Le Parlement européen,

–  vu l’article 225 du traité sur le fonctionnement de l’Union européenne,

–  vu les articles 114 et 169 du traité sur le fonctionnement de l’Union européenne,

–  vu la directive 85/374/CEE du Conseil du 25 juillet 1985 relative au rapprochement des dispositions législatives, réglementaires et administratives des États membres en matière de responsabilité du fait des produits défectueux(1) (directive sur la responsabilité du fait des produits),

–  vu la directive 2005/29/CE du Parlement européen et du Conseil du 11 mai 2005 relative aux pratiques commerciales déloyales des entreprises vis-à-vis des consommateurs dans le marché intérieur (directive sur les pratiques commerciales déloyales)(2) et la directive 2011/83/UE du Parlement européen et du Conseil du 25 octobre 2011 sur les droits des consommateurs(3), ainsi que les autres règles de protection des consommateurs,

–  vu le règlement (UE) 2017/745 du Parlement européen et du Conseil du 5 avril 2017 relatif aux dispositifs médicaux(4),

–  vu le règlement (UE) 2018/1488 du Conseil du 28 septembre 2018 établissant l’entreprise commune pour le calcul à haute performance européen(5),

–  vu la directive (UE) 2019/770 du Parlement européen et du Conseil du 20 mai 2019 relative à certains aspects concernant les contrats de fourniture de contenus numériques et de services numériques(6),

–  vu l’accord interinstitutionnel «Mieux légiférer» du 13 avril 2016 et les lignes directrices pour une meilleure réglementation(7),

–  vu la proposition de règlement du Parlement européen et du Conseil du 6 juin 2018 établissant le programme pour une Europe numérique pour la période 2021-2027 (COM(2018)0434),

–  vu la communication de la Commission du 25 avril 2018 intitulée «L’intelligence artificielle pour l’Europe» (COM(2018)0237),

–  vu la communication de la Commission du 7 décembre 2018 intitulée «Un plan coordonné dans le domaine de l’intelligence artificielle» (COM(2018)0795),

–  vu la communication de la Commission du 8 avril 2019 intitulée «Renforcer la confiance dans l’intelligence artificielle axée sur le facteur humain» (COM(2019)0168),

–  vu le rapport de la Commission du 19 février 2020 au Parlement européen, au Conseil et au Comité économique et social européen sur les conséquences de l’intelligence artificielle, de l’internet des objets et de la robotique sur la sécurité et la responsabilité (COM(2020)0064),

–  vu le livre blanc de la Commission européenne du 19 février 2020 intitulé «Intelligence artificielle – Une approche européenne axée sur l’excellence et la confiance» (COM(2020)0065),

–  vu sa résolution du 16 février 2017 contenant des recommandations à la Commission relatives aux règles de droit civil sur la robotique(8),

–  vu sa résolution du 1er juin 2017 sur le passage au numérique des entreprises européennes(9),

–  vu sa résolution du 12 septembre 2018 sur les systèmes d’armes autonomes(10),

–  vu sa résolution du 12 février 2019 relative à une politique industrielle européenne globale sur l’intelligence artificielle et la robotique(11),

–  vu sa résolution du 12 février 2020 sur les processus de prise de décision automatisés: assurer la protection des consommateurs et la libre circulation des biens et des services(12),

–  vu le rapport du groupe d’experts de haut niveau sur l’intelligence artificielle du 8 avril 2019 intitulé «Lignes directrices en matière d’éthique pour une IA digne de confiance»,

–  vu le rapport du groupe d’experts de haut niveau sur l’intelligence artificielle du 8 avril 2019 sur la définition de l’intelligence artificielle et les capacités et disciplines principales (A definition of AI: Main Capabilities and Disciplines),

–  vu le rapport du groupe d’experts de haut niveau sur l’intelligence artificielle du 26 juin 2019 sur les recommandations stratégiques et en matière d’investissements pour une intelligence artificielle digne de confiance (Policy and investment recommendations for trustworthy AI),

–  vu le rapport du groupe d’experts sur la responsabilité et les nouvelles technologies, section «nouvelles technologies», du 21 novembre 2019 sur la responsabilité en matière d’intelligence artificielle et d’autres technologies numériques émergentes (Liability for Artificial Intelligence and other emerging digital technologies),

–  vu l’étude sur l’évaluation de la valeur ajoutée européenne réalisée par le Service de recherche du Parlement européen, intitulée « 'Civil liability regime for artificial intelligence: European added value assessment' »(13),

–  vu la note d’information stratégique du comité STOA du Service de recherche du Parlement européen de juin 2016 sur les réflexions juridiques et éthiques concernant la robotique(14),

–  vu l’étude de la direction générale des politiques internes du Parlement européen réalisée en octobre 2016 pour la commission des affaires juridiques et intitulée «Règles européennes de droit civil en robotique»(15),

–  vu les articles 47 et 54 de son règlement intérieur,

–  vu les avis de la commission du marché intérieur et de la protection des consommateurs et de la commission des transports et du tourisme,

–  vu le rapport de la commission des affaires juridiques (A9-0178/2020),

A.  considérant que la notion de «responsabilité» joue un rôle important dans notre vie quotidienne à un double titre: que, d’une part, elle garantit qu’une personne ayant subi un préjudice ou un dommage est en droit de demander et de recevoir une indemnisation de la partie dont la responsabilité pour ce préjudice ou ce dommage est avérée et que, d’autre part, elle incite économiquement les personnes physiques et morales à éviter de causer un préjudice ou un dommage en premier lieu ou à évaluer le risque de devoir payer une indemnisation;

B.  considérant que tout cadre juridique de responsabilité civile axé sur l’avenir doit inspirer confiance dans la sécurité, la fiabilité et la cohérence des produits et des services, y compris dans la technologie numérique, afin de parvenir à un équilibre entre, d’une part, protéger de manière effective et équitable les victimes potentielles d’un préjudice ou d’un dommage et, d’autre part, offrir une marge de manœuvre suffisante pour permettre aux entreprises, en particulier aux petites et moyennes entreprises européennes, de développer de nouveaux produits, services ou technologies; que cela contribuera à instaurer la confiance pour assurer la stabilité des investissements; qu’en fin de compte, l’objectif de tout cadre de responsabilité devrait être d’offrir une sécurité juridique à toutes les parties, qu’il s’agisse du producteur, de l’opérateur, de la personne lésée ou de tout autre tiers;

C.  considérant que le système juridique d’un État membre peut moduler ses règles de responsabilité auxquelles sont soumis certains acteurs ou les rendre plus strictes pour certaines activités; que la responsabilité objective implique qu’une partie peut être tenue pour responsable malgré l’absence de faute; que, dans de nombreux droits nationaux de la responsabilité civile, le défendeur est tenu pour objectivement responsable lorsqu’un risque qu’il a provoqué pour le public, par exemple en conduisant une voiture ou en menant des activités dangereuses, ou un risque qu’il ne peut contrôler, comme dans le cas d’animaux, entraîne un préjudice ou un dommage;

D.  considérant que toute future législation de l’Union, visant à répartir clairement les responsabilités en matière de systèmes d’intelligence artificielle (IA), devrait être précédée d’une analyse et d’une consultation des États membres sur la conformité de l’acte législatif proposé avec les conditions économiques, juridiques et sociales;

E.  considérant que la question d’un régime de responsabilité civile applicable à l’IA devrait faire l’objet d’un vaste débat public, qui tienne compte de tous les intérêts en jeu, notamment du point de vue éthique, juridique, économique et social, afin d’éviter les malentendus et les craintes injustifiées que peut susciter cette technologie chez les citoyens; qu’un examen attentif des conséquences d’un nouveau cadre réglementaire sur l’ensemble des acteurs, dans le cadre d’une analyse d’impact, devrait être une condition préalable à toute nouvelle mesure législative;

F.  considérant que les systèmes d’IA regroupent un grand nombre de technologies différentes dont les statistiques, l’apprentissage automatique et l’apprentissage profond;

G.  considérant que l’utilisation du terme «prise de décision automatisée» pourrait éviter l’ambiguïté du terme «IA»; que la «prise de décision automatisée» implique qu’un utilisateur délègue initialement une décision, en tout ou en partie, à une entité au moyen d’un logiciel ou d’un service; que cette entité utilise alors, à son tour, des modèles décisonnels automatisés pour effectuer une action à la place d’un utilisateur ou pour lui permettre de prendre des décisions éclairées s’il l’exécute lui-même;

H.  considérant que certains systèmes d’IA posent des problèmes juridiques complexes pour le cadre de responsabilité existant et que cela pourrait mener à des situation où, en raison de l’opacité de ces systèmes, il pourrait être extrêmement coûteux, voire impossible, de déterminer qui contrôlait le risque associé au système d’IA ou quels code, entrées ou données ont en fin de compte causé l’opération préjudiciable; qu’en raison de cet aspect, il pourrait être plus compliqué de définir le lien entre le préjudice ou le dommage et le comportement fautif , ce qui aurait pour conséquence que les victimes ne soient pas indemnisées de manière adéquate;

I.  considérant que les difficultés juridiques découlent également de la mise en relation de systèmes d’IA avec d’autres systèmes (IA et non IA), de leur dépendance à l’égard des données externes, de leur vulnérabilité aux atteintes à la cybersécurité ainsi que de la conception de systèmes d’IA de plus en plus autonomes utilisant, entre autres, des techniques d’apprentissage automatique et d’apprentissage profond;

J.  considérant que des normes éthiques rationnelles applicables aux systèmes d’IA, combinées à des procédures d’indemnisation solides et équitables, peuvent aider à surmonter ces difficultés juridiques et à éliminer le risque que les technologies émergentes soient moins bien acceptées par les utilisateurs; que les procédures d’indemnisation équitables doivent permettre à toute personne subissant un préjudice causé par un système d’IA ou dont les biens ont été endommagés par la faute d’un système d’IA de bénéficier du même niveau de protection que lorsqu’aucun système d’IA n’est en cause; que l’utilisateur doit s’assurer que les dommages pouvant éventuellement être causés par des systèmes fondés sur l’IA sont couverts par une assurance adaptée et qu’une voie de recours a été définie;

K.  considérant que la sécurité juridique est également une condition essentielle du développement dynamique et de l’innovation dans le domaine des technologies fondées sur l’IA, en particulier pour les start-ups, les micro, petites et moyennes entreprises, et de leur application pratique dans la vie quotidienne; que le rôle essentiel joué par ces différents types d’entreprises en particulier dans l’économie européenne justifie une approche strictement proportionnée leur permettant de se développer et d’innover;

L.  considérant que la diversité des systèmes d’IA et la variété des risques posés par cette technologie compliquent la recherche d’une solution unique qui serait adaptée à tout l’éventail des risques; qu’il convient, à cet égard, d’adopter une approche reposant sur des expériences, des pilotes et des bacs à sable réglementaires pour trouver des solutions proportionnées et fondées sur des données probantes applicables à des situations et à des secteurs spécifiques, lorsque cela est nécessaire;

Introduction

1.  considère que les difficultés liées à l’introduction des systèmes d’IA dans la société, dans l’économie et sur le lieu de travail constituent l’un des dossiers les plus importants de l’ordre du jour politique actuel; que les technologies fondées sur l’IA pourraient et devraient contribuer à améliorer nos vies dans la quasi-totalité des domaines, de la sphère personnelle (transports, éducation personnalisée, aide aux personnes vulnérables, programmes de fitness, octroi de crédits), à l’environnement de travail (diminution des tâches fastidieuses et répétitives) et aux grands enjeux planétaires (changement climatique, soins de santé, nutrition, logistique);

2.  est fermement convaincu qu’afin d’exploiter efficacement les atouts des systèmes d’IA, d’en prévenir les utilisations abusives et d’éviter la fragmentation réglementaire au niveau de l’Union, il est essentiel que tous les systèmes d’IA dans l’Union soient soumis à une législation uniforme, fondée sur des principes et à l’épreuve du temps; estime que si des réglementations sectorielles spécifiques pour le large éventail d’applications possibles sont préférables, un cadre juridique transversal et harmonisé fondé sur des principes communs semble nécessaire pour assurer la clarté juridique, établir des normes égales dans l’ensemble de l’Union et protéger efficacement nos valeurs européennes et les droits des citoyens;

3.  affirme que le marché unique numérique doit faire l’objet d’une harmonisation complète, étant donné que la sphère numérique se caractérise par une dynamique transfrontière rapide et des flux internationaux de données; estime que l’Union ne pourra atteindre les objectifs de préservation de sa souveraineté numérique et de stimulation de l’innovation numérique en Europe qu’avec des règles communes et cohérentes, adaptées au contexte innovateur;

4.  relève que la course mondiale à l’IA a déjà démarré et que l’Union devrait y jouer un rôle de premier plan en exploitant son potentiel scientifique et technologique; insiste particulièrement sur le fait que le développement technologique ne doit pas porter atteinte à la protection des utilisateurs contre les dommages qui peuvent être causés par les dispositifs et les systèmes utilisant l’IA; encourage la promotion des normes de l’Union en matière de responsabilité civile au niveau international;

5.  est fermement convaincu que les nouvelles règles communes pour les systèmes d’IA devraient prendre uniquement la forme d’un règlement; estime que la question de la responsabilité en cas de préjudice ou de dommage causé par un système d’IA est l’un des aspects essentiels à traiter dans ce cadre;

Responsabilité et intelligence artificielle

6.  estime qu’il n’est pas nécessaire de procéder à une révision complète des régimes de responsabilité, qui fonctionnent bien, mais que la complexité, la connectivité, l’opacité, la vulnérabilité, la capacité d’être modifié par des mises à jour, la capacité d’auto-apprentissage et l’autonomie potentielle des systèmes d’IA, ainsi que la multitude d’acteurs impliqués représentent néanmoins un défi important pour l’efficacité des cadres juridiques de l’Union et des États membres en matière de responsabilité; considère qu’il est nécessaire de procéder à des ajustements spécifiques et coordonnés aux régimes de responsabilité pour éviter que des personnes ayant subi un préjudice ou dont les biens ont subi un dommage ne puissent pas obtenir réparation;

7.  souligne que l’ensemble des activités, dispositifs ou processus physiques ou virtuels gérés par des systèmes d’IA peuvent techniquement être la cause directe ou indirecte d’un préjudice ou d’un dommage, mais qu’ils ont presque toujours comme point de départ une personne qui développe, déploie ou perturbe un système; relève, à cet égard, qu’il n’est pas nécessaire de conférer la personnalité juridique aux systèmes d’IA; estime qu’en raison de l’opacité, de la connectivité et de l’autonomie des systèmes d’IA, il pourrait dans la pratique s’avérer très difficile, voire impossible, de retrouver les contributions spécifiques des êtres humains ou les décisions de conception qui sont à l’origine d’actes préjudiciables spécifiques commis par des systèmes d’IA; rappelle que, conformément à des concepts de responsabilité largement reconnus, il est néanmoins possible de contourner cet obstacle en tenant pour responsables l’ensemble des personnes qui, tout au long de la chaîne de valeur, créent, entretiennent ou contrôlent le risque associé au système d’IA;

8.  estime que la directive sur la responsabilité du fait des produits a, depuis plus de 30 ans, prouvé son efficacité en tant qu’outil permettant d’obtenir réparation du préjudice causé par un produit défectueux, mais qu’il conviendrait néanmoins de la réviser afin qu’elle soit mieux adaptée au monde numérique et à même de relever les défis posés par les technologies numériques émergentes, en garantissant de la sorte un niveau élevé de protection réelle des des consommateurs ainsi qu’une sécurité juridique pour les consommateurs et les entreprises, tout en évitant des coûts et des risques élevés pour les petites et moyennes entreprises et les start-ups; demande instamment à la Commission d’évaluer si ladite directive doit être transformée en règlement, de préciser la définition des «produits» en déterminant si le contenu numérique et les services numériques entrent dans son champ d’application et d’envisager d’adapter des notions telles que «dommage», «défaut» et «producteur»; considère que pour assurer la sécurité juridique dans l’ensemble de l’Union après le réexamen de la directive, il conviendrait de veiller à ce que le concept de «producteur» englobe les fabricants, les développeurs, les programmeurs, les prestataires de services et les opérateurs d’amont; invite la Commission à envisager d’inverser les règles régissant la charge de la preuve en cas de préjudice causé par des technologies numériques émergentes dans des cas clairement définis et après une évaluation appropriée; souligne l’importance de limiter l’actualisation dudit acte de l’Union à des problèmes clairement identifiés pour lesquels des solutions réalisables existent déjà et, dans le même temps, de permettre de couvrir les développements technologiques à venir, y compris ceux concernant les logiciels libres et ouverts; considère par conséquent que ladite directive devrait continuer à être utilisée pour les actions en responsabilité civile intentées à l’encontre du producteur d’un système d’IA défectueux lorsque ce système peut être considéré comme un produit au sens de ladite directive; souligne que toute actualisation du cadre de la responsabilité du fait des produits devrait s’accompagner d’une actualisation de la directive 2001/95/CE du Parlement européen et du Conseil du 3 décembre 2001 sur la sécurité des produits(16) afin de garantir que les systèmes d’IA respectent les principes de sûreté et de sécurité dès le stade de conception;

9.  considère que le droit des États membres en matière de responsabilité civile pour faute offre, dans la plupart des cas, un niveau de protection suffisant pour les personnes qui subissent un préjudice causé par un tiers perturbateur, tel qu’un pirate informatique, ou dont les biens sont endommagés par un tel tiers, étant donné que la perturbation constitue régulièrement une action fondée sur une faute; relève que l’ajout de règles visant à compléter le droit national existant en matière de responsabilité ne semble nécessaire que dans des cas spécifiques, y compris lorsque le tiers ne peut être localisé ou qu’il est insolvable;

10.  estime, par conséquent, que le présent rapport devrait se concentrer sur les actions en responsabilité civile intentées à l’encontre de l’opérateur d’un système d’intelligence artificielle; affirme que la responsabilité de l’opérateur est justifiée par le fait qu’il contrôle un risque associé au système d’intelligence artificielle, un parallèle pouvant être dressé avec le propriétaire d’une voiture; est d’avis qu’en raison de la complexité et de la connectivité des systèmes d’IA, l’opérateur sera dans de nombreux cas le premier point de contact visible pour la personne lésée;

Responsabilité de l’opérateur

11.  estime que les règles de responsabilité relatives à l’opérateur devraient s’appliquer à tous les types d’exploitation des systèmes d’IA, indépendamment du lieu de l’exploitation et du fait que celle-ci soit de nature physique ou virtuelle; fait observer que l’exploitation dans un espace public, qui expose de nombreuses personnes à un risque, constitue cependant un cas nécessitant un examen plus approfondi; considère que les victimes potentielles d’un préjudice ou d’un dommage n’ont souvent pas connaissance de cette exploitation et ne pourraient généralement pas engager d’action en responsabilité contractuelle à l’encontre de l’opérateur; relève que, dans l’hypothèse de la matérialisation d’un préjudice ou d’un dommage, ces personnes ne pourraient intenter qu’une action en responsabilité pour faute et parviendraient difficilement à prouver la faute de l’opérateur du système d’IA, et que, par conséquent, ces actions en responsabilités n’aboutiraient pas;

12.  estime qu’il convient de comprendre la notion d’ « opérateur » comme désignant à la fois l’opérateur frontal et l’opérateur d’amont, pour autant que ce dernier ne soit pas couvert par la directive sur la responsabilité du fait des produits; considère que l’opérateur frontal devrait être défini comme la personne physique ou morale qui exerce un certain contrôle sur un risque associé à la mise en œuvre et au fonctionnement du système d’IA et tire profit de son exploitation; estime que l’opérateur d’amont devrait être défini comme la personne physique ou morale qui, de manière continue, définit les caractéristiques de la technologie, fournit des données ainsi qu’un service essentiel de soutien en amont et exerce donc également un certain contrôle sur le risque lié à l’exploitation et au fonctionnement du système d’IA; juge par ailleurs qu’«exercer le contrôle» signifie toute action de l’opérateur qui influence l’exploitation du système d’IA et donc le degré d’exposition des tiers aux risques potentiels du système; estime que ces actions pourraient avoir un effet sur l’exploitation d’un système d’IA du début à sa fin, en déterminant les entrées, les sorties ou les résultats, ou pourrait modifier les fonctions ou processus spécifiques au sein dudit système;

13.  fait observer que dans certaines situations, il peut y avoir plus d’un opérateur, par exemple un opérateur d’amont et un opérateur frontal; considère que, dans ce cas, tous les opérateurs devraient être conjointement et solidairement responsables, et disposer d’un droit de recours proportionnel les uns à l’encontre des autres; est d’avis que la part de responsabilité devrait être déterminé s au prorata du degré de contrôle exercé par les différents opérateurs sur le risque lié à l’exploitation et au fonctionnement du système d’IA; estime qu’il convient d’améliorer la traçabilité des produits afin de mieux identifier les personnes impliquées aux différentes étapes;

Des règles de responsabilité différentes pour des risques différents

14.  prend acte du fait que le type de système d’IA sur lequel l’opérateur exerce un contrôle constitue un facteur déterminant en matière de responsabilité; fait observer qu’un système d’IA qui présente un risque intrinsèque élevé et agit de manière autonome représente potentiellement une menace bien plus importante pour le grand public; estime, au vu des difficultés juridiques que posent les systèmes d’IA au regard des régimes de responsabilité civile existants, raisonnable de mettre en place un régime commun de responsabilité objective pour ces systèmes d’IA autonomes à haut risque; précise qu’une telle approche basée sur le risque, qui est susceptible de comprendre plusieurs niveaux de risque, devrait reposer sur des critères clairs et une définition adéquate du risque élevé et garantir une sécurité juridique;

15.  estime qu’un système d’IA présente un risque élevé lorsque son exploitation autonome implique une forte probabilité de porter préjudice à une ou plusieurs personnes, de manière aléatoire et au-delà de ce que l’on peut raisonnablement attendre; considère que, pour évaluer si un système d’IA présente un risque élevé, il faut également prendre en considération le secteur dans lequel des risques importants sont susceptibles de survenir et la nature des activités exercées; considère que l’importance de ce risque dépend de l’interaction entre la gravité du préjudice éventuel, la probabilité que ce risque cause un préjudice ou un dommage, et la manière dont le système d’IA est utilisé;

16.  recommande de dresser une liste exhaustive de tous les systèmes d’IA à haut risque dans une annexe au règlement proposé; reconnaît que, compte tenu de la rapidité des évolutions technologiques et des compétences techniques requises, la Commission devrait revoir cette annexe sans retard indû, et au moins tous les six mois, et, si nécessaire, la modifier au moyen d'un acte délégué; estime que la Commission devrait travailler en étroite collaboration avec un comité permanent nouvellement créé, semblable au comité permanent existant sur les précurseurs ou au comité technique pour les véhicules à moteur, qui comptent dans leurs rangs des experts nationaux dépêchés par les États membres et des parties prenantes; est d’avis que la composition équilibrée du groupe d’experts de haut niveau sur l’intelligence artificielle pourrait servir d’exemple pour la formation du groupe de parties prenantes avec l’ajout d’experts en éthique ainsi que d’anthropologues, de sociologues et de spécialistes de la santé mentale; est également d’avis que le Parlement européen devrait désigner des experts, à titre consultatif, qui puissent conseiller le comité permanent nouvellement créé;

17.  note que le développement de technologies fondées sur l’IA est extrêmement rapide et s’accélère constamment; souligne qu’il est nécessaire d’adopter une approche accélérée pour analyser les nouveaux dispositifs et systèmes utilisant les systèmes d’IA qui apparaissent sur le marché européen, au regard des risques potentiels, de manière à garantir une protection adéquate aux utilisateurs; recommande de simplifier autant que possible l’ensemble des procédures en la matière; suggère en outre que la Commission commence l’examen visant à évaluer si un système d’IA présente un risque élevé en même temps que l’évaluation de la sécurité des produits, afin d’empêcher qu’un système d’IA à haut risque puisse être approuvé pour le marché avant d’être classé à haut risque et dès lors soit exploité sans être couvert par une assurance obligatoire;

18.  considère que la Commission devrait évaluer comment les données collectées, enregistrées ou stockées dans des systèmes d’IA à haut risque aux fins de rassembler des éléments de preuve en cas de préjudice ou de dommage causé par ce système d’IA pourraient être consultées et utilisées par l’autorité chargée de l’enquête, et comment la traçabilité et la possibilité de procéder au contrôle de ces données pourraient être améliorées, tout en tenant compte des droits fondamentaux et du respect de la vie privée;

19.  estime que, conformément aux régimes de responsabilité objective des États membres, le règlement proposé devrait couvrir les violations des droits juridiquement protégés importants que sont le droit à la vie, à la santé, à l’intégrité physique, à la propriété, et devrait fixer le montant et l’étendue de l’indemnisation ainsi que le délai de prescription; est d’avis que le règlement proposé devrait également couvrir le préjudice immatériel important entraînant une perte économique vérifiable supérieure à un certain seuil, harmonisé dans le droit de l’Union en matière de responsabilité, qui concilie l’accès à la justice des personnes lésées et les intérêts d’autres parties concernées; prie instamment la Commission de réévaluer et d’aligner les seuils de dommages et intérêts dans le droit de l’Union; est d’avis que la Commission devrait analyser en profondeur ce qui, dans les traditions juridiques des États membres et les législations nationales existantes, permet d’octroyer une indemnisation pour préjudice immatériel, afin d’évaluer si l’inclusion d’un préjudice immatériel dans des actes législatifs spécifiques à l’IA est nécessaire et si elle contrevient au cadre juridique de l’Union ou porte atteinte au droit des États membres;

20.  dispose que l’ensemble des activités, dispositifs ou processus gérés par des systèmes d’IA qui causent un préjudice ou un dommage mais ne sont pas énumérés à l’annexe du règlement proposé devraient rester, pour leur part, dans le champ de la responsabilité pour faute; est d’avis que la personne lésée devrait néanmoins bénéficier d’une présomption de faute de l’opérateur, qui devrait avoir la possibilité de se disculper en apportant la preuve qu’il s’est conformé au devoir de diligence;

21.  considère qu’un système d’IA qui n’a pas encore été évalué par la Commission et le comité permanent nouvellement constitué et qui, par conséquent, n’a pas encore été classé comme étant à haut risque et n’est pas inclus dans la liste figurant à l’annexe du règlement proposé, devrait néanmoins, par dérogation au système prévu au paragraphe 20, être soumis à une responsabilité objective s’il a causé des incidents répétés entraînant un préjudice ou un dommage grave; relève que, si tel est le cas, la Commission devrait également évaluer, sans retard indû, la nécessité de réviser cette annexe afin d’ajouter le système d’IA en question à la liste; estime que si la Commission décide d’inscrire ce système d’IA sur la liste à la suite de cette évaluation, cette inscription devrait avoir un effet rétroactif à compter du premier incident avéré causé par ce système d’IA et ayant causé un préjudice ou un dommage grave;

22.  demande à la Commission d’évaluer la nécessité de prévoir des dispositions juridiques sur les contrats au niveau de l’Union afin d’éviter les clauses contractuelles de non-responsabilité, y compris dans les relations entre les entreprises et entre les entreprises et l’administration;

Assurances et systèmes d’intelligence artificielle

23.  estime que la couverture de la responsabilité est l’un des principaux facteurs déterminants du succès des technologies, produits et services nouveaux; fait observer qu’une couverture adéquate de la responsabilité est tout aussi essentielle pour assurer au public qu’il peut avoir confiance en la nouvelle technologie, malgré le risque de subir un préjudice ou de se voir assigner en justice par les personnes lésées; relève en même temps que ce système réglementaire met l’accent sur la nécessité d’exploiter pleinement les systèmes d’IA en ce qu’ils ont de positif et de les développer tout en instituant un ensemble de garanties solides;

24.  considère que, compte tenu du risque important de causer un préjudice ou un dommage et compte tenu de la directive 2009/103/CE du Parlement européen et du Conseil du 16 septembre 2009 concernant l’assurance de la responsabilité civile résultant de la circulation de véhicules automoteurs et le contrôle de l’obligation d’assurer cette responsabilité(17), tous les opérateurs de systèmes d’IA à haut risque énumérés à l’annexe de la proposition de règlement devraient souscrire une assurance responsabilité civile; estime que ce régime d’assurance obligatoire pour les systèmes d’IA à haut risque devrait couvrir les montants et l’étendue de l’indemnisation fixée par le règlement proposé; est conscient du fait que cette technologie est encore très rare car elle suppose un niveau élevé d’autonomie dans la prise de décision et que, par conséquent, les discussion actuelles sont pour la plupart orientées vers l’avenir; estime toutefois que l’incertitude concernant les risques ne devrait pas se traduire par des primes d’assurance dont le tarif serait prohibitif et constituerait un frein à la recherche et à l’innovation;

25.  juge qu’un mécanisme d’indemnisation au niveau de l’Union, financé par des fonds publics, n’est pas le bon moyen de combler d’éventuelles lacunes en matière d’assurance; considère qu’en raison du manque de données disponibles sur les risques associés aux systèmes d’IA et de l’incertitude quant aux évolutions à venir, il est difficile pour le secteur des assurances de proposer de nouveaux produits ou des produits adaptés; estime que laisser le soin au seul marché d’élaborer une assurance obligatoire fait courir le risque d’une approche universelle assortie de primes disproportionnés et d’incitations inadaptées, ce qui pourrait inciter les opérateurs à opter pour l’assurance la moins chère plutôt que la meilleure et freiner la recherche et l’innovation; considère que la Commission devrait travailler en étroite collaboration avec le secteur des assurances pour réfléchir à la manière d’utiliser les données et les modèles innovants pour mettre en place des polices d’assurance offrant une couverture adaptée à un prix abordable.

Considérations finales

26.  demande à la Commission de soumettre, sur la base de l’article 225 du traité sur le fonctionnement de l’Union européenne, une proposition de règlement relatif à un régime de responsabilité pour l’exploitation des systèmes d’intelligence artificielle, suivant les recommandations détaillées figurant en annexe;

27.  estime que la proposition demandée n’a pas d’incidences financières;

o
o   o

28.  charge son Président de transmettre la présente résolution ainsi que les recommandations figurant en annexe à la Commission et au Conseil.

(1) JO L 210 du 7.8.1985, p. 29. (2) JO L 149 du 11.6.2005, p. 22. (3) JO L 304 du 22.11.2011, p. 64. (4) JO L 117 du 5.5.2017, p. 1. (5) JO L 252 du 8.10.2018, p. 1. (6) JO L 136 du 22.5.2019, p. 1. (7) JO L 123 du 12.5.2016, p. 1. (8) JO C 252 du 18.7.2018, p. 239. (9) JO C 307 du 30.8.2018, p. 163. (10) JO C 433 du 23.12.2019, p. 86. (11) Textes adoptés de cette date, P8_TA(2019)0081. (12) Textes adoptés de cette date, P9_TA(2020)0032. (13) https://www.europarl.europa.eu/thinktank/en/document.html?reference= EPRS_STU(2020)654178 (14) https://www.europarl.europa.eu/RegData/etudes/STUD/2016/563501/ EPRS_STU(2016)563501(ANN)_EN.pdf (15) https://www.europarl.europa.eu/RegData/etudes/STUD/2016/571379/ IPOL_STU(2016)571379_EN.pdf (16) JO L 11 du 15.1.2002, p. 4. (17) JO L 263 du 7.10.2009, p. 11.

RECOMMANDATIONS DÉTAILLÉES CONCERNANT L’ÉLABORATION D’UN RÈGLEMENT DU PARLEMENT EUROPÉEN ET DU CONSEIL RELATIF À UN RÉGIME DE RESPONSABILITÉ POUR L’EXPLOITATION DES SYSTÈMES D’INTELLIGENCE ARTIFICIELLE

A.  PRINCIPES ET OBJECTIFS DE LA PROPOSITION

Le présent rapport aborde un aspect important de la numérisation, lui-même influencé par les activités transfrontalières, la concurrence au niveau mondial ainsi que des considérations sociétales fondamentales. Il convient de prendre appui sur les principes suivants en guise d’orientations:

1.  Un marché unique numérique véritable exige une harmonisation complète réalisée par l’intermédiaire d’un règlement;

2.  Il est impératif de garantir une sécurité juridique maximale tout au long de la chaîne des responsabilités, y compris pour le producteur, l’opérateur, les personnes lésées et tout autre tiers, pour répondre aux nouvelles difficultés juridiques qu’engendrent les évolutions des systèmes d’intelligence artificielle (IA).

3.  Il convient d’éviter toute surréglementation et toute charge administrative superflue afin de ne pas entraver l’innovation européenne en matière d’IA, notamment en ce qui concerne les technologies, produits ou services développés par les PME ou les start-ups.

4.  Les règles de responsabilité civile pour l’IA doivent chercher à atteindre un équilibre entre, d’une part, protéger les citoyens et, d’autre part, encourager les entreprises à investir dans l’innovation, notamment dans les systèmes d’IA.

5.  Il convient également, au lieu de remplacer les régimes de responsabilité existants, qui fonctionnent bien, de procéder à quelques ajustements nécessaires en introduisant des concepts nouveaux et tournés vers l’avenir.

6.  La future proposition de règlement et la directive sur la responsabilité du fait des produits constituent deux piliers d’un cadre commun de responsabilité pour les systèmes d’IA et exigent une coopération étroite et une cohérence entre tous les acteurs politiques concernés, au niveau de l’Union et au niveau national.

7.  Les citoyens devraient pouvoir se prévaloir du même niveau de protection et des mêmes droits, que le préjudice soit causé par un système d’IA ou non et qu’il soit de nature physique ou virtuelle, afin qu’ils aient davantage confiance en cette nouvelle technologie.

8.  La future proposition de règlement devrait tenir compte du caractère matériel et immatériel d’un préjudice. Sur la base, entre autres, de sa communication du 19 février 2020 sur les implications de l’IA et de la robotique en matière de sécurité et de responsabilité, la Commission est invitée à analyser en profondeur les traditions juridiques de tous les États membres ainsi que les dispositions légales existantes qui permettent d’octroyer une indemnisation pour préjudice immatériel dans le but d’évaluer si l’inclusion d’un préjudice de ce type dans la future proposition de règlement se fonde sur une base juridique solide et est nécessaire du point de vue de la personne lésée. Sur la base des informations actuellement disponibles, le Parlement estime que le préjudice immatériel important doit être couvert, ce qui est le cas lorsque la personne lésée a subi une perte économique notable, c’est-à-dire vérifiable.

B.  TEXTE DE LA PROPOSITION DEMANDÉE

Proposition de

RÈGLEMENT DU PARLEMENT EUROPÉEN ET DU CONSEIL

relatif à un régime de responsabilité pour l’exploitation des systèmes d’intelligence artificielle

LE PARLEMENT EUROPÉEN ET LE CONSEIL DE L’UNION EUROPÉENNE,

vu le traité sur le fonctionnement de l’Union européenne, et notamment son article 114,

vu la proposition de la Commission européenne,

après transmission du projet d’acte législatif aux parlements nationaux,

vu l’avis du Comité économique et social européen(1),

statuant conformément à la procédure législative ordinaire(2),

considérant ce qui suit:

(1)  La notion de «responsabilité» joue un rôle important dans notre vie quotidienne à un double titre: d’une part, elle garantit qu’une personne ayant subi un préjudice ou un dommage est en droit de demander réparation à la partie tenue pour responsable de ce préjudice ou de ce dommage, et, d’autre part, elle donne aux personnes des incitations économiques à ne pas causer de préjudice ou de dommage en premier lieu. Tout cadre de responsabilité devrait non seulement s’appliquer à inspirer la confiance dans des produits et services au fonctionnement sûr, fiable et cohérent, dont les technologies numériques émergentes, telles que l’intelligence artificielle (IA), l’internet des objets (IDO) ou la robotique, mais aussi à créer un équilibre permettant de protéger efficacement les victimes potentielles d’un préjudice ou d’un dommage tout en conservant la marge de manœuvre nécessaire au développement de nouveaux produits, services ou technologies.

(2)  C’est plus particulièrement au début de leur cycle de vie que les nouveaux produits et services, après avoir fait l’objet d’essais préliminaires, présentent certains défauts pouvant nuire à leur fonctionnement et, donc aussi à leurs utilisateurs et aux tiers. Les étapes d’essais et d’erreurs sont toutefois, dans le même temps, un facteur essentiel du progrès technique, sans lesquelles la plupart de nos technologies n’existeraient pas. Jusqu’à présent, la rigueur de la législation européenne en matière de sécurité des produits et des règles en matière de responsabilité a permis de parer aux risques associés aux nouveaux produits et services.

(3)  L’avènement de l’IA soulève cependant d’importantes difficultés au regard des cadres de responsabilité existants. Le recours aux systèmes d’intelligence artificielle dans notre vie quotidienne conduira à des situations dans lesquelles, en raison de l’opacité de ces systèmes (effet de «boîte noire») et de la multitude d’acteurs qui interviennent dans leur cycle de vie, il serait extrêmement coûteux, voire impossible, de déterminer qui contrôlait le risque associé à l’utilisation du système d’IA ou quel code ou introduction de données a causé l’opération préjudiciable. Cette difficulté est encore aggravée par la connectivité entre un système d’IA donné et d’autres systèmes d’IA et systèmes hors IA, par sa dépendance à l’égard des données externes, par sa vulnérabilité aux atteintes à la cybersécurité ainsi que par l’autonomie croissante des systèmes d’IA déclenchés par l’apprentissage automatique et les capacités d’apprentissage profond. Outre ces caractéristiques complexes et ces vulnérabilités potentielles, les systèmes d’IA pourraient également être utilisés pour causer un préjudice grave, comme porter atteinte à la dignité humaine et aux valeurs et libertés européennes: traçage des personnes contre leur volonté, introduction de systèmes de crédit social, décisions biaisées en matière d’assurance maladie, d’octroi de crédit, de décisions de justice, de recrutement ou d’emploi ou construction de systèmes d’armes autonomes létales. .

(4)  Il importe de souligner que les avantages du déploiement de systèmes d’IA l’emporteront de loin sur les inconvénients. L’IA permettra de lutter plus efficacement contre le changement climatique, d’améliorer les examens médicaux et les conditions de travail, de mieux intégrer les personnes handicapées et les personnes âgées à la société et de fournir des cours sur mesure à tous types d’étudiants. Pour exploiter tout son potentiel technologique et gagner la confiance du public dans son utilisation, tout en prévenant des scénarios dommageables, la meilleure solution est de fixer des normes éthiques strictes et de prévoir des procédures justes et fiables d’indemnisation.

(5)  Pour contrebalancer la violation des règles de sécurité, il est également nécessaire de mettre en place un régime de responsabilité adéquat. Le régime de responsabilité établi dans le présent règlement doit toutefois tenir compte de tous les intérêts en jeu. Un examen attentif des conséquences d’un nouveau cadre réglementaire sur les petites et moyennes entreprises (PME) et les start-ups, est une condition préalable à toute nouvelle mesure législative. Le rôle essentiel que ces entreprises jouent dans l’économie européenne justifie une approche strictement proportionnée leur permettant de se développer et d’innover. Par ailleurs, les victimes d’un préjudice ou d’un dommage causé par les systèmes d’IA doivent avoir droit à une réparation et à une indemnisation complète du préjudice ou du dommage subi.

(6)  Avant tout changement requis dans le cadre juridique existant, il convient de préciser que les systèmes d’IA n’ont ni la personnalité juridique ni la conscience humaine, et que leur seul rôle est de servir l’humanité. De nombreux systèmes d’IA ne sont pas non plus très différents d’autres technologies, qui reposent parfois sur des logiciels encore plus complexes. En fin de compte, la grande majorité des systèmes d’IA sont utilisés pour effectuer des tâches mineures avec un minimum, voire une absence, de risques pour la société. L’utilisation du terme «prise de décision automatisée» permettrait d’éviter la possible ambiguïté du terme «IA». Ce terme décrit une situation dans laquelle un utilisateur délègue initialement une décision, en tout ou en partie, à une entité, au moyen d’un logiciel ou d’un service. Cette entité utilise à son tour des modèles décisionnels automatisés pour effectuer une action au nom de l’utilisateur ou pour éclairer la décision de l’utilisateur si celui-ci effectue lui-même l’action.

(7)  Il existe cependant aussi des systèmes d’IA qui sont développés et déployés de manière critique et qui se fondent sur des technologies, telles que les réseaux neuronaux et les processus d’apprentissage profond. Leur opacité et leur autonomie pourraient poser de grandes difficultés pour établir le lien entre certaines actions spécifiques et des décisions humaines spécifiques prises dans le cadre de leur conception ou de leur fonctionnement. L’opérateur d’un tel système d’IA pourrait, par exemple, faire valoir que l’activité physique ou virtuelle, le dispositif ou le procédé causant un préjudice ou un dommage se trouvait en dehors de son contrôle, ce préjudice ou ce dommage ayant été causé lors du fonctionnement autonome de son système d’IA. De plus, la simple exploitation d’un système d’IA autonome ne devrait pas suffire pour admettre une action en responsabilité. Il peut dès lors arriver que la responsabilité soit attribuée injustement ou inutilement, ou qu’une personne victime d’un préjudice ou d’un dommage du fait de l’AI ne puisse pas prouver la faute du fabricant, du tiers intervenant ou de l’opérateur et ne puisse donc pas obtenir d’indemnisation.

(8)  Il devrait néanmoins toujours être clair que quiconque crée, entretient, contrôle ou perturbe le système d’IA doit être tenu pour responsable du préjudice ou du dommage causé par l’activité, le dispositif ou le procédé. Ceci découle des principes généraux largement acceptés de la responsabilité en justice, selon lesquels la personne qui crée ou perpétue un risque pour le public devrait être tenue pour responsable si ce risque cause un préjudice ou un dommage et devrait donc faire en sorte de minimiser ce risque en amont ou de le compenser en aval. Par conséquent, la montée en puissance des systèmes d’IA ne nécessite pas une révision complète des règles en matière de responsabilité dans l’ensemble de l’Union. Des ajustements spécifiques apportés à la législation existante et l’introduction de nouvelles dispositions accessibles et ciblées seraient suffisants pour relever les défis liés à l’IA, afin d’éviter la fragmentation réglementaire et d’assurer l’harmonisation dans toute l’Union de la législation en matière de responsabilité civile dans le domaine de l’IA.

(9)  La directive 85/374/CEE (3) (directive sur la responsabilité du fait des produits) s’est avérée depuis trente ans un moyen efficace d’obtenir réparation d’un dommage causé par un produit défectueux. Par conséquent, elle devrait également être utilisée en ce qui concerne les actions en responsabilité civile d’une partie qui subit un préjudice ou un dommage à l’encontre du producteur d’un système d’IA défectueux. Conformément aux principes d’une meilleure réglementation de l’Union, toute adaptation législative nécessaire devrait être examinée lors de la révision nécessaire de cette directive. Le droit actuel des États membres en matière de responsabilité civile pour faute offre, dans la plupart des cas, un niveau de protection suffisant pour les personnes qui subissent un préjudice ou un dommage causé par un tiers perturbateur, étant donné que la perturbation constitue régulièrement une action fondée sur une faute, lorsque le tiers utilise le système d’IA pour causer un préjudice. Par conséquent, le présent règlement devrait se concentrer sur les actions à l’encontre de l’opérateur d’un système d’intelligence artificielle.

(10)  La responsabilité de l’opérateur au titre du présent règlement est fondée sur le fait qu’il exerce un certain contrôle sur un risque associé à l’exploitation et au fonctionnement d’un système d’IA, à l’instar du propriétaire d’une voiture ou d’un animal de compagnie. Plus un système est sophistiqué et autonome, plus l’impact de la définition et de l’influence des algorithmes, par exemple par des mises à jour continues, devient important. Étant donné qu’il y a souvent plus d’une personne qui pourrait, de manière significative, être considérée comme «opérateur» du système d’IA, en vertu du présent règlement, le terme «opérateur» devrait s’entendre comme couvrant à la fois l’opérateur frontal et l’opérateur d’amont. Bien que, de manière générale, l’opérateur frontal apparaisse comme la personne qui décide «principalement» de l’utilisation du système d’IA, l’opérateur d’amont pourrait en fait disposer d’un niveau de contrôle plus élevé sur les risques opérationnels. Si l’opérateur d’amont peut également être considéré comme un «producteur» au sens de l’article 3 de la directive sur la responsabilité du fait des produits, cette dernière directive devrait lui être applicable. S’il n’existe qu’un seul opérateur et que cet opérateur est également le producteur du système d’IA, le présent règlement devrait prévaloir sur la directive sur la responsabilité du fait des produits.

(11)  Si un utilisateur, à savoir la personne qui utilise le système d’IA, participe au fait dommageable, il ne devrait être responsable en vertu du présent règlement que s’il remplit également les conditions requises pour être considéré comme un opérateur. Dans le cas contraire, l’ampleur de la contribution de l’utilisateur au risque, intentionnelle ou par négligence grave, pourrait engager la responsabilité pour faute de l’utilisateur envers le demandeur. Les droits des consommateurs applicables à l’utilisateur devraient rester inchangés.

(12)  Le présent règlement devrait permettre à la personne lésée d’engager des actions en responsabilité tout au long de la chaîne de responsabilité et tout au long du cycle de vie d’un système d’IA. Il devrait également s’appliquer en principe à tous les systèmes d’IA, quel que soit l’endroit où ils sont mis en oeuvre et que la mise en oeuvre soit de nature physique ou virtuelle. La majorité des actions en responsabilité au titre du présent règlement devraient toutefois porter sur des cas de responsabilité civile dans lesquels un système d’IA fonctionne dans un espace public et expose de nombreuses personnes à un risque. Dans cette situation, les personnes lésées n’auront souvent pas connaissance de la mise en oeuvre du système d’IA et n’auront aucune relation contractuelle ou juridique avec l’opérateur. Par conséquent, la mise en œuvre du système d’IA les expose à une situation dans laquelle, en cas de préjudice ou de dommage, elles auraient pour seul recours une action en responsabilité pour faute à l’encontre de l’opérateur du système d’IA, tout en étant confrontées à de graves difficultés pour prouver la faute de la part de l’opérateur.

(13)  Le type de système d’IA sur lequel l’opérateur exerce un contrôle constitue un facteur déterminant. Un système d’IA présentant un risque élevé constitue une menace potentielle beaucoup plus grave pour l’utilisateur ou le public, d’une manière aléatoire et qui dépasse ce qui peut raisonnablement être attendu. Ceci signifie qu’au départ du fonctionnement autonome du système d’IA, la majorité des personnes potentiellement lésées sont inconnues et non identifiables, par exemple les personnes se trouvant dans l’espace public ou dans une maison voisine, par opposition au fonctionnement d’un système d’IA impliquant des personnes spécifiques, qui ont régulièrement consenti à son déploiement au préalable, par exemple une intervention chirurgicale dans un hôpital ou une démonstration commerciale dans un petit magasin. Pour déterminer l’importance du potentiel que présente un système d’IA à haut risque de causer un préjudice ou un dommage, il convient de se fonder sur l’interaction entre l’objectif d’utilisation pour lequel le système d’IA est mis sur le marché, la façon dont le système d’IA est utilisé, la gravité du préjudice ou du dommage potentiel, le degré d’autonomie dans la prise de décision susceptible d’engendrer un préjudice et la probabilité que le risque se réalise. Le degré de gravité devrait être déterminé en fonction de facteurs pertinents tels que l’ampleur du préjudice potentiel résultant de la mise en œuvre du système pour les personnes lésées, y compris les incidences sur les droits fondamentaux, le nombre de personnes lésées, la valeur totale des dommages potentiels ainsi que le préjudice pour la société dans son ensemble. La probabilité que le préjudice ou le dommage survienne devrait être déterminée sur la base de facteurs pertinents tels que le rôle joué par les calculs algorithmiques dans le processus décisionnel, la complexité de la décision et la réversibilité des effets. En fin de compte, le mode d’utilisation devrait dépendre de facteurs pertinents tels que le contexte et le secteur dans lesquels le système d’IA fonctionne, le fait qu’il puisse avoir ou non des effets juridiques ou factuels sur des droits importants juridiquement protégés de la personne lésée, et que les effets puissent ou non être raisonnablement évités.

(14)  Tous les systèmes d’IA présentant un risque élevé devraient être énumérés de façon exhaustive dans une annexe du présent règlement. Compte tenu de l’évolution rapide de la technique et du marché au niveau mondial, ainsi que de l’expertise technique requise pour une révision adéquate des systèmes d’IA, il y a lieu de déléguer à la Commission le pouvoir d’adopter des actes délégués conformément à l’article 290 du traité sur le fonctionnement de l’Union européenne en vue de modifier le présent règlement en ce qui concerne les types de systèmes d’IA qui présentent un risque élevé et les secteurs critiques dans lesquels ils sont utilisés. Sur la base des définitions et dispositions prévues par le présent règlement, la Commission devrait réexaminer l’annexe sans retard indû, mais au moins tous les six mois et, si nécessaire, la modifier au moyen d’actes délégués. L’évaluation par la Commission de la question de savoir si un système d’IA présente un risque élevé devrait commencer en même temps que l’évaluation de la sécurité des produits, afin de prévenir une situation dans laquelle un système d’IA à haut risque serait déjà approuvé pour le marché mais ne serait pas encore classé comme étant à haut risque et fonctionnerait donc sans couverture d’assurance obligatoire. Pour donner aux entreprises et aux organismes de recherche une sécurité suffisante en matière de planification et d’investissement, il convient de ne procéder à des changements dans les secteurs critiques que tous les douze mois. Les opérateurs devraient être invités à informer la Commission qu’ils travaillent à l’élaboration d’une technologie, de produits ou de services nouveaux qui relèvent de l’un des secteurs critiques existants prévus à l’annexe et qui pourraient ensuite être considérés comme un système d’IA à haut risque.

(15)  Il importe particulièrement que la Commission procède aux consultations appropriées de l’ensemble des parties prenantes concernées durant son travail préparatoire, y compris au niveau des experts, et que ces consultations soient menées conformément aux principes définis dans l’accord interinstitutionnel du 13 avril 2016 «Mieux légiférer»(4). Un comité permanent, dénommé «comité technique pour les systèmes d’IA à haut risque» (CTIAR), devrait apporter son appui à la Commission dans son réexamen régulier au titre du présent règlement. Ce comité permanent devrait comprendre des représentants des États membres ainsi qu’une sélection équilibrée des parties prenantes, y compris des organisations de consommateurs, des associations représentant les personnes lésées, des représentants des entreprises de différents secteurs et tailles, ainsi que des chercheurs et des scientifiques. En particulier, pour assurer leur égale participation à la préparation des actes délégués, le Parlement européen et le Conseil reçoivent tous les documents au même moment que les experts des États membres, et leurs experts ont systématiquement accès aux réunions des groupes d’experts de la Commission ainsi que du CTIAR traitant de la préparation des actes délégués.

(16)  Le présent règlement devrait couvrir le préjudice ou le dommage causé à la vie, à la santé, à l’intégrité physique, aux biens et le préjudice immatériel important entraînant une perte économique vérifiable supérieure à un certain seuil, harmonisé dans le droit de l’Union en matière de responsabilité, qui concilie l’accès à la justice des personnes lésées et les intérêts d’autres parties concernées. La Commission devrait réévaluer et aligner les seuils de dommages et intérêts dans le droit de l’Union. La notion de «préjudice immatériel important» devrait s’entendre au sens d’un préjudice en raison duquel la personne lésée subit un tort considérable, une atteinte objective et démontrable à ses intérêts personnels et une perte économique calculée en tenant compte, par exemple, des chiffres annuels moyens des revenus passés et d’autres circonstances pertinentes. Le présent règlement devrait également déterminer le montant et l’étendue de l’indemnisation, ainsi que le délai de prescription pour l’introduction des actions en responsabilité. Le présent règlement devrait fixer un plafond d’indemnisation nettement inférieur à celui prévu par la directive sur la responsabilité du fait des produits, étant donné qu’il ne fait référence qu’au préjudice ou dommage d’une seule personne, résultant d’une occurrence unique dans l’exploitation d’un système d’IA, tandis que le premier renvoie à un certain nombre de produits, voire à une ligne de produits présentant le même défaut.

(17)  L’ensemble des activités physiques ou virtuelles, des dispositifs ou procédés gérés par des systèmes d’IA qui ne figurent pas dans la liste des systèmes d’IA à haut risque établie dans l’annexe du présent règlement devraient pour leur part rester dans le champ de la responsabilité pour faute, sauf si des dispositions plus strictes sont en vigueur en droit national et dans les législations nationales sur la protection des consommateurs. Le droit national des États membres, y compris toute jurisprudence en la matière, concernant le montant et l’étendue de l’indemnisation ainsi que le délai de prescription devraient continuer à s’appliquer. Une personne qui subit un préjudice ou un dommage causé par un système d’IA qui ne figure pas dans la liste des systèmes d’IA à haut risque devrait toutefois bénéficier de la présomption de faute de l’opérateur.

(18)  La diligence qui peut être attendue de la part d’un opérateur doit être proportionnée i) à la nature du système d’IA; ii) au droit juridiquement protégé susceptible d’être lésé; iii) au préjudice ou dommage potentiel que le système d’IA pourrait causer; et iv) à la probabilité d’un tel dommage. À cet égard, il convient de tenir compte du fait que l’opérateur pourrait avoir une connaissance limitée des algorithmes et des données utilisés dans le système d’IA. Il convient de présumer que l’opérateur a fait preuve de la diligence qui peut raisonnablement être attendue de lui dans la sélection d’un système d’IA approprié si l’opérateur a sélectionné un système d’IA qui a été certifié au titre d’un système semblable au système de certification volontaire envisagé par la Commission(5). Il convient de présumer que l’opérateur a fait preuve de la diligence qui peut raisonnablement être attendue de lui durant l’exploitation du système d’IA si l’opérateur peut prouver qu’il a effectivement et régulièrement contrôlé le système d’IA durant l’exploitation et qu’il a notifié au fabricant les irrégularités potentielles au cours de l’exploitation. Il convient de présumer que l’opérateur a fait preuve de la diligence qui peut raisonnablement être attendue de lui en ce qui concerne le maintien de la fiabilité opérationnelle si l’opérateur a installé toutes les mises à jour disponibles fournies par le producteur du système d’IA. Étant donné que le niveau de sophistication des opérateurs peut varier selon qu’il s’agit de simples consommateurs ou de professionnels, les obligations de diligence devraient être adaptées en conséquence.

(19)  Les producteurs devraient être tenus de collaborer à la fois avec l’opérateur pour que celui-ci puisse prouver qu’il n’était pas en défaut, et avec la personne lésée pour qu’elle puisse prouver l’existence d’une faute, y compris en fournissant des informations bien documentées. En outre, les producteurs établis tant à l’intérieur qu’à l’extérieur de l’Union devraient avoir l’obligation de désigner un mandataire en matière de responsabilité du fait des systèmes d’IA au sein de l’Union en tant que point de contact pour répondre à toutes les demandes des opérateurs, à l’instar des délégués à la protection de données visés à l’article 37 du règlement (UE) 2016/679 du Parlement européen et du Conseil(6), du mandataire du constructeur visé à l’article 3, paragraphe 41, et à l’article 13, paragraphe 4, du règlement (UE) 2018/858 du Parlement européen et du Conseil(7) ou du mandataire visé à l’article 4, paragraphe 2, et à l’article 5 du règlement (UE) 2019/1020 du Parlement européen et du Conseil(8).

(20)  Le législateur doit prendre en considération les risques de responsabilité liés aux systèmes d’IA tout au long de leur cycle de vie, du développement à l’utilisation et à la fin de vie, y compris la gestion des déchets et du recyclage. L’intégration de systèmes d’IA dans un produit ou un service représente un risque financier pour les entreprises et aura, par conséquent, une forte incidence sur la capacité et les perspectives des PME ainsi que des start-ups en matière d’assurance et de financement de leurs projets de recherche et développement fondés sur les nouvelles technologies. L’objectif de la responsabilité est donc non seulement de préserver d’importants droits juridiquement protégés des personnes, mais aussi de déterminer si les entreprises, en particulier les PME et les start-ups, sont en mesure de lever des capitaux, d’innover, de faire de la recherche et, en définitive, d’offrir de nouveaux produits et services, ainsi que de déterminer si les consommateurs ont confiance en ces produits et services et s’ils sont disposés à les utiliser malgré les risques potentiels et les actions en justice qui sont intentées en ce qui concerne ces produits et services.

(21)  L’assurance peut contribuer à garantir que les victimes sont effectivement indemnisées et à mutualiser les risques de tous les assurés. L’un des facteurs sur lesquels les compagnies d’assurance fondent leur offre de produits et services d’assurance est l’évaluation des risques, sur la base de l’accès à des données historiques suffisantes en matière de sinistres. L’absence d’accès à des données de haute qualité ou le nombre insuffisant de données pourrait expliquer pourquoi il est difficile de créer d’emblée des produits d’assurance pour les technologies nouvelles et émergentes. Toutefois, un meilleur accès aux données générées par les nouvelles technologies et l’optimisation de leur utilisation, associés à l’obligation de fournir des informations bien documentées, renforceraient la capacité des assureurs à modéliser les risques émergents et à favoriser l’émergence d’une couverture plus innovante.

(22)  Étant donné que les données historiques relatives aux sinistres font défaut, il convient d’examiner comment et dans quelles conditions la responsabilité est assurable, en vue d’établir un lien entre l’assurance et le produit et non avec la personne responsable. Il existe d’ores et déjà des produits d’assurance qui sont développés domaine par domaine et couverture par couverture à mesure que la technologie évolue. De nombreux assureurs se spécialisent dans certains segments du marché (par exemple, les PME) ou dans la couverture de certains types de produits (par exemple, les appareils électriques): l’assuré pourra dès lors généralement disposer d’un produit d’assurance. Il est toutefois difficile d’envisager une solution uniforme et le marché de l’assurance aura besoin de temps pour s’adapter. Il convient que la Commission travaille en étroite collaboration avec le marché de l’assurance pour développer des produits d’assurance innovants capables de combler le vide en matière d’assurance. Dans les cas exceptionnels, par exemple en cas d’incident entraînant des dommages collectifs, où l’indemnisation dépasse largement les plafonds fixés dans le présent règlement, il convient d’encourager les États membres à mettre en place, pour une période limitée, un fonds d’indemnisation spécial qui réponde à ces besoins spécifiques. Des fonds d’indemnisation spéciaux pourraient également être mis en place pour couvrir les cas exceptionnels dans lesquels un système d’IA, qui ne figure pas encore dans la liste des systèmes d’IA à haut risque et qui n’est donc pas encore assuré, cause un préjudice ou un dommage. Afin de garantir la sécurité juridique et de satisfaire à l’obligation d’informer toutes les personnes potentiellement lésées, l’existence du fonds d’indemnisation spécial ainsi que les conditions pour en bénéficier devraient être rendues publiques d’une manière claire et complète.

(23)  Il est de la plus haute importance que toute modification future du présent règlement aille de pair avec la révision nécessaire de la directive sur la responsabilité du fait des produits, afin de la réviser de manière exhaustive et cohérente et de garantir les droits et obligations de toutes les parties concernées tout au long de la chaîne de responsabilité. L’introduction d’un nouveau régime de responsabilité pour l’opérateur des systèmes d’IA requiert une coordination étroite des dispositions du présent règlement et de la révision de la directive en matière de responsabilité du fait des produits défectueux, sur le plan tant du fond que de la démarche, de manière à ce qu’elles forment ensemble un cadre de responsabilité cohérent pour les systèmes d’IA, en assurant un équilibre entre les intérêts du producteur, de l’opérateur, du consommateur et de la personne lésée en ce qui concerne le risque en matière de responsabilité et les modalités d’indemnisation pertinentes. Il est donc nécessaire d’adapter et de rationaliser les définitions des termes «système d’IA», «opérateur frontal» et «opérateur d’amont», «producteur», «défaut», «produit» et «service» dans l’ensemble des actes législatifs, et ces deux processus devraient être envisagés en parallèle.

(24)  Les objectifs du présent règlement, à savoir créer une approche unifiée et tournée vers l’avenir au niveau de l’Union, qui fixe des normes européennes communes pour les citoyens et les entreprises européens afin de garantir la cohérence des droits et de la sécurité juridique dans l’ensemble de l’Union et d’éviter la fragmentation du marché unique numérique, laquelle entraverait la réalisation de l’objectif de préserver la souveraineté numérique, de promouvoir l’innovation numérique en Europe et d’assurer un niveau élevé de protection des droits des citoyens et des consommateurs,, requièrent que les régimes de responsabilité applicables aux systèmes d’IA soient pleinement harmonisés. Ces objectifs ne peuvent pas être atteints de manière suffisante par les États membres en raison de la rapidité de l’évolution technologique, du développement ainsi que de l’utilisation transfrontaliers des systèmes d’IA et, en définitive, des démarches législatives contradictoires dans l’Union, mais peuvent, en raison de l’ampleur ou des effets de l’action, l’être mieux au niveau de l’Union. L’Union peut donc prendre des mesures conformément au principe de subsidiarité consacré à l’article 5 du traité sur l’Union européenne. Conformément au principe de proportionnalité énoncé audit article, le présent règlement n’excède pas ce qui est nécessaire pour atteindre ces objectifs,

ONT ADOPTÉ LE PRÉSENT RÈGLEMENT:

Chapitre I

Dispositions générales

Article 1

Objet

Le présent règlement définit les règles applicables aux actions en responsabilité civile des personnes physiques et morales engagées à l’encontre des opérateurs des systèmes d’IA.

Article 2

Champ d’application

1.  Le présent règlement s’applique sur le territoire de l’Union lorsqu’une activité, un dispositif ou un procédé physique ou virtuel piloté par un système d’IA a causé un préjudice ou un dommage sous la forme d’une atteinte à la vie, à la santé ou à l’intégrité physique d’une personne physique ou aux biens d’une personne physique ou morale, ou a causé un préjudice immatériel important entraînant une perte économique vérifiable.

2.  Tout accord conclu entre l’opérateur d’un système d’IA et une personne physique ou morale qui subit un préjudice ou un dommage en raison du système d’IA, qui contourne ou limite les droits et obligations fixés par le présent règlement, conclu avant ou après la survenue du préjudice ou du dommage, est réputé nul et non avenu en ce qui concerne les droits et obligations fixés par le présent règlement.

3.  Le présent règlement est sans préjudice de toute autre action en responsabilité résultant des relations contractuelles ainsi que des réglementations en matière de responsabilité du fait des produits, de protection des consommateurs, de lutte contre la discrimination et de protection des travailleurs et de l’environnement, entre l’opérateur et la personne physique ou morale qui a subi un préjudice ou un dommage en raison du système d’IA et qui peut être intentée contre l’opérateur au titre du droit de l’Union ou du droit national.

Article 3

Définitions

Aux fins du présent règlement, on entend par:

a)  «système d’IA», un système qui est soit fondé sur des logiciels, soit intégré dans des dispositifs matériels, et qui affiche un comportement simulant l’intelligence, notamment en collectant et traitant des données, en analysant et en interprétant son environnement et en agissant, avec un certain degré d’autonomie, pour atteindre des objectifs spécifiques;

b)  «autonome», un système d’IA qui fonctionne en interprétant certaines données entrées et en utilisant un ensemble d’instructions prédéterminées, sans se limiter à de telles instructions, bien que le comportement du système vise à atteindre l’objectif qui lui a été assigné et qu’il soit soumis aux contraintes découlant de cet objectif et d’autres choix de conception posés par son développeur;

c)  «haut risque», un risque important, dans un système d’IA opérant de manière autonome, de causer un préjudice ou un dommage à une ou plusieurs personnes d’une manière aléatoire et qui va au-delà de ce à quoi l’on peut raisonnablement s’attendre; l’importance de ce risque dépend de l’interaction entre la gravité de l’éventuel préjudice ou dommage, le degré d’autonomie de décision, la probabilité que le risque se concrétise, la manière dont le système d’IA est utilisé et le contexte de l’utilisation;

d)  «opérateur», à la fois l’opérateur frontal et l’opérateur d’amont, dans la mesure où la responsabilité de ce dernier n’est pas déjà couverte par la directive 85/374/CEE;

e)  «opérateur frontal», toute personne physique ou morale qui exerce un certain contrôle sur un risque associé à l’exploitations et au fonctionnement du système d’IA et tire profit de son exploitation;

f)  «opérateur d’amont», toute personne physique ou morale qui, de manière continue, définit les caractéristiques de la technologie et fournit des données ainsi qu’un service de soutien en amont essentiel et exerce donc également un certain contrôle sur le risque lié à l’exploitation et au fonctionnement du système d’IA;

g)  «contrôle», toute action d’un opérateur qui influence l’exploitation d’un système d’IA et, partant, la mesure dans laquelle l’opérateur expose des tiers aux risques potentiels associés à l’exploitation et au fonctionnement du système d’IA; ces actions peuvent avoir un effet sur l’exploitation à tous les stades, en déterminant les entrées, les sorties ou les résultats, ou peuvent modifier des fonctions ou des procédés spécifiques au sein du système d’IA; la mesure dans laquelle ces aspects de l’exploitation du système d’IA sont déterminés par l’action dépend du niveau d’influence exercé par l’opérateur sur le risque lié à l’exploitation et au fonctionnement du système d’IA;

h)  «personne lésée», toute personne qui subit un préjudice ou un dommage causé par une activité, un dispositif ou un procédé, physique ou virtuel, piloté par un système d’IA, et qui n’en est pas l’opérateur;

i)  «préjudice ou dommage», un effet négatif qui porte atteinte à la vie, à la santé ou à l’intégrité physique d’une personne physique, ou aux biens d’une personne physique ou morale ou qui occasionne un préjudice immatériel important entraînant une perte économique vérifiable;

j)  «producteur», le producteur tel que défini à l’article 3 de la directive 85/374/CEE.

Chapitre II

Systèmes d’IA à haut risque

Article 4

Responsabilité objective du fait des systèmes d’IA à haut risque

1.  L’opérateur d’un système d’IA à haut risque est objectivement responsable de tout préjudice ou de tout dommage causé par une activité, un dispositif ou un procédé physique ou virtuel piloté par un système d’IA.

2.  Tous les systèmes d’IA à haut risque ainsi que tous les secteurs critiques dans lesquels ils sont utilisés sont énumérés dans l’annexe du présent règlement. La Commission est habilitée à adopter des actes délégués, conformément à l’article 13, afin de modifier cette liste exhaustive:

a)  en incluant de nouveaux types de systèmes d’IA à haut risque et les secteurs critiques dans lesquels ils sont déployés;

b)  en supprimant les types de systèmes d’IA qui ne peuvent plus être considérés comme présentant un haut risque; et/ou

c)  en modifiant les secteurs critiques pour les systèmes d’IA à haut risque existants.

Tout acte délégué modifiant l’annexe entre en vigueur six mois après son adoption. Lorsqu’elle détermine les nouveaux systèmes d’IA à haut risque et/ou secteurs critiques à insérer dans l’annexe par voie d’actes délégués, la Commission tient pleinement compte des critères énoncés dans le présent règlement, en particulier ceux qui figurent à l’article 3, point c).

3.  Les opérateurs de systèmes d’IA à haut risque ne peuvent s’exonérer eux-mêmes de leur responsabilité en faisant valoir qu’ils ont agi avec la diligence requise ou que le préjudice ou le dommage a été causé par une activité, un dispositif ou un procédé autonome piloté par leur système d’IA. Les opérateurs ne sont pas tenus pour responsables si le préjudice ou le dommage a été causé par un cas de force majeure.

4.  L’opérateur frontal d’un système d’IA à haut risque veille à ce que l’exploitation de ce système d’IA soit couverte par une assurance de responsabilité civile qui est adéquate par rapport aux montants et à l’étendue de l’indemnisation visés aux articles 5 et 6 du présent règlement. L’opérateur d’amont veille à ce que ses services soient couverts par une assurance de responsabilité civile professionnelle ou une assurance de responsabilité du fait des produits qui est adéquate par rapport aux montants et à l’étendue de l’indemnisation visés aux articles 5 et 6 du présent règlement. Si les régimes d’assurance obligatoire de l’opérateur frontal ou de l’opérateur d’amont déjà en vigueur en vertu d’une autre disposition du droit de l’Union ou d’une autre disposition du droit national, ou les fonds d’assurance d’entreprise volontaire existants sont considérés comme couvrant l’exploitation du système d’IA, l’obligation de souscrire, conformément au présent règlement, une assurance pour le système d’IA ou le service fourni est réputée remplie, pour autant que l’assurance obligatoire existante ou les fonds d’assurance d’entreprise volontaire en question couvrent les montants et l’étendue de l’indemnisation visés aux articles 5 et 6 du présent règlement.

5.  Le présent règlement prévaut sur les régimes nationaux de responsabilité en cas de divergences dans la classification des différents systèmes d’IA en matière de responsabilité objective.

Article 5

Montant de l’indemnisation

1.   L’opérateur d’un système d’IA à haut risque qui a été tenu pour responsable d’un préjudice ou d’un dommage au titre du présent règlement procède à une indemnisation:

a)  à concurrence d’un montant maximal de deux millions d’euros en cas de décès ou en cas d’atteinte à la santé ou à l’intégrité physique d’une personne lésée, résultant de l’exploitation d’un système d’IA à haut risque;

b)  à concurrence d’un montant maximal d’un million d’euros en cas de préjudice immatériel important entraînant une perte économique vérifiable, ou en cas de dommage causé aux biens, y compris lorsque plusieurs biens d’une personne lésée ont subi un dommage résultant d’une occurrence unique de l’exploitation d’un système unique d’IA à haut risque; lorsque la personne lésée peut également faire valoir la responsabilité contractuelle de l’opérateur, aucune indemnisation n’est versée au titre du présent règlement si le montant total du dommage aux biens ou du préjudice immatériel important est d’une valeur inférieure à [500 EUR](9).

2.  Lorsque l’indemnisation cumulée qui doit être versée à plusieurs personnes ayant subi un préjudice ou un dommage causé par la même exploitation d’un même système d’IA à haut risque dépasse les montants totaux maximaux prévus au paragraphe 1, les montants qui doivent être versés à chaque personne sont réduits au prorata, de sorte que l’indemnisation cumulée ne dépasse pas les montants maximaux prévus au paragraphe 1.

Article 6

Étendue de l’indemnisation

1.  Dans les limites du montant fixé à l’article 5, paragraphe 1, point a), les indemnités dues par l’opérateur tenu pour responsable en cas d’atteinte physique ayant entraîné la mort de la personne lésée sont calculées sur la base du coût des traitements médicaux que celle-ci a dû suivre jusqu’à son décès et du préjudice financier subi avant le décès du fait de la perte ou de la réduction de ses revenus financiers ou de l’augmentation de ses besoins pendant la période où elle a subi un préjudice préalable au décès. L’opérateur tenu pour responsable rembourse en outre les frais funéraires de la personne lésée décédée à la partie qui doit assumer ces frais.

Si, au moment de l’incident ayant entraîné son décès, la personne lésée était en relation avec un tiers envers lequel elle avait une obligation légale d’entretien, l’opérateur tenu responsable indemnise ce tiers en lui versant une pension équivalant à celle que la personne lésée aurait été tenue de lui verser, pour une durée correspondant à l’espérance de vie moyenne d’une personne de cet âge et de cet état général. L’opérateur indemnise également le tiers si, au moment de l’incident ayant entraîné le décès, le tiers avait été conçu, mais n’était pas encore né.

2.  Dans les limites du montant fixé à l’article 5, paragraphe 1, point b), les indemnités dues par l’opérateur tenu pour responsable en cas d’atteinte à la santé ou à l’intégrité physique de la personne lésée comprennent le remboursement des frais des traitements médicaux y afférents ainsi que le paiement de tout préjudice financier subi par la personne lésée du fait de la perte temporaire, de la réduction ou de la perte définitive de ses revenus financiers ou de l’augmentation de ses besoins, certifiée par un médecin.

Article 7

Délai de prescription

1.  Les actions en responsabilité civile intentées en vertu de l’article 4, paragraphe 1, fondées sur une atteinte à la vie, à la santé ou à l’intégrité physique, sont soumises à un délai de prescription spécial de 30 ans à compter de la date à laquelle le préjudice est survenu.

2.  Les actions en responsabilité civile intentées en vertu de l’article 4, paragraphe 1, fondées sur des dommages causés aux biens ou sur un préjudice immatériel important entraînant une perte économique vérifiable sont soumises à un délai de prescription spécial de:

a)  10 ans à compter de la date à laquelle le dommage a été causé aux biens ou à laquelle la perte économique vérifiable résultant du préjudice immatériel important est survenue, respectivement, ou

b)  30 ans à compter de la date à laquelle est intervenue l’exploitation du système d’IA à haut risque ayant occasionné ultérieurement le dommage aux biens ou le préjudice immatériel important.

Le plus court des deux délais visés au premier alinéa s’applique.

3.  Le présent article est sans préjudice du droit national régissant la suspension ou l’interruption des délais de prescription.

Chapitre III

Autres systèmes d’IA

Article 8

Responsabilité pour faute du fait d’autres systèmes d’IA

1.  L’opérateur d’un système d’IA qui n’est pas défini comme un système d’IA à haut risque au sens de l’article 3, point c), et de l’article 4, paragraphe 2, et qui ne figure donc pas dans l’annexe du présent règlement, est soumis au régime de la responsabilité pour faute en cas de préjudice ou dommage causé par une activité, un dispositif ou un procédé physique ou virtuel piloté par le système d’IA.

2.  L’opérateur n’est pas responsable s’il peut prouver que le préjudice ou le dommage a été causé sans qu’il y ait eu faute de sa part, en se fondant sur l’un des motifs suivants:

a)  le système d’IA a été activé à son insu alors que toutes les mesures raisonnables et nécessaires pour éviter une telle activation en dehors du contrôle de l’opérateur ont été prises, ou

b)  toute la diligence requise a été déployée en exécutant toutes les actions suivantes: en sélectionnant un système d’IA adapté au regard des tâches à accomplir et des capacités requises, en mettant correctement en service le système d’IA, en contrôlant ses activités et en maintenant la fiabilité opérationnelle par l’installation régulière de toutes les mises à jour disponibles.

L’opérateur ne peut échapper à sa responsabilité en faisant valoir que le préjudice ou le dommage a été causé par une activité, un dispositif ou un procédé autonome piloté par son système d’IA. L’opérateur ne peut être tenu pour responsable si le préjudice ou le dommage a été causé par un cas de force majeure.

3.  Lorsque le préjudice ou le dommage a été causé par un tiers qui a perturbé le système d’IA en modifiant son fonctionnement ou ses effets, l’opérateur est néanmoins tenu de verser des indemnités si ce tiers est introuvable ou insolvable.

4.  À la demande de l’opérateur ou de la personne lésée, le producteur d’un système d’IA est tenu de coopérer avec eux et de leur fournir des informations dans la mesure justifiée par l’importance de l’action, afin de permettre d’établir les responsabilités.

Article 9

Dispositions nationales en matière d’indemnisation et de prescription

En ce qui concerne les délais de prescription ainsi que les montants et l’étendue de l’indemnisation, les actions en responsabilité civile intentées en vertu de l’article 8, paragraphe 1, sont soumises à la législation de l’État membre dans lequel le préjudice ou le dommage est survenu.

Chapitre IV

Répartition de la responsabilité

Article 10

Faute concurrente

1.  Si le préjudice ou le dommage est causé à la fois par une activité, un dispositif ou un procédé physique ou virtuel piloté par un système d’IA et par les actions de la personne lésée ou d’une personne dont la personne lésée est responsable, l’étendue de la responsabilité de l’opérateur prévue par le présent règlement est réduite en conséquence. L’opérateur n’est pas responsable si la personne lésée ou la personne dont elle est responsable est seule responsable du préjudice ou du dommage occasionné.

2.  Un opérateur tenu responsable peut utiliser les données produites par le système d’IA pour prouver une faute concurrente de la part de la personne lésée, conformément au règlement (UE) 2016/679 et aux autres actes législatifs applicables en matière de protection des données. La personne lésée peut également utiliser ces données comme moyens de preuve ou d’éclaircissement dans l’action en responsabilité.

Article 11

Responsabilité solidaire

S’il y a plus d’un opérateur pour un système d’IA, ils sont conjointement et solidairement responsables. Si un opérateur frontal est également le producteur du système d’IA, le présent règlement prévaut sur la directive sur la responsabilité du fait des produits. Si l’opérateur d’amont peut également être considéré comme un producteur au sens de l’article 3 de la directive sur la responsabilité du fait des produits, cette dernière directive devrait lui être applicable. S’il n’existe qu’un seul opérateur et que cet opérateur est également le producteur du système d’IA, le présent règlement devrait prévaloir sur la directive sur la responsabilité du fait des produits.

Article 12

Recours en indemnisation

1.  L’opérateur ne peut engager une action récursoire que si la personne lésée a reçu intégralement toute indemnisation à laquelle elle a droit au titre du présent règlement.

2.  Dans le cas où l’opérateur est tenu conjointement et solidairement responsable avec d’autres opérateurs à l’égard d’une personne lésée et a intégralement indemnisé cette personne, conformément à l’article 4, paragraphe 1, ou à l’article 8, paragraphe 1, cet opérateur peut récupérer auprès des autres opérateurs la part des indemnités qui excède sa responsabilité proportionnelle.

Les parts de responsabilité sont déterminées au prorata du degré de contrôle exercé par les différents opérateurs sur le risque lié à l’exploitation et au fonctionnement du système d’IA. Si la contribution imputable à un opérateur conjointement et solidairement responsable ne peut être récupérée, le montant manquant est pris en charge par les autres opérateurs. Dans la mesure où un opérateur conjointement et solidairement responsable indemnise la personne lésée et réclame aux autres opérateurs responsables un ajustement des avances versées, il subroge la personne lésée dans la demande d’indemnisation à l’égard des autres opérateurs. Aucune subrogation ne peut se faire au détriment de la demande d’indemnisation initiale.

3.  Dans le cas où l’opérateur d’un système d’IA défectueux indemnise intégralement la personne lésée pour le préjudice ou le dommage occasionné, conformément à l’article 4, paragraphe 1, ou à l’article 8, paragraphe 1, du présent règlement, il peut engager une action en réparation contre le producteur du système d’IA défectueux en vertu de la directive 85/374/CEE et des dispositions nationales en matière de responsabilité du fait des produits défectueux.

4.  Dans le cas où l’assureur de l’opérateur indemnise la personne lésée pour un préjudice ou un dommage occasionné conformément à l’article 4, paragraphe 1, ou à l’article 8, paragraphe 1, l’assureur de l’opérateur subroge la personne lésée dans toute action en responsabilité civile contre une autre personne pour le même dommage à concurrence du montant de l’indemnisation versée par l’assureur de l’opérateur à la personne lésée.

Chapitre V

Dispositions finales

Article 13

Exercice de la délégation

1.  Le pouvoir d’adopter des actes délégués conféré à la Commission est soumis aux conditions fixées au présent article.

2.  Le pouvoir d’adopter des actes délégués visé à l’article 4, paragraphe 2, est conféré à la Commission pour une période de cinq ans à compter du [date d’application du présent règlement].

3.  La délégation de pouvoir visée à l’article 4, paragraphe 2, peut être révoquée à tout moment par le Parlement européen ou le Conseil. La décision de révocation met fin à la délégation de pouvoir qui y est précisée. La révocation prend effet le jour suivant celui de la publication de ladite décision au Journal officiel de l’Union européenne ou à une date ultérieure qui est précisée dans ladite décision. Elle ne porte pas atteinte à la validité des actes délégués déjà en vigueur.

4.  Avant l’adoption d’un acte délégué, la Commission consulte le comité technique permanent pour les systèmes d’IA à haut risque (CTIAR), conformément aux principes définis dans l’accord interinstitutionnel du 13 avril 2016 «Mieux légiférer».

5.  Aussitôt qu’elle adopte un acte délégué, la Commission le notifie au Parlement européen et au Conseil simultanément.

6.  Tout acte délégué adopté en vertu de l’article 4, paragraphe 2, n’entre en vigueur que si le Parlement européen ou le Conseil n’a pas exprimé d’objections dans un délai de deux mois à compter de la notification de cet acte au Parlement européen et au Conseil ou si, avant l’expiration de ce délai, le Parlement européen et le Conseil ont tous deux informé la Commission de leur intention de ne pas exprimer d’objections. Ce délai est prolongé de deux mois à l’initiative du Parlement européen ou du Conseil.

Article 14

Réexamen

Au plus tard le 1er janvier 202X [3 ans après la date d’application du présent règlement], puis tous les trois ans, la Commission présente au Parlement européen, au Conseil et au Comité économique et social européen un rapport détaillé réexaminant ce règlement à la lumière des évolutions de l’intelligence artificielle.

Lors de l’élaboration du rapport visé au premier alinéa, la Commission demande aux États membres de fournir des informations pertinentes sur la jurisprudence, les transactions judiciaires et les statistiques d’accidents, telles que le nombre d’accidents enregistrés, les dommages causés, les applications d’IA concernées ou encore les indemnités versées par les compagnies d’assurance, ainsi qu’une évaluation du nombre d’actions intentées par les personnes lésées, individuellement ou collectivement, et des délais dans lesquels ces actions sont traitées au tribunal.

La Commission accompagne son rapport, le cas échéant, de propositions législatives destinées à remédier aux lacunes mises en lumière par le rapport.

Article 15

Entrée en vigueur

Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.

Il est applicable à partir du 1er janvier 202X.

Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.

Fait à ..., le

Par le Parlement européen Par le Conseil

Le président Le président

(1) JO ... (2) JO ... (3) Directive 85/374/CEE du Conseil du 25 juillet 1985 relative au rapprochement des dispositions législatives, réglementaires et administratives des États membres en matière de responsabilité du fait des produits défectueux (JO L 210 du 7.8.1985, p. 29). (4) JO L 123 du 12.5.2016, p. 1. (5) Voir p. 24 du livre blanc de la Commission européenne du 19 février 2020 intitulé «Intelligence artificielle – Une approche européenne axée sur l’excellence et la confiance» (COM(2020)0065). (6) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1). (7) Règlement (UE) 2018/858 du Parlement européen et du Conseil du 30 mai 2018 relatif à la réception et à la surveillance du marché des véhicules à moteur et de leurs remorques, ainsi que des systèmes, composants et entités techniques distinctes destinés à ces véhicules, modifiant les règlements (CE) nº 715/2007 et (CE) nº 595/2009 et abrogeant la directive 2007/46/CE (JO L 151 du 14.6.2018, p. 1). (8) Règlement (UE) 2019/1020 du Parlement européen et du Conseil du 20 juin 2019 sur la surveillance du marché et la conformité des produits, et modifiant la directive 2004/42/CE et les règlements (CE) nº 765/2008 et (UE) nº 305/2011 (JO L 169 du 25.6.2019, p. 1). (9) Montant à réviser par la Commission comme indiqué au paragraphe 19 de la résolution.

[...]