Quel est l’impact de la proposition de directive pour les banques ?

Le 28 septembre 2022, la Commission européenne a publié sa proposition de directive relative à l’adaptation des règles en matière de responsabilité civile extracontractuelle au domaine de l’intelligence artificielle (P-DIA). Elle prévoit des règles visant à faciliter l’accès aux moyens de preuve sur les systèmes d’intelligence artificielle (IA) à haut risque, afin que les demandeurs soient capables de prouver les différentes conditions requises d’une action civile extracontractuelle selon leur droit national. Cette proposition pourrait-elle avoir un impact important pour les établissements financiers qui emploient des systèmes d’intelligence artificielle ?

La proposition ne modifie en rien les règles nationales sur le fardeau de la preuve et son degré de vraisemblance, sur la faute et le lien de causalité, ou sur les types de dommage réparable. Ce commentaire s’inscrit dans le prolongement du commentaire sur le projet de règlement européen de l’IA (P-RIA) (commenté in cdbf.ch/1181). Le but est de présenter brièvement cette proposition et d’analyser son impact potentiel dans le domaine des services financiers, notamment en matière de credit scoring, ainsi que son éventuelle portée extraterritoriale.

L’art. 3 P-DIA prévoit que sur demande du lésé, les juridictions nationales auraient la possibilité d’ordonner – à un fournisseur (cf. art. 3 par. 2 P-RIA) de système d’IA à haut risque, à toute personne soumise aux obligations incombant au fournisseur selon l’art. 24 ou 28 P-RIA ou à un utilisateur (cf. art. 3 par. 4 P-RIA) – la divulgation de moyens de preuve ou leur conservation. L’intervention du juge ne serait que subsidiaire, puisque l’injonction judiciaire ne serait donnée que si le défendeur a refusé la demande initiale de divulgation du demandeur. Cette proposition instaure dès lors une obligation de divulgation de la part des défendeurs, ou du moins un devoir de collaboration accru. Cela étant, un examen de la plausibilité d’une action en réparation doit être effectué avant d’ordonner la divulgation des moyens de preuve pertinents. Si le défendeur refuse de se conformer à l’injonction du juge, la proposition présume le non-respect d’un devoir de vigilance au regard de l’art. 4 par. 2 ou 3 P-DIA que les moyens de preuve demandés étaient destinés à prouver.

L’art. 4 P-DIA prévoit une présomption réfragable du lien de causalité entre la faute du défendeur et le résultat produit par le système d’IA ou l’incapacité de celui-ci à produire un résultat. Cette présomption n’instaure pas pour autant une responsabilité objective de l’IA. Ce choix est laissé aux États membres. Au regard de l’art. 4 par. 1 let. a P-DIA, le demandeur devrait démontrer que la faute du défendeur relève d’un manquement d’un devoir de vigilance. Pour cela, le demandeur devrait établir – selon l’art. 4 par. 2 et 3 P-DIA – une violation d’une obligation visée par le projet de règlement européen sur l’IA (cf. not. art. 10 par. 2 à 4, 13, 14, 15 et 16 P-RIA pour les fournisseurs et l’art. 29 P-RIA pour les utilisateurs). La présomption prévue à l’art. 4 par. 1 P-DIA ne s’appliquerait pas si le défendeur est en mesure de démontrer que le demandeur peut raisonnablement accéder à une expertise et à des moyens de preuve suffisants en vue de prouver le lien de causalité.

Concernant les définitions utilisées et les obligations qui en cas de non-respect mènent à une présomption du lien de causalité, la proposition de directive renvoie au projet de règlement européen sur l’IA. Ainsi, il existe une cohérence dans le régime légal proposé par la Commission européenne.

Mais qu’en est-il des services financiers ? Pour rappel, le projet de règlement européen sur l’IA ne devrait s’appliquer qu’au credit scoring (cf. cdbf.ch/1181), sous réserve d’une extension de son champ d’application par une modification de l’annexe 3 du projet. Cette proposition de directive pourrait théoriquement s’appliquer à l’activité d’octroi de crédits dans la mesure où un système d’IA de credit scoring serait utilisé. Plusieurs questions demeurent, puisque cette proposition vise les actions en responsabilité extracontractuelle. Deux scénarios peuvent être imaginés. Si le crédit est accordé à des conditions moins avantageuses en raison d’un biais discriminant du système d’IA, cette situation s’inscrirait dans une relation contractuelle, ce qui exclurait l’application de la proposition au regard de l’art. 1 par. 1 P-DIA. Par contre, si le crédit n’est pas accordé à cause d’un résultat produit par un système d’IA et qu’à la suite de ce résultat la personne subit un dommage, la directive pourrait s’appliquer. En effet, cette situation s’inscrirait dans une relation extracontractuelle, puisqu’aucune relation contractuelle ne serait conclue entre les parties. Dans ce contexte. la question du dommage devient alors fondamentale. En Suisse, la notion de dommage est restrictive. À l’instar du droit national de certains États membres de l’Union européenne, le droit suisse ne reconnaît pas la perte d’une chance comme un dommage indemnisable (cf. ATF 133 III 462). En outre, le droit suisse n’indemnise un dommage purement économique qui si une norme de comportement visant à protéger le patrimoine du lésé a été violée par le défendeur.

Finalement, la proposition ne prévoit pas d’effet extraterritorial à proprement parler, contrairement au projet de règlement européen sur l’IA. Néanmoins, par le truchement des art. 132 et 133 LDIP, cette proposition de directive pourrait s’appliquer dans le cadre d’actions civiles transfrontières.

Cette proposition permet donc de faciliter l’accès à des moyens de preuve et prévoit une présomption du lien de causalité. La question de l’accès des moyens de preuve d’un système d’IA est essentielle, afin que demandeurs et défendeurs se battent à armes égales. Cependant, cette proposition ne devrait – selon nous – avoir qu’une portée très limitée dans le secteur des services financiers.