IA et sécurité juridique : les enjeux clés pour les entreprises suisses
L’intelligence artificielle est devenue une réalité dans le quotidien des entreprises. Si les entreprises bénéficient d’un gain d’efficacité et de nouveaux modèles d’affaires, une certaine pression pour éviter les pièges juridiques se fait sentir. Dans cet article de blog, découvrez comment concilier les risques en matière de responsabilité, les exigences en matière de protection des données et la loi européenne sur l’IA (AI Act) avec les stratégies des entreprises suisses.
L’intelligence artificielle transforme rapidement le monde des affaires. Mais là où se trouvent les possibilités d’amélioration de l’efficacité et d’innovation se cachent aussi des incertitudes juridiques : des questions de responsabilité concernant la protection des données aux exigences réglementaires internationales telles que l’AI Act européen. Pour les entreprises suisses, la question suivante se pose : comment mettre en œuvre et documenter les systèmes d’IA en toute sécurité juridique et les intégrer à long terme dans la stratégie de conformité ? Dans notre entrevue avec Thomas Kuster, avocat au sein du cabinet suisse LEXR spécialisé dans les technologies, nous abordons les questions les plus urgentes concernant l’utilisation de l’IA dans les entreprises suisses. Il nous donne des informations sur les incertitudes auxquelles les entreprises sont le plus confrontées en matière d’IA et sur l’évolution des questions au cours des dernières années.
Comment ont évolué les questions relatives à l’IA ces dernières années dans le contexte de votre métier ?
Thomas Kuster : Au départ, il n’y avait pratiquement pas de questions spécifiques à l’IA dans le cadre de ma pratique. Les entreprises ont abordé la question juridique des systèmes d’IA de manière similaire aux autres systèmes logiciels. La seule particularité était peut-être l’accent mis sur des thèmes tels que le scraping et le sourcing de données, c’est-à-dire la question de savoir d’où proviennent les données et si leur utilisation est autorisée. Les clients étaient aussi intéressés aux procès liés au droit d’auteur, comme celui opposant le New York Times à OpenAI, mais comme très peu d’entreprises avaient entraîné elles-mêmes leurs propres modèles, tout cela n’était en pratique que très peu pertinent.
Ça a beaucoup évolué ces deux dernières années. On retrouve aujourd’hui beaucoup plus de thèmes relatifs aux questions réglementaires, en particulier en ce qui concerne l’AI Act européen et ses répercussions sur les entreprises suisses. Dans les négociations de contrats avec les grandes entreprises, on retrouve de plus en plus de clauses spécifiques à l’IA, que ce soit sous la forme d’accords complémentaires relatifs à la responsabilité ou à l’attribution juridique des données d’entrée et de sortie. On remarque que le discours a glissé des questions générales concernant le logiciel vers des thèmes plus spécifiques à la régulation et à la conformité.
Dans quelle direction évoluent les incertitudes juridiques auxquelles les entreprises sont actuellement confrontées ?
Les réglementations internationales ont clairement gagné en importance. L’AI Act européen prévoit un délai de mise en œuvre court, alors que de nombreux détails et lignes directrices manquent encore. Les entreprises savent donc qu’elles doivent agir, mais ne savent pas exactement comment.
Aux États-Unis, des approches parallèles voient le jour au niveau fédéral et au niveau des états, ce qui crée une grande incertitude pour les entreprises actives à l’international.
Le Data Act est souvent sous-estimé ; il redéfinit l’accès aux données et leur utilisation. Étant donné que les données constituent la base de la plupart des systèmes d’IA, le Data Act est en pratique étroitement lié à l’AI Act.
📌 « En cas de litige ou d’inspection réglementaire, de tels documents permettent à une entreprise de prouver qu’elle utilise l’IA de manière responsable ».
Quels documents techniques les entreprises doivent-elles conserver pour pouvoir prouver l’utilisation de l’IA lors de contrôles judiciaires ou de conformité ?
En Suisse, il n’y a que peu de dispositions juridiques contraignantes spécifiques à l’IA. La situation est toutefois différente en cas d’applicabilité de l’EU AI Act : ici, des obligations impératives sont prévues selon le rôle de l’entreprise et l’évaluation des risques posés par l’IA utilisée.
Les entreprises qui documentent proprement leurs processus techniques ont généralement un avantage certain en cas de contrôle. C’est pourquoi je conseille de s’orienter sur les normes ISO généralement acceptées, comme la norme ISO 42001 concernant les systèmes de gestion de l’IA.
Ce qui est avant tout important est de documenter de manière compréhensible le domaine d’application de l’outil, son fonctionnement et les données utilisées. Cela comprend aussi le fait de consigner l’origine et la légalité des données ainsi que les tests relatifs à la précision, aux biais et à la sécurité et de représenter de manière exhaustive les étapes de développement du système. De plus, la classification des risques prévue par l’AI Act ainsi que les mesures de conformités en découlant doivent également être minutieusement documentées. Les contrats avec des fournisseurs et les directives internes devraient également être intégrés à ce dossier.
En cas de litige ou d’inspection réglementaire, de tels documents permettent à une entreprise de prouver qu’elle utilise l’IA de manière responsable. Cela ne réduit pas seulement les risques juridiques, mais permet aussi de renforcer la crédibilité vis-à-vis de l’extérieur.
Quelles sont les exigences de la loi suisse sur la protection des données concernant la journalisation (données d’audit) dans le contexte des systèmes d’IA ?
Il n’existe aucune spécification concernant l’IA dans la loi suisse sur la protection des données, mais il y a des obligations de documentation qui doivent également être prises en compte lors de l’utilisation de l’IA. De mon point de vue, la documentation en matière de droit de la protection des données commence fondamentalement par la politique de confidentialité et les contrats de traitement des commandes. Les entreprises se doivent d’être transparentes sur la manière et le but du traitement des données personnelles et s’assurer que les prestataires externes sont contractuellement tenus de respecter les mêmes exigences.
C’est sur cela que repose le registre des activités de traitement. Il montre quelles données sont traitées dans le système d’IA, par qui, pendant combien de temps et dans quel but.
Lorsqu’un système d’IA présente un risque élevé pour le droit des personnes, une analyse d’impact relative à la protection des données est également nécessaire. Ce document examine et documente les risques existants et les moyens de les réduire. Et dès que des données sont transmises dans des pays en dehors de la Suisse ou de l’Union européenne, un Transfer Impact Assessment peut être nécessaire afin de vérifier le caractère adéquat du niveau de protection des données.
En complément, les principes de Privacy by Design et Privacy by Default s’appliquent. Ceux-ci doivent être observés et documentés dès le développement. On obtient ainsi un cadre clair : les entreprises doivent à tout moment pouvoir fournir des preuves sur ce que leur système d’IA fait, avec quelles données il travaille et comment les risques sont contrôlés.
Dans quelle mesure les approches non contraignantes telles que des lignes directrices sur l’éthique ou des standards concernant la transparence contribuent-elles à la gouvernance de l’IA ?
Je suis plutôt sceptique concernant les approches non contraignantes telles que des lignes directrices internes sur l’éthique ou des normes concernant la transparence. Elles restent bien souvent lettre morte dans de nombreuses entreprises : elles sont créées, mises dans l’intranet, puis oubliées. Le risque est de se perdre dans des principes qui sonnent bien, sans que cela fasse vraiment une différence dans la pratique.
Toutefois, de telles approches peuvent être utiles, surtout lorsqu’elles aident à remplir des exigences de conformité. Les standards de transparence ou les processus documentés qui peuvent servir de preuve dans le cadre de l’AI Act en sont de bons exemples. Les lignes directrices peuvent également être utiles dans le cadre de formations ou comme base pour les règles de responsabilité.
Pour moi, ce qui est important c’est que les approches non contraignantes ne deviennent pas une fin en soi. Les lignes directrices n’ont d’effet que si elles sont intégrées dans des processus existants et réellement appliquées par les collaboratrices et collaborateurs. Sinon, elles ne restent que symboliques.
D’un point de vue juridique, est-ce qu’il est nécessaire de déclarer l’utilisation de l’IA par exemple aux clients ou aux autorités de contrôle ?
Il n’existe pas en Suisse d’obligation généralisée de déclarer d’utilisation de l’IA. Dans certaines constellations, la transparence est cependant obligatoire. C’est le cas par exemple dans le cas de la surveillance des collaboratrices et collaborateurs : les entreprises doivent dire quels systèmes techniques sont utilisés pour le contrôle. Même dans le cas de décisions entièrement automatisées en matière de protection des données, il existe une obligation d’information : les personnes concernées doivent être informées lorsqu’une décision est prise sans intervention humaine et elles ont le droit de demander qu’une vérification soit effectuée par une personne.
De plus, certains domaines sensibles comme les services financiers ou la santé sont soumis à des exigences supplémentaires. Il peut être alors obligatoire de déclarer l’utilisation de l’IA aux autorités de surveillance ou aux clients.
📌 « Alors que l’Union européenne crée avec l’AI Act un cadre juridique uniforme relativement détaillé, la Suisse reste neutre en matière de technologie et de concurrence. »
Où se situe l’ordre juridique de la Suisse dans le contexte européen, en particulier par rapport à l’AI Act ?
La législation suisse est bien moins stricte que celle de l’UE et mise délibérément sur une approche sectorielle. Alors que l’Union européenne crée avec l’AI Act un cadre juridique uniforme relativement détaillé, la Suisse reste neutre en matière de technologie et de concurrence. Il me semble jusqu’à présent que l’AI Act sera bien moins décisif pour la plupart des entreprises que le règlement général sur la protection des données, par exemple, parce qu’il est beaucoup plus axé sur les risques.
À votre avis, est-il nécessaire d’adopter des dispositions législatives spécifiques en Suisse analogues à celles prévues par l’AI Act ?
Je ne vois actuellement aucune nécessité à l’introduction d’une législation suisse spécifique à l’IA analogue à l’AI Act. L’approche du conseil fédéral me convainc : une réglementation sectorielle et basée sur des principes qui reste neutre en matière de technologie et de concurrence. C’est conforme à l’ordre juridique suisse et évite une réglementation excessive.
Je pense toutefois qu’il est nécessaire d’adapter certaines lois existantes afin de renforcer la position de la Suisse dans le domaine de l’IA. En matière de droit d’auteur, par exemple, il serait utile de réglementer plus clairement l’utilisation des données pour l’entraînement des systèmes d’IA, mais une politique d’interdiction telle que celle proposée récemment par le Conseil des États est à mon sens clairement une mauvaise approche.
Avec de telles adaptations ciblées, on atteindrait une sécurité juridique sans freiner la force d’innovation de l’économie suisse par une loi trop contraignante.
📌 « Le thème de la responsabilité du fait des produits sera certainement passionnant : lorsque l’IA est intégrée aux produits, la question se pose de savoir quand les fabricants doivent être tenus responsables de décisions erronées ou de dommages. »
Quelles sont les différences en matière de protection des données entre les modèles d’IA privés (sur site) et publics (p. ex. ChatGPT) ?
Il y a une grande différence entre un modèle exploité à titre privé et un modèle géré par un fournisseur public. Dans le cas de modèles sur site, l’entreprise garde le plein contrôle des données et de leur traitement. Dans le cas de modèles publics ou hébergés par un tiers, un responsable du traitement des commandes est mandaté, ce qui entraîne d’autres obligations en matière de protection des données.
Dans la pratique, cela n’a toutefois que peu d’importance, car rares sont les entreprises qui souhaitent et peuvent exploiter leurs propres modèles à grande échelle. Ce qui est déterminant, c’est la manière dont les modèles hébergés en externe sont mis en œuvre. Il y a une grande différence si j’utilise une API ouverte comme celle d’OpenAI ou si j’intègre le même service via un fournisseur tel qu’Azure OpenAI Services avec des serveurs en Suisse. Il est donc essentiel que les entreprises vérifient minutieusement comment les données sont traitées, stockées et sécurisées.
À quelle évolution vous attendez-vous dans la jurisprudence suisse en matière de responsabilité civile liée à l’IA au cours des deux à trois prochaines années ?
Dans les deux à trois prochaines années, je m’attends à ce qu’il n’y ait pas encore beaucoup de décisions judiciaires concernant la responsabilité en matière d’IA en Suisse. Cette technologie s’est certes déjà imposée dans notre quotidien, mais les litiges réellement pertinents en matière de responsabilité restent encore à venir. Le thème de la responsabilité du fait des produits sera certainement passionnant : lorsque l’IA est intégrée aux produits, la question se pose de savoir quand les fabricants doivent être tenus responsables de décisions erronées ou de dommages.
Dans de nombreux cas, c’est l’utilisateur qui restera encore toujours responsable, par exemple lorsque les entreprises utilisent l’IA sans suffisamment de contrôle. En tant qu’avocat, je ne peux par exemple pas invoquer le fait que ChatGPT m’ait fait halluciner une jurisprudence.