Le présent article a pour objectif de faire un inventaire des problématiques juridiques suscitées par l’émergence de l’IA souvent bien méconnues par les principaux acteurs de l’innovation et d’envisager les pistes réflexions prospectives.
1. Une violation du droit d’auteur.
Certainement le grief le plus connu de tous, tant le nombre de plaintes pour violation du droit d’auteur se multiplie ces derniers mois s’agissant d’outils impliquant de l’IA. En témoigne les nombreux contentieux, parfois de masse, mettant en cause l’entreprise OpenAI accusée d’avoir utilisé des milliards de contenus protégés, sans autorisation.
Il est essentiel de comprendre que l’utilisation de contenus protégés sans autorisation soulève des questions sur la valeur des contenus et la manière dont ils sont utilisés par les entreprises d’intelligence artificielle, c’est-à-dire avec ou sans intervention humaine.
L’argumentaire en défense de OpenAI se base sur la théorie du “fair use”, estimant que l’utilisation de contenus protégés sans autorisation est justifiée par la recherche et le développement de son modèle de langage. Alors que certains s’inquiètent de l’effet dissuasif sur l’industrie d’une telle condamnation d’OpenAI, l’entreprise a annoncé il y a quelques jours une levée historique de 6,6 milliards de dollars, valorisant l’entreprise à plus de 157 milliards de dollars.
Nous dirigerons nous vers l’évaluation systématique et généralisée des bénéfices/risques des projets IA similaires à ce qui existe dans l’industrie de la "fast fashion" avec l’allocation de budgets préplanifiés pour la gestion des contentieux ?
Une proposition de loi a été présentée le 12 septembre 2023 visant à encadrer l’intelligence artificielle par le droit d’auteur.
Au sein de cette proposition de loi, plusieurs mesures sont à l’étude, notamment :
- La création d’une mention “œuvre générée par IA” avec l’obligation d’insérer le nom des personnes ayant permis d’aboutir à une telle œuvre.
- Pour toute œuvre créée par une IA sans intervention directe humaine, la titularité des droits reviendrait aux “auteurs ou ayants droit des œuvres qui ont permis de concevoir ladite œuvre artificielle.”
Reste à déterminer ce que vise exactement une œuvre créée par une « IA sans intervention directe humaine », car outre-Atlantique l’office de protection a refusé d’accorder la protection au titre du droit d’auteur à une œuvre créée à l’aide de Midjourney malgré l’usage de plus de 600 invites textuelles et un premier prix remporté lors d’un concours d’art. La cour fédérale du Colorado a été saisie de cette décision [2]. Son jugement sera assurément l’un des plus attendus dans les prochains mois.
2. Une atteinte au droit sui generis base de données.
Au cœur du fonctionnement de toute IA, se trouve la donnée ou plutôt de larges bases de données. Avec l’adoption de l’IA Act et la consécration des notions d’explicabilité et de transparence algorithmique, il va falloir indiquer :
- comment l’IA fonctionne,
- quelles données sont utilisées en inputs,
- quelles sont les règles qui gouvernent la prise de décision.
La vigilance est donc de mise s’agissant des bases de données utilisées en amont.
Protégé en France par l’article L342-1 et L342-2 du Code de la propriété intellectuelle, le producteur de base de données dispose de moyen d’action pour empêcher l’extraction et l’utilisation de celle-ci. Précision, il peut s’agit de la totalité ou d’une partie qualitativement ou quantitativement substantielle du contenu d’une base de données.
La saga Leboncoin a démontré qu’il était de plus en plus aisé de se prévaloir d’un droit sui generis s’agissant des bases de données. En effet, il ne fait plus aucun doute que celles-ci nécessitent des investissements non négligeables pour leur constitution, leur organisation et leur maintien.
Il existe bien l’exception de fouille à des fins de recherche scientifique qui peut être un argument pour la réutilisation des bases de données, cependant son périmètre est actuellement strictement limité à certains acteurs [3]. À défaut, il est nécessaire que les données utilisées soient obtenues de manière licite et de s’assurer que le titulaire des droits de propriété intellectuelle ne s’y est pas opposé.
Critères difficiles à réunir vu la facilité avec laquelle les données sont de nos jours obtenues à l’aide d’un mode opératoire nommé web scraping (« moissonnage des données »).
3. Un délit pénalement répréhensible.
Beaucoup d’acteurs de l’innovation ont du mal à croire que des poursuites pénales pourraient être engagées dans le cadre d’utilisation d’outils à base d’IA.
Toutefois, il n’est pas rare dans ce type de projet que soit mis en place des moyens techniques d’extraction de contenu des sites Internet à des fins de constitution de base de données d’entraînement. C’est en cela que pourraient être retenus les délits suivants :
- d’entrave au fonctionnement d’un système de traitement automatisé de données (article 323-2 du Code pénal) ;
- d’extraction, de détention, de reproduction et de transmission de données contenues dans un système de traitement automatisé de données (article 323-3 du Code pénal) ;
- de détention d’un programme informatique spécialement conçu pour commettre une atteinte aux systèmes de traitement automatisé de données (article 323-3-1 du Code pénal) ;
- d’association de malfaiteurs informatiques (article 323-4 du Code pénal).
Une jurisprudence reste de référence en la matière et dont on peine à savoir si la solution sera à nouveau entérinée par les tribunaux, il s’agit de l’arrêt impliquant le site Weezevent [4] et qui prévoit que :
« Les données copiées et tirées du site Weezevent étaient certes accessibles au public mais par la façon automatisée et sélective de procéder, cela a entraîné l’extraction importante de 44 380 fichiers dont 7 779 étaient retrouvés sur le site de M. X. soit environ 16 % des données du site victime sachant que ces données ne pouvaient être extraites sans autorisation expresse de Weezevent. Or, M. X. a agi à l’insu du directeur du site Weezevent par des moyens techniques conçus à cet effet par l’appelant ».
Dans cette affaire, la cour se fonde explicitement sur les conditions générales d’utilisation (CGU) du site qui interdisaient textuellement l’utilisation sans accord du contenu du site.
Cela signifie que pour pouvoir scrapper les données des sites Internet à des fins d’entraînement des modèles, les fournisseurs de systèmes d’IA ne doivent s’assurer de l’absence :
- de dispositifs de protection existants, exemple un accès restreint par un compte utilisateur,
- de mention dans les conditions générales d’utilisation (CGU) et/ou mentions légales du site Internet interdisant l’extraction des données.
4. Des manquements au règlement général sur la protection des données (RGPD).
Comme pour toute technologie, l’IA est également soumise au respect des prérequis liés à la définition de bases légales appropriées, de finalités exactes, au respect du principe de minimisation des données, le tout associé à des durées de conservation conformes, etc.
Cependant, ces questions se présentent avec une complexité majeure dès qu’il s’agit d’IA. En effet, techniquement, tous les services d’IA qui collectent des données en ligne sont potentiellement en infraction vis-à-vis du RGPD, car il est très peu probable que le consentement des internautes européens ait été obtenu.
Alors que le déploiement de la solution IA Pathways Language Model 2" (PaLM 2) de Google a été suspendu en Europe pour cause d’une enquête diligentée par l’autorité irlandaise au nom de l’Union Européenne la question de compatibilité de l’IA générative et du RGPD se pose avec acuité.
L’enquête doit déterminer "si Google a respecté les obligations qu’elle aurait pu avoir" et de réaliser "une étude d’impact" destinée à garantir la protection "des droits et libertés fondamentaux des individus", indique la Commission irlandaise.
Bien que nous ne disposions à ce jour pas encore des réponses aux oppositions qui peuvent se manifester entre les principes du RGPD et le marché de l’innovation on comprend aisément le message adressé par l’autorité de protection irlandaise. Il est plus que jamais nécessaire de documenter toutes les démarches et réflexions liées à la conformité RGPD que tous les fournisseurs de services IA doivent désormais initier.
5. Un acte de parasitisme économique.
Le parasitisme économique est une notion issue de la concurrence déloyale qui recouvre « les comportements par lesquels un agent économique s’immisce dans le sillage d’un autre afin de tirer profit, sans rien dépenser, de ses efforts et de son savoir-faire ».
Le grief le moins invoqué, c’est pourtant le plus évident. En effet, beaucoup de créateurs de solutions impliquant l’IA, notamment de chatbots sont de plus en plus accusés d’utiliser sans rétribution des contenus créés par d’autres. D’une part ce modèle économique prive les créateurs de contenus initiaux de trafic et d’éventuels revenus publicitaires, d’autre part, la monétisation de ces données ne profite alors qu’à la seule entreprise qui commercialise l’IA.
En ce sens, la société Perplexity AI a annoncé la mise en place d’un modèle permettant de rémunérer les médias, dont son moteur de recherche fait usage pour répondre à des requêtes. Plus précisément, il est prévu que seuls les revenus publicitaires soient partagés.
Cela fait quelques années que le fondement du parasitisme est de plus en plus invoqué en matière de logiciel, nul doute l’IA représente désormais un terreau fertile pour de futurs contentieux en la matière.
En attendant, les dernières déclarations du mois de septembre de l’entreprise OpenAI devant la chambre des Lords confirment le fossé concurrentiel qui émerge entre les entreprises qui jouent la carte de la sécurité en Europe et celles qui repoussent les limites ailleurs…
