avantage de segmenter les différentes activités pour mieux cerner les risques associés. Enfin, l'objectif, s'il n'est pas explicitement détaillé, vise clairement à faire peser sur les acteurs du secteur une « obligation d'explications », et plus largement, à l'instar du cadre établi par le Règlement général sur la protection des données personnelles (RGPD), mettre en place une logique de responsabilisation des acteurs, qui doivent donc adopter une démarche active afin de garantir l'explicabilité des algorithmes. En l'état actuel des choses, l'ACPR constate par cette étude que seuls quelques acteurs du secteur financier ont commencé à aborder la question de l'explicabilité, de la détection et de la remédiation des biais pouvant exister. Et pour cause, puisque si les assureurs intègrent aujourd'hui des outils d'intelligence artificielle, ceux-ci restent pour l'heure limités, de sorte que la question éthique reste peu abordée. En ce sens, il faut souligner l'implication de certains acteurs du secteur. Par exemple, le 11 juin 2020, le groupe CNP Assurances, spécialisé dans l'assurance de personne, a annoncé la nomination de Xavier Vamparys en tant que responsable de l'éthique de l'intelligence artificielle, et la création d'un comité pluridisciplinaire éthique chargé de fixer les grandes lignes de conduite pour l'intégration et l'utilisation de l'intelligence artificielle78. De la même manière, AXA semble faire figure d'exemple en la matière. Le fonds AXA pour la recherche, créé en 2007, s'intéresse également aux thématiques liées à l'intelligence artificielle. Qu'il s'agisse de travaux expérimentaux, ou de guides de réflexion, force est de constater que la compagnie est très active sur le sujet79. Pour conclure, il apparait que le débat sur cette question n'est pour l'heure pas encore achevé. En effet, si l'intégralité des parties prenantes souligne les potentiels dégagés par cette nouvelle technologie, et la nécessité de garantir une transparence par l'explicabilité des algorithmes, il n'existe pour l'heure aucun cadre contraignant sur ce point. Les efforts fournis par l'intégralité des parties prenantes permettent d'esquisser les contours que doit revêtir l'utilisation de ces nouveaux outils, sans pour autant s'accorder sur les moyens pour y parvenir. gouvernance/#:~:text=Etre%20vigilante%20sur%20l'%C3%A9quit%C3%A9,outils%20et%20processus%20d'IA 79 https://www.axa-research.org/fr/news/IA-research-guide 51/97 S'il n'existe pas pour le moment de cadre réglementaire spécifique à l'intelligence artificielle, les mécanismes juridiques existants permettent de réglementer certains aspects liés aux procédés d'intelligence artificielle, sans pour autant constitués une réponse satisfaisante. Section 2. Une réglementation partielle de l'intelligence artificielle par le cadre juridique existant À l'étude du cadre juridique existant, il apparait que celui-ci semble dépassé par le développement de l'intelligence artificielle. Plus particulièrement, tant le RGPD (I) que les régimes de responsabilité traditionnels (II) n'offrent qu'une réponse partielle en matière de régulation. Cette incertitude est de nature à freiner le développement de solutions d'intelligence artificielle. I. Le RGPD, une réponse incomplète au développement de l'intelligence artificielle Entré en vigueur le 25 mai 2018, le Règlement général sur la protection des données du 27 avril 2016 (dit RGPD)80 vise à trouver un équilibre entre, d'une part, une économie de plus en plus digitalisée et fondée sur la collecte et l'exploitation des données, et d'autre part, la protection des libertés et droits fondamentaux des personnes concernées, en particulier leur droit à la protection des données à caractère personnel. Afin de parvenir à cet équilibre, et contrairement à la directive de 199581 qui imposait à tout responsable de traitement l'obligation de procéder à des formalités préalables auprès de l'autorité de contrôle nationale (déclaration, demande d'autorisation), le RGPD change fondamentalement de logique. En effet, fondé sur le principe d'accountability, le Règlement met en place un principe de responsabilité et de transparence à la charge de toute organisation traitant de données à caractère personnel. Ainsi, en contrepartie de la suppression des formalités initialement requises sous l'empire de la directive de 1995, les organisations doivent non seulement appliquer et respecter les obligations du Règlement, mais 80 Règlement (HE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE 81 Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. également de pouvoir être en mesure de démontrer leur conformité aux exigences du Règlement en traçant toutes les démarches. Ainsi, en vertu du Règlement, les responsables de traitement, et leur sous-traitant, sont notamment tenus aux obligations suivantes : - la nécessité de déterminer à l'avance les finalités de la collecte, - fonder ces finalités sur l'une des bases légales prévues à l'article 6 du Règlement, - ne collecter que les seules données nécessaires à la finalité visée, selon le principe de minimisation de la collecte de données, - déterminer une durée de conservation limitée des données traitées, - assurer la confidentialité, l'intégrité et la disponibilité des données collectées, - afin de garantir la transparence et la loyauté des opérations de traitement, le responsable de traitement doit fournir à la personne concernée une information claire, lisible, accessible et visible quelque soit le support de communication utilisé concernant l'opération de traitement de ses données, - informer la personne concernée des droits lui étant reconnus au titre du règlement. En outre, afin de préserver les données personnelles des personnes concernées et garantir les droits associés, le cadre organisé par le Règlement repose sur deux principes fondamentaux contenus à l'article 25. D'une part, le Règlement impose la protection des données dès la conception (privacy by design), qui suppose, dès la conception de projets impliquant la collecte et le traitement de données à caractère personnel, l'adoption des mesures spécifiques non seulement en lien avec une collecte et un traitement respectueux des droits des personnes concernées, mais également en lien avec la sécurisation de ces données82. D'autre part, le responsable de traitement est tenu d'assurer la protection des données par défaut (privacy by default), qui tend à s'appliquer une fois le produit ou service délivré au public. Dans ce cas, il suppose que les organisations assurent, par défaut (c'est-à-dire sans manipulation supplémentaire des personnes concernées), un niveau maximal de protection des données à caractère personnel. 52/97 82 https://donnees-rgpd.fr/definitions/privacy-by-design/ 53/97 Dans la pratique, il est clair que ce cadre s'applique aux assureurs, qui sont donc tenus de mettre en oeuvre ces différentes obligations afin d'assurer leur conformité au Règlement. En réalité, à l'étude du Règlement, force est de constater que le cadre actuel offre une réponse quant au recours à l'intelligence artificielle, par trois mécanismes distincts. D'une part, si le Règlement ne fait pas expressément référence au cas particulier de la collecte et du traitement réalisés à l'aide de procédés d'intelligence artificielle, il inclut ce type de traitement sous un terme plus générique : le traitement automatisé. Ainsi, aux termes de l'article 22 du Règlement, « la personne concernée a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l'affectant de manière significative de façon similaire ». Le texte encadre ces prises de décisions automatisées dès lors qu'elles produisent des effets juridiques ou ont des impacts significatifs sur les personnes concernées. La décision finale devra donc être prise par l'humain afin d'éviter que les individus ne subissent des choix émanant uniquement d'algorithmes. Ainsi en est-il lorsque l'assureur délègue l'analyse du risque et la détermination de l'assurabilité de ce risque à une intelligence artificielle. Dans ce cas, l'assuré pourrait légitimement invoquer cette disposition afin de faire échec à la décision découlant du recours à l'intelligence artificielle. Bien entendu, l'assureur n'est pas privé de toute possibilité. Il pourra légitimer le recours aux algorithmes d'intelligence artificielle, à condition d'obtenir le consentement explicite83 de la personne concernée, de justifier que le recours à ce procédé automatisé est rendu nécessaire à la conclusion ou l'exécution du contrat, ou encore que le recours soit autorisé par une disposition légale européenne ou nationale. Toutefois, il est nécessaire de préciser que le Règlement est assez réticent à l'égard de ce type de traitements. Ainsi, s'il l'autorise sous certaines conditions, le Règlement prévoit ce que certains auteurs qualifient de « filet de sécurité » visant à protéger les droits des personnes concernées en la matière. Dès lors, le responsable de traitement (dont les assureurs qui traitent des données à grande échelle) sera notamment tenu de procéder à des analyses d'impact en la matière afin de déterminer le risque pesant sur les droits et libertés des personnes concernées, mais surtout, d'établir des garanties qui puissent permettre de limiter au maximum l'impact sur ces droits et libertés. 83 Le terme « explicite » présente dans ce contexte une importance particulière puisqu'à l'instar du traitement concernant les données dites sensibles prévues à l'article 9 du Règlement, ce consentement doit non seulement être libre, éclairé, spécifique, univoque et révocable, mais doit également être donné d'une façon incontestable (soit d'une manière qui ne permettre aucune mauvaise interprétation). D'autre part, l'assurance de personne est susceptible de traiter plus fréquemment de données dites sensibles. Au sens de l'article 9 du Règlement, sont considérées comme sensibles les données qui révèlent « l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques (...), l'appartenance syndicale », ainsi que les données biométriques, les données concernant la santé ou celles concernant la vie sexuelle ou l'orientation sexuelle des personnes concernées. À cet égard, le Règlement pose un principe d'interdiction de la collecte de ces données, avec toutefois la possibilité pour le responsable de traitement de déroger à cette interdiction lorsqu'il justifie de l'une des situations exposées au même article. Sans rentrer dans le détail de ces dispositions, le régime applicable à ces données particulières offre naturellement à l'assuré des garanties supplémentaires quant à l'utilisation faite par l'assureur dans le cadre de procédés automatisés de prise de décision. Cependant, si le Règlement offre des moyens de protection à la personne concernée, il faut toutefois tempérer ces propos dans la mesure où le Règlement n'offre qu'une réponse partielle au recours à l'intelligence artificielle dans le secteur de l'assurance. D'abord, il faut rappeler que le Règlement ne concerne que les données à caractère personnel. En ce sens, les standards fixés dans le Règlement concernent uniquement cette catégorie de données, et établit comme fil conducteur la protection des données dès la conception et par défaut. Or, comme nous l'avons vu précédemment, l'un des enjeux en matière d'intelligence artificielle reste l'éthique. Et à cet égard, si les principes prévus par le Règlement constituent un point de départ en matière de régulation de l'intelligence artificielle, il est nécessaire que ce cadre soit complété par une législation spécifique à l'intelligence artificielle intégrant des standards d'éthique par défaut et dès la conception. Ensuite, se pose la question des objectifs poursuivis au titre des politiques publiques et économiques. En effet, le 19 février dernier, la Commission européenne a dévoilé sa nouvelle stratégie du numérique pour les années à venir84. Pour faire de l'Europe un acteur majeur et fiable du numérique, la stratégie entend s'appuyer sur deux axes majeurs : la création d'un espace européen des données (dans lequel doit prévaloir la libre circulation de ces données), et le développement de l'intelligence artificielle d'autre part. Ainsi, si le développement de l'intelligence artificielle constitue la pierre angulaire de la stratégie de l'Union européenne, et que l'intelligence artificielle doit profiter de données de qualité pour produire des résultats probants et fournir des services à forte valeur ajoutée, la multiplication 54/97 84 https://ec.europa.eu/commission/presscorner/detail/fr/ip_20_273 des règles visant à créer un filet de sécurité au profit des personnes concernées pose la question de la compatibilité des objectifs. En ce sens, pour que l'Europe puisse s'imposer comme un acteur mondial en matière d'intelligence artificielle, il est certes nécessaire de garantir les droits et libertés des personnes concernées contre les intrusions disproportionnées dans la sphère intime des individus, mais il ne faudrait pas que l'impératif de protection des droits et des libertés mènent à une surrèglementation qui aboutirait à une exclusion systématique du recours aux algorithmes d'intelligence et qui pourtant présente des perspectives de croissance et d'opportunités économiques sur le long terme. L'usage de l'intelligence artificielle suscite des débats quant à la transposition des règles de la responsabilité à l'intelligence artificielle. En matière d'assurance, ces incertitudes s'expriment de deux façons. D'une part, une première incertitude concerne la responsabilité de l'assureur lorsqu'il utilise des procédés d'intelligence artificielle causant un dommage à l'un de ses assurés. D'autre part, se pose la question du portage risque à l'assurance lorsqu'une intelligence artificielle est à l'origine de dommages subis par un tiers. II. L'intelligence artificielle à l'origine de nouvelles logiques de responsabilité Rappelé par le Conseil de l'Europe, le principe de responsabilité est fondamental, tant il permet l'équilibre entre d'une part, la liberté individuelle d'opérer selon ses propres choix, de prendre ses propres décisions et d'effectuer ses propres actions en toute autonomie et d'autre part, de répondre des dommages causés aux autres du fait des actions entreprises au titre de la liberté individuelle reconnue. Dans ce contexte, cette règle vise à assurer le respect mutuel et la discipline collective des membres d'une communauté85. En l'état actuel, à l'étude du cadre applicable, il convient d'ores et déjà de faire le constat suivant : il n'existe actuellement aucun régime juridique propre à l'intelligence artificielle en matière de responsabilité civile. En ce sens, le cadre actuel n'est pas sans poser de nouvelles interrogations quant à l'applicabilité des régimes de responsabilités traditionnels. En effet, suivant le principe de responsabilité civile, chacun est tenu de réparer les dommages causés à autrui, et on ne pourrait d'ailleurs comprendre qu'il en aille autrement 55/97 85 https://rm.coe.int/responsability-and-ai-fr/168097d9c6 56/97 s'agissant des dommages causés par recours à l'intelligence artificielle. À l'heure actuelle, le droit ne semble répondre que partiellement à cette question. Les réponses apportées en ce sens semblent différer selon qu'il s'agisse d'une IA symboliste (dite faible) ou connexionniste (dite forte), ou encore d'une IA dite incarnée ou désincarnée. En ce sens, s'agissant des intelligences artificielles dites incarnées, les régimes de la responsabilité civile du fait des choses et de la responsabilité du fait des produits défectueux sont applicables aux dommages causés à autrui, notamment en raison du caractère indissociable de l'IA à l'objet, son support. Mais les choses sont différentes s'agissant des intelligences artificielles désincarnées, en l'absence de support matériel. Dans ce contexte, les régimes juridiques existants ne sont pas applicables, de sorte qu'il existe un vide juridique sur ce point. Afin de pallier ce vide juridique existant en la matière, plusieurs pistes ont toutefois été évoquées. La première serait de s'appuyer sur la notion de garde dans le cadre du régime commun de la responsabilité civile. Toutefois, cette notion semble inadaptée puisque la garde suppose que le gardien dispose du pouvoir de direction, de contrôle et d'usage. Or, dans un contexte où les intelligences artificielles développées visent justement à s'émanciper et s'autodéterminer, le créateur ne dispose plus réellement du contrôle, de l'usage et de la direction sur l'intelligence artificielle. C'est justement ce que retient Stéphane Larrière, DPO du groupe Essilor, précisant ainsi que « la capacité d'auto-détermination de l'intelligence artificielle et sa marge d'indétermination qui en découle vis-à-vis de l'homme, la font échapper purement et simplement au champ de la responsabilité civile, sans qu'il soit même besoin de s'interroger plus avant sur son incorporalité... Si Siri à la question de sa responsabilité civile bloque sur un « sans commentaires », c'est que par un défaut de fondement, elle n'a juridiquement aucune réponse à apporter : sa responsabilité civile est un bogue ! ». La deuxième piste viserait à la création d'un statut juridique propre à l'intelligence artificielle, à mi-chemin entre la chose et l'animal, avec un régime de responsabilité propre. Néanmoins, on pourrait y voir deux inconvénients sur ce point. 57/97 D'une part, la création d'un statut juridique et d'un régime de responsabilité propres à l'intelligence artificielle posent la question de l'applicabilité de ce nouveau régime de responsabilité. En effet, l'intelligence artificielle n'est pas une personne, et ne dispose donc pas d'un patrimoine. D'un point de vue purement pragmatique, cette situation pose la question de la charge finale de la réparation. En tout état de cause, si un nouveau statut juridique est créé, c'est justement pour éviter de faire peser la charge de la réparation sur le concepteur, qui par nature ne peut être tenu pour responsable des agissements et décisions d'une intelligence artificielle qui s'auto-détermine. Ainsi, l'une des pistes retenues serait de soumettre ces intelligences artificielles à un régime d'assurance obligatoire. Cette situation conduirait donc à faire peser sur les assureurs la prise en charge de la réparation des préjudices causés aux tiers du fait des agissements ou décisions des intelligences artificielles. Cette situation pose tout de même un certain nombre de questions, s'agissant notamment de l'assurabilité de ces risques, la charge potentielle pesant à ce titre sur les assureurs, l'étendue des obligations des assurances en la matière en cas de survenance d'un tel sinistre. En ce sens, ce mécanisme questionne quant à la place que doit non seulement occuper les intelligences artificielles autonomes dans nos sociétés, mais également le rôle que doivent supporter les assureurs dans cette évolution. Quoiqu'il en soit, en l'état actuel, les solutions semblent multiples et aucune réponse n'a pour l'heure été apportée sur ce point. Néanmoins, à l'étude du cadre actuel, il faut souligner que des mécanismes de réassurance et des fonds d'indemnisation spécifiques existent déjà pour des sinistres spécifiques, comme en témoignent le fonds de garantie des victimes des actes de terrorisme ou le fonds de prévention des risques naturels majeurs (FPRNM), aussi appelé fonds Barnier. Dans ce contexte, un statut spécifique pourrait être accompagné d'un régime d'indemnisation spécifique, à l'instar des deux précédemment cités, dont le financement serait réparti entre plusieurs acteurs. D'autre part, la création d'un statut juridique autonome reconnu à l'intelligence artificielle conduirait à un effet inverse de l'objectif recherché actuellement. En effet, les travaux actuellement menés par la Commission européenne et le Conseil de l'Europe tendent à retenir une logique d'accountability qui vise à une responsabilisation accrue des développeurs d'intelligences artificielles en matière d'éthique. Or, l'une des interrogations s'agissant de la création d'un statut spécifique de l'intelligence artificielle concerne justement l'effectivité d'une logique d'accountability dans un contexte où le développeur ou fabricant sait qu'il ne pourrait potentiellement plus être recherché du fait des agissements ou décisions issus de son intelligence artificielle. Enfin, une troisième approche plus nuancée viserait à créer un cadre de responsabilité partagée entre le concepteur, l'utilisateur et le fabricant. Présentant l'avantage d'inclure tous les acteurs dans le processus d'indemnisation, il risque toutefois de faire peser sur le fabricant ou le développeur une part de responsabilité qui pourrait être contestable dans les cas où les défaillances résultent du pur fait de l'intelligence artificielle, et non d'un défaut de fabrication. En tout état de cause, dans le cadre de la réforme du cadre juridique de la responsabilité civile actuellement en discussion, le projet de loi actuellement retenu ne prévoit rien concernant ce point86, de sorte que le sujet semble loin d'être tranché pour l'heure. Afin de pallier les divers aléas pouvant surgir à l'occasion de l'intégration des outils d'intelligence artificielle, et de permettre de prendre en considération l'intégralité des éléments nécessaires à une intégration réussie de ces nouveaux outils, il est nécessaire pour les acteurs du secteur de l'assurance d'adopter une véritable gouvernance de l'intelligence artificielle, préalablement à son déploiement. 58/97 artificielle-le-rapport-de-la-cour-d-appel-de-paris-refuse-de-se-prononcer 59/97 |
|
