En fait. Le 7 mai, l’EANA (European Alliance of News Agencies), association des agences de presse européennes de type AFP a apporté son soutien à la proposition de la commission juridique du Parlement européen d’instaurer un « droit voisin » que devraient payer les GAFA aux agences et éditeurs de presse.
Archives par mot-clé : Juridique
Justice prédictive et « boîtes noires » : qui gardera les algorithmes dans notre démocratie numérique ?
Le prédictif — à grand renfort d’intelligence artificielle et d’algorithmes — nous apporte un nouveau type de connaissances. Mais il faut identifier les possibles effets pervers de « la boîte noire » et éviter que la justice prédictive ne devienne une justice « performative » ou « auto-réalisatrice ».
Fabrice Lorvo*, avocat associé, FTPA.
Le rapport Villani (1) sur l’intelligence artificielle (IA) – laquelle est, rappelonsle, le fait de créer des processus cognitifs comparables à ceux de l’être humain – préconise que la France avec l’Europe devienne un leader mondial de l’intelligence artificielle. Il s’agit de donner un sens à cette intelligence, qui doit seconder et non remplacer l’intelligence humaine.
Prédire jusqu’aux comportements humains
L’essor de l’IA est irrémédiable car il constitue a priori, aux yeux de tous, un progrès. Cette évolution technologique ne doit cependant pas nous faire oublier l’expérience acquise et la relativité du progrès, lequel peut apporter une amélioration immédiate puis être aussi porteur à plus long terme d’effets extrêmement néfastes sur les humains. L’amiante en est un exemple topique. Vanté au début du XIXe siècle pour ses vertus techniques, utilisé à outrance notamment pour la reconstruction d’aprèsguerre, il est apparu postérieurement que les effets à long terme de ce type de minéral à texture fibreuse étaient létaux pour l’homme.
Outre ce caractère irrémédiable, force est de constater que le progrès numérique (2) est ambivalent, c’est-à-dire qu’il amplifie à la fois des effets positifs comme des effets négatifs, et qu’il est difficile de tenter de corriger les effets négatifs sans impacter les effets positifs. L’IA n’échappe donc pas à des réserves. Ce nouveau type d’intelligence et de connaissance — avec l’ingénierie inversée (3) — offre des possibilités multiples, et l’on se prend à rêver d’un algorithme permettant de lutter contre, par exemple, le piratage sur Internet ou les contenus illicites en lignes. Nous nous intéresserons uniquement à la justice prédictive. On peut distinguer deux grands types de débouchés possibles : prédire les décisions de justice (sur la base des décisions de justice rendues dans le passé) ou prédire les comportements humains individuels à venir. Cette dernière catégorie concerne principalement l’aspect pénal de la justice. Elle est déjà utilisée depuis plus de dix ans aux Etats-Unis pour mesurer les risques de dangerosité ou de récidive d’un individu. En principe, en France, une telle utilisation n’est pas possible dès lors qu’elle est interdite par la loi. Cette interdiction doit cependant être nuancée car si la loi « Informatique et Libertés » de 1978 interdit que les décisions de justice impliquant une appréciation sur le comportement d’une personne soient prises par des algorithmes (4), la jurisprudence limite l’interdiction à l’exclusivité du fondement de la décision, considérant ainsi que ladite loi n’a ni pour objet ni pour effet d’interdire
à la juridiction de prendre en compte, parmi d’autres éléments d’appréciation, les résultats d’un tel traitement (5). Une étude parue en janvier 2018 dans Science Advances (6) démontre que le logiciel d’évaluation des risques Compas (7), commercialisé par une société privée américaine (Northpointe) et largement utilisé
par — selon cette société — l’équipement de 200 systèmes de justice pénale aux
Etats-Unis et au Canada, n’est pas plus précis ou équitable que les prédictions faites par des personnes ayant peu ou pas d’expertise en justice pénale. Cette étude démontre en outre qu’avec beaucoup moins d’informations que Compas (seulement
7 critères comparés aux 137 du questionnaire de Compas (8)), une petite foule de personnes inexpérimentées est aussi précise que Compas pour prédire la récidive.
A priori et à ce jour, les algorithmes prédictifs n’ont pas démontré une suprématie
par rapport à la décision humaine en termes d’efficacité. En France, par exemple, le Conseil d’Etat cite un rapport de l’Institut Montaigne publié en 2017 et intitulé « Justice : faites entrer le numérique », selon lequel « le taux actuel de sûreté des algorithmes prédictifs en droit ne semble pas, en l’état, excéder 70 %, ce qui n’est pas si élevé et
ne saurait fonder des certitudes » (9). A l’inverse, de tels algorithmes sont critiqués car sujets à de nombreux biais cognitifs principalement des biais sexistes, raciaux et de classes sociales (10).
Boîte noire et secret des affaires : risques
Outre l’efficacité relative des algorithmes, au moins deux critiques essentielles doivent être conservées à l’esprit en matière de justice prédictive, à savoir, le syndrome de
« la boîte noire » et le risque de « performativité » de la justice. Pour la boîte noire,
il ne s’agit pas ici de celle de l’aéronautique (qui est en fait orange) mais bien de la représentation d’un système sans comprendre son fonctionnement interne. Les codes sources des algorithmes sont généralement incompréhensibles pour le commun des mortels, et confidentiels car couverts par le secret des affaires. Une des causes de cette opacité réside dans le fait que les algorithmes utilisés, notamment par le pouvoir régalien (justice, police, défense, etc.), nécessitent de tels investissements financiers qu’ils ne sont développés que par le secteur privé.
Transparence, intégrité et capacité de jugement
Outre les questions de souveraineté, lorsque le prestataire est d’une nationalité différente, se pose de manière prégnante la question du secret des affaires. On peut comprendre qu’une société privée souhaite conserver son avantage concurrentiel, fruit de ses investissements et du risque pris en R&D, en gardant secret le fonctionnement de ces algorithmes. A l’inverse, dès lors que lesdits algorithmes sont de nature à avoir un impact sur la liberté des citoyens, il est plus que légitime que de pouvoir comprendre la manière dont il fonctionne et de pouvoir vérifier l’intégrité et la pertinence du modèle. L’exemple magistral du scandale récent du « Dieselgate » a démontré qu’un algorithme pouvait être trompeur et que le résultat qui s’affiche à l’écran peut travestir la réalité.
De plus, il faut être en mesure de pouvoir vérifier la neutralité des algorithmes. Il se pose, là encore, la question de savoir si l’homme est prédictible et jusqu’où il peut être modélisé de manière mathématique. Les algorithmes peuvent implicitement se référer
à un concept d’homme idéal ou de norme socialement acceptable. Sans défiance particulière pour les mathématiciens et/ou ingénieurs du secteur privé, ce type de questions relève du débat de société et l’établissement de telles normes – qui constituent déjà une sérieuse entorse à l’indispensable diversité humaine, sociale
ou culturelle – est de la compétence exclusive des pouvoirs publics, protecteurs de l’intérêt général et des droits fondamentaux. Reste aussi la question de la complétude, l’exactitude et l’intégrité de la base de données sur lequel les algorithmes vont travailler.
Cette nécessité de transparence et de compétences, ainsi que les problèmes éthiques induits que posent des algorithmes, a suscité diverses propositions qu’il convient de continuer à explorer. Le rapport Villani évoque « la constitution d’un corps d’experts publics assermentés en mesure de procéder à des audits d’algorithmes, des bases
de données et de procéder à des tests par tous moyens requis ». De même, le Québec a récemment proposé la création d’une « organisation mondiale de l’intelligence artificielle pour travailler sur les enjeux sociétaux et éthiques de cette technologie » (11). Une des grandes questions de la démocratie depuis l’Antiquité a été de savoir
« Qui gardera les gardes ? » ; celle de notre démocratie numérique sera probablement : « Qui gardera les algorithmes ? ». A la vitesse à laquelle l’intelligence artificielle progresse, tout cela ne constitue que des balbutiements et des ajustements temporaires, et que les algorithmes seront prochainement d’une grande fiabilité. Cet espoir n’est pas illusoire mais il est insuffisant. Ne négligeons pas le fait que le prédictif nous apporte un nouveau type de connaissances et qu’il nous faut en identifier les possibles effets pervers. Il faut avoir conscience et éviter que la justice prédictive ne devienne une justice performative ou auto-réalisatrice. En effet, si l’analyse des décisions passées permet de dégager une opinion majoritaire, il faut garder à l’esprit la possibilité que le juge soit influencé par ce résultat : soit qu’il renonce spontanément à sa liberté d’appréciation du fait de la quantité de jugements passés rendus dans un sens, soit qu’il ne souhaite pas prendre le risque de soutenir une position contraire.
En d’autres termes, le résultat produit par les algorithmes peut être de nature à s’imposer, volontairement ou non, au juge. Les algorithmes pourraient donc affecter la capacité de jugement des juges et/ou ôter à la jurisprudence son rôle qui permet de faire évoluer le droit en prenant en considération l’évolution de la société. Dans ces conditions, le règne des décisions passées serait de nature à empêcher toute variation dans le futur. Quant au juge, il pourrait sous la pression des décisions de ses prédécesseurs, réduire sa capacité de juger et limiter son rôle à celui de répétiteur du passé et non plus, de facilitateur de l’avenir.
Équilibre entre conviction et uniformisation
Un autre élément serait de nature à figer la jurisprudence, à savoir l’absence de prise en compte de la hiérarchie des décisions judiciaires qui sont pourtant de nature très diverse (première instance, appel ou de cassation). Cette hiérarchie a une fonction :
« Les arrêts des formations supérieures viennent poser, dans une navigation juridictionnelle parfois périlleuse, des phares et des balises aidant au repérage que la multitude des décisions d’espèce ne doit pas masquer » (12) (*). Le risque, c’est que l’exploitation de ces décisions en ligne ne prenne plus en considération cette hiérarchie. Notre système judiciaire est le fruit d’un mécanisme d’horloger permettant un difficile équilibre entre l’intime conviction du juge et l’uniformisation de la jurisprudence. C’est un titanesque défi de vouloir transcrire cet équilibre en une équation mathématique. @
* Auteur du livre « Numérique : de la révolution au naufrage ? »,
paru en 2016 chez Fauves Editions.
Le tabou de la propriété des données personnelles, éléments de la personnalité et objets de commerce
Parler de la « propriété » des données personnelles est un quasi-blasphème
pour certains. Autant dans l’entreprise, ces dernières font partie du fonds de commerce, autant pour les individus, elles ne sont pas considérées comme tel. Les contrats suffisent-ils ou faut-il créer un droit spécifique ?
Par Winston Maxwell, avocat associé, et Maxime Cordier, stagiaire*, Hogan Lovells
Les entreprises traitent régulièrement les données comme un élément de patrimoine. L’exemple le plus connu est la liste des clients, élément du fonds de commerce (1). Cette liste peut être vendue dans le cadre d’une cession de fonds de commerce,
et si une entreprise concurrente
se l’approprie sans autorisation, le propriétaire du fonds de commerce peut demander réparation en justice. La liste de clients peut figurer au bilan comme une immobilisation incorporelle. Dans les fusions et acquisitions, la valeur des données peut représenter une partie importante du prix de cession. Alors, pourquoi donc autant de difficulté à parler de la « propriété » de données ?
Propriété pour un marché plus efficace ?
La propriété des données pose question sous l’angle de la personne qui les génère,
et sous l’angle de l’entreprise qui les collecte. En ce qui concerne l’individu, le Conseil d’Etat rejette l’idée qu’une personne puisse être propriétaire de ses données à caractère personnel (2). Celles-ci sont conçues comme un élément de la personnalité, et par là, incessibles. La reconnaissance d’un tel droit limiterait pour les pouvoirs publics la possibilité de protéger les individus. Le Conseil d’Etat propose la reconnaissance d’un droit à l’« autodétermination informationnelle », sur le modèle allemand. D’autres encore appellent à une gestion collective des données personnelles, pensées comme un « bien commun » (3). Certains soutiennent que l’individu devrait disposer d’un droit de propriété afin de créer un marché et corriger le déséquilibre entre les individus et certaines grandes plateformes Internet. L’avocat Alain Bensoussan propose de passer d’une logique du don à une logique de l’échange, nécessitant la reconnaissance par les pouvoirs publics d’un droit de propriété sur les données personnelles (4). Utiliser les données comme une monnaie d’échange est reconnu dans le projet de directive européenne de 2015 concernant certains aspects des contrats de fourniture de contenu numérique : « Dans l’économie numérique, les acteurs du marché ont souvent et de plus en plus tendance à considérer les informations concernant les particuliers comme ayant une valeur comparable à celle de l’argent. Il est fréquent que du contenu numérique soit fourni, non pas en échange d’un paiement, mais moyennant une contrepartie non pécuniaire, c’est-à-dire en accordant l’accès à des données à caractère personnel ou autres » (5). Les données à caractère personnel seraient à la fois un objet de commerce et un élément de la personnalité, protégé en tant que droit fondamental.
Les droits de propriété intellectuelle classiques ne reconnaissent pas les données brutes comme un objet de protection. La protection sui generis bénéficient aux bases
de données non « créatives » si elles ont fait l’objet d’un « investissement substantiel du point de vue qualitatif ou quantitatif » (6). Néanmoins, les données en elles-mêmes ne sont pas protégées. Beaucoup de bases de données issues d’objets connectés pourraient ne pas bénéficier la protection sui generis de la directive, soit qu’elles ne sont pas créatives, soient qu’elles ne pourraient bénéficier de la protection sui generis. Certains auteurs soutiennent que la création d’objets connectés avec des capteurs n’entrerait pas dans le calcul de « l’investissement substantiel » nécessaire pour la protection sui generis des bases de données (7). En tout état de cause, cette protection sui generis ne permet pas une protection entière de la base de données, puisque des extractions et réutilisations de parties non substantielles du contenu de la base de données peuvent être réalisées tant qu’elles ne causent pas de préjudice injustifié aux intérêts légitimes du fabricant de la base.
La protection du secret des affaires
La directive européenne de 2016 sur le secret des affaires (8) permet de protéger le détenteur de données personnelles contre l’acquisition, l’usage et la divulgation illicite de certains secrets. Cependant, son champ d’application se limite aux informations
qui « ne sont pas généralement connues des personnes appartenant aux milieux qui s’occupent normalement du genre d’informations en question, ou ne leur sont pas aisément accessibles ». Pour certains auteurs (9), il n’est pas assuré que les données produites par les capteurs des objets connectés puissent être protégées. Les données ne seraient d’ailleurs protégées que contre certaines actions illégales. Les prérogatives issues de la protection par le « secret des affaires » ne peuvent être qualifiées de droit de propriété, mais ce droit consacre néanmoins une certaine protection, à l’instar de la protection accordée à une liste de clients d’une entreprise (10).
Créer un droit de propriété spécifique ?
Cependant, faut-il nécessairement un droit de propriété spécifique ? Certains ne le pensent pas, car le marché des données fonctionne très bien uniquement sur la base de contrats (11). Ils citent le cas des droits sportifs. Dans de nombreux pays, les événements sportifs ne bénéficient pas d’un droit de propriété intellectuelle. Et pourtant les droits de rediffusion se négocient à prix d’or ! La raison est liée à la possibilité technique de contrôler l’accès au stade. L’organisateur de l’événement sportif peut autoriser un seul diffuseur à accéder au stade pour filmer l’événement, créant ainsi une rareté qui se monnaie. Selon le centre de recherche de la Commission européenne, le Joint Research Centre (JRC), les données seraient comme un match de foot : pas de droit de propriété intellectuelle spécifique, mais une maîtrise technique de l’accès aux données qui permet une négociation efficace par voie contractuelle. « Je donne accès
à mes données à Alice, mais pas à Bob ». Si le marché s’organise efficacement autour de contrats – comme c’est le cas pour les événements sportifs – aucun besoin de créer un droit de propriété spécifique. Le règlement général sur la protection des données,
dit RGPD et applicable à partir du 25 mai 2018, reconnaît une série de droits pour l’individu, et impose une série d’obligations au responsable du traitement pour garantir le respect des droits de l’individu (lire encadré ci-dessous). Le RGPD n’utilise jamais
le terme « propriété » pour caractériser les droits de l’individu ou des droits du responsable du traitement. Et pourtant, selon le JRC, le RGPD reconnaît implicitement un droit de propriété pour le responsable de traitement (12). Il s’agit d’un droit de propriété implicite pour l’ensemble des droits résiduels liés aux données. @
Maxime Cordier est étudiant
« Data Protection Officer » (DPO), à l’université Paris II
Panthéon-Assas, et stagiaire au département
« droit et contrats des données » de Hogan Lovells.
Réformer la régulation de l’audiovisuel sans injurier la liberté de la presse
« Nous vivons une époque formidable », une époque où un président courageux envisage suffisamment tôt dans son mandat – une réforme d’ampleur qui porte
à la fois sur la réglementation audiovisuelle et sur les acteurs de l’audiovisuel public, tout en tentant de s’attaquer aux fake news.
La législation française permet-elle de protéger entreprises et médias contre les cyberattaques ?
Le 7 novembre 2017, la Cour de cassation confirmait la condamnation d’un individu pour avoir participé au groupement Anonymous en vue d’une attaque par déni de service. Décision isolée ? Ou les entreprises et les médias ont-elles les moyens juridiques pour lutter contre les cyberattaques ?