Responsabilité des algos : à qui la faute ?
⏱ 6 minResponsables, transparents, explicables … autant de qualités que l’on attend des algorithmes pour pouvoir les mettre en œuvre en toute confiance, y compris dans des applications critiques. Le premier article de ce dossier fait le point sur la responsabilité des algorithmes, notion qui soulève encore de nombreuses questions éthiques et juridiques même si les algorithmes, en soi, sont bien encadrés par le droit français. Sans pour autant que cette législation ne soit facile à mettre en œuvre.
Pourquoi certains algorithmes posent-ils de nouveaux problèmes juridiques ? Parce qu’ils ouvrent de nouvelles possibilités, suscitant de nouveaux risques et de nouveaux problèmes éthiques (comme ceux de la voiture autonome), et que leur coté immatériel les rend difficilement qualifiables juridiquement. « De fait, le droit trace la frontière entre le licite et l’illicite. Mais le progrès technologique ouvre de nouveaux espaces de possible et cette frontière doit être sans cesse prolongée, explique Victor Demiaux, conseiller de la présidente de la CNIL de 2015 à 2018, coordinateur du rapport sur les enjeux éthiques des algorithmes et de l’intelligence artificielle, publié en décembre dernier. Face aux machines capables aujourd’hui de prendre des décisions critiques, selon un processus jugé impossible jusque-là, le politique a besoin d’une réflexion d’experts, notamment en éthique, pour adapter l’arsenal juridique. » Nathalie Nevejans, spécialiste en droit et éthique de la robotique à la Faculté de droit de Douai, souligne que ce mélange de droit et d’éthique date des années 90 avec la procréation médicalement assistée et les transplantations d’organes, autant de nouvelles possibilités offertes grâce à la technique que le législateur a tenu à encadrer par les premières lois bioéthiques (29 juillet 1994).
La loi existe mais elle est difficile à mettre en œuvre
Où en est la loi, concernant les algorithmes ? « En France, on ne peut pas dire qu’ils ne soient pas encadrés juridiquement », affirme Victor Demiaux. En particulier, deux dispositions de la loi Informatique et Libertés de 1978 posent respectivement, depuis 40 ans déjà, le principe d’interdiction de décision sur le seul fondement d’un algo et le droit à une explication en cas de décision prise par un algo. La loi pour une République numérique (2016) et le règlement général pour la protection des données personnelles (RGPD) qui entrera en application en mai 2018 (voir notre article sur le sujet) ont renforcé ce cadre. C’est désormais à l’Administration publique d’informer chacun sur la façon dont les algos traitent les données.
« Les principes généraux sont bien posés, le problème est de savoir comment mettre en œuvre le droit, tempère-t-il. A ce titre, la première difficulté est de s’assurer que c’est toujours l’humain qui prend la décision, que l’algo n’est qu’une aide à la décision parmi d’autres outils. » Les domaines les plus souvent cités dans ce cadre sont les algorithmes de justice (pour suggérer la jurisprudence, recommander des solutions de médiation voire prédire la chance de succès d’un procès) et de santé (pour suggérer des thérapies, repérer des prédispositions à des pathologies, aider au diagnostic). « Le risque de déporter une décision humaine vers l’algorithme (le Dieu machine !) existe bel et bien et il est difficile à évaluer », confirme Nathalie Nevejans.
Comment s’assurer de l’effectivité de l’intervention humaine ? Des instances de contrôle et de délibération pourraient être créées, suggère Victor Demiaux : « On pourrait imaginer une analyse de la décision prise toutes les 100 ou 1000 décisions, ou de façon aléatoire. » De tels comités éthiques sont amenés à se multiplier comme celui mis en place avec Parcoursup, la nouvelle plateforme d’orientation des étudiants qui remplace APB (Admission Post Bac) à laquelle on reprochait notamment un manque de transparence. Autre domaine bien encadré par la loi : l’interdiction des discriminations. Là encore, c’est la mise en œuvre qui est délicate. Comment détecter les discriminations, parfois invisibles comme ce biais sexiste révélé par des chercheurs de l’Université Carnegie Mellon et de l’International Computer Science Institute concernant la plateforme publicitaire Adsense de Google : les femmes se voyaient systématiquement proposer des offres d’emploi moins rémunérées à niveau similaire de qualification et d’expérience, simple reflet des inégalités sociales. La CNIL prône une vigilance collective, qui reste à inventer.
Qui est responsable ?
Au-delà de ces difficultés d’effectivité du droit, juridiquement, qui est responsable et doit réparer en cas de dommage ? La machine, les concepteurs de l’algorithme, ceux qui l’utilisent ? Cela dépend, notamment de l’algo… En soi, ce n’est pas nouveau de prendre des décisions sur la base d’informations délivrées par des algos dans des systèmes automatisés. Comme le rappelle la CNIL dans le rapport évoqué plus haut : il faut distinguer les algorithmes classiques de programmation qui servent à automatiser une tache comme faire tourner une machine à laver, des algorithmes d’apprentissage automatique (ou machine learning) qui pilotent des machines sans qu’elles aient été programmés, la machine écrivant elle-même les instructions qu’elle exécute. Dans le premier cas (algos déterministes ou symboliques), les critères de fonctionnement sont explicitement définis par leurs concepteurs (les taches successives sont décomposées en instructions transcrites dans un programme, le code source). Dans le cas des algorithmes d’apprentissage (ou apprenants), dits probabilistes, le système est entrainé pour apprendre à partir d’exemples. Cet apprentissage peut être supervisé (l’algo définit les règles à partir d’exemples fournis) ou non supervisé (l’algo élabore sa propre stratégie à partir des exemples).
« Le droit appréhende assez bien une machine programmée en termes de responsabilités, explique Valentine Baudouin, juriste au cabinet Kramer Levin. Les régimes de responsabilité du droit français comme la faute intentionnelleToutes les situations où une personne cause injustement un préjudice à autrui. ou non, la responsabilité du fait des choses« On est responsable non seulement du dommage que l’on cause par son propre fait, mais encore de celui qui est causé par le fait /…/des choses que l’on a sous sa garde. » (Article 1242 du code civil) sont bien adaptés. Par exemple, si votre tondeuse programmée avale malencontreusement un bijou tombé sur la pelouse, c’est la responsabilité sans faute intentionnelle qui sera retenue, responsabilité attribuée à celui qui a mis en circulation la tondeuse, qui a un pouvoir de contrôle sur son algo. Dans certains cas, comme celui de la voiture autonome, cela relève d’une réglementation spécifique (ici, la loi sur les véhicules terrestres à moteur, un régime de responsabilité qui renvoie au gardien du véhicule). Idem dès lors qu’il existe un intermédiaire qui utilise l’algorithme, un médecin, un conseiller financier, un juge… Ainsi l’agent conseiller en investissement est responsable conformément à la réglementation financière, le médecin en raison de son obligation de moyens et de résultats, etc. »
Le fait qu’un algo fournisse un résultat chiffré, noir sur blanc (par exemple un taux de survie, aussi minime soit-il), pourrait bien induire de nouveaux comportements et de nouveaux procès. Car cela pourrait notamment ouvrir la voie à une caractérisation de la faute médicale sinon difficile à attribuer en règle générale : « Le médecin qui prend sa décision sur les conseils d’un algorithme doit en informer son patient, précise Nathalie Nevejans. Il est responsable, mais peut, le cas échéant, mettre en cause le concepteur de l’algorithme, considéré comme un dispositif médical. Mais qu’en sera-t-il s’il ne suit pas les indications de l’algorithme, notamment compte tenu de son expérience, et qu’un dommage survient ? Certains patients ou leurs familles ne risquent-ils pas de l’attaquer en justice pour perte de chanceCette notion de droit intervient lorsque la victime a perdu une chance que les choses se passent mieux, en raison d’une faute. ? Il semble que, dans ce cas, le médecin ne devrait pas être considéré comme responsable du seul fait qu’il aurait « désobéi » à l’algorithme ?, suggère-t-elle.
Encadrer le processus informatique
Autres types de problèmes juridiques nouveaux, ceux posés par les algorithmes auto-apprenants, sur la base d’exemples, dont le comportement n’est pas forcément contrôlable puisqu’il dépend des exemples. Prenons le cas de Google Suggest : à la recherche « Lyonnaise de garantie », l’algorithme proposait au troisième rang de ses suggestions : « lyonnaise de garantie escroc »… Attaquée et condamnée en première instance, la firme de Mountain View n’a finalement pas été tenue pour responsable des mots proposés par son algo selon l’arrêt de la cour de cassation (2013). « Il n’y a pas de faute intentionnelle, conclue Valentine Baudouin, on pourrait éventuellement parler de négligence, d’imprudence. » Pas à pas, la jurisprudence se construit. Il existe déjà un certain nombre d’arrêts pris notamment contre Google.
« Néanmoins, je ne suis pas convaincue que le droit positif soit suffisant pour encadrer tous les algorithmes d’apprentissage, en termes de responsabilités, en raison de cette forme d’autonomie et du côté immatériel, ajoute-t-elle. Qui poursuivre ? Celui qui commercialise l’algo, celui qui le programme, celui qui fournit les données ? Le big data et les algos auto-apprenants provoquent ce momentum tech qui nécessitera peut-être de créer un régime de responsabilité ad hoc pour certains algos. » Pour autant, Valentine Baudouin partage l’avis de la CNIL : il n’est pas nécessaire de prévoir un nouveau type de personnalité juridique pour les robots. Le robot reste un bien matériel conçu, programmé, utilisé par des humains. C’est le processus informatique plutôt que l’objet qu’il faudrait encadrer. « Toute la chaîne des acteurs humains doit être responsabilisée, confirme Victor Demiaux, ceux qui conçoivent les algos autant que ceux qui les nourrissent en données d’apprentissage. »
Isabelle Bellin
Pour en savoir plus :
Deux journées du séminaire de l’IIREB sont consacrées, en 2018, aux “Données massives : enjeux éthiques, juridiques en recherche et en clinique » les 19 et 20 mars 2018
“Intelligence Artificielle : quelle transparence ? quelle confiance ?”
La Société Française de Statistique, en collaboration avec le Grenoble Alpes Data Institute, organise la conférence “Intelligence Artificielle : quelle transparence ? quelle confiance ?” le 26 mars 2018 à Paris. Cet événement, que la SFdS souhaite original et marquant, s’adresse à un public très large.