top of page
Search

Une Analyse de Droit International Privé Européen du Règlement sur l’Intelligence Artificielle : Défis et Perspectives

Sakhavat Yusifov
Dec 4, 2024
 
INTRODUCTION
Théorisée dans les années 1950[1], l’intelligence artificielle (IA) a connu un développement fulgurant grâce à la combinaison du Big Data avec les avancées significatives dans les technologies de stockage et de calcul[2]. Elle est aujourd’hui omniprésente et joue déjà un rôle important dans notre vie quotidienne : elle peut, par exemple, contribuer à l'établissement d'un diagnostic médical, à la suggestion de contenu sur Internet ou à la conduite autonome d'un véhicule [3].
 L'Union européenne (UE) a exprimé dès 2017 sa volonté d’aborder les questions liées à l’IA en adoptant une série de résolutions, déclarations, livres blancs et propositions de réglementation dans ce domaine[4]. Dans une première résolution, le Parlement européen a signalé la nécessité de définir une série de règles en matière d’IA reflétant  les valeurs humanistes intrinsèquement européennes[5]. Bien que ces résolutions n'aient pas de portée normative obligatoire, le Parlement européen a pu, dans ce cadre[6], recommander à la Commission d'adopter des mesures législatives. 
Ce besoin de réglementation et de cadre juridique, souligné tant par le Parlement que par la Commission, a abouti à l’adoption du règlement n° 2024/1689, également appelé « Règlement sur l’intelligence artificielle », considéré comme la première réglementation en la matière.
Dans le premier article de ce règlement, il est affirmé que « l’objectif du règlement est d’améliorer le fonctionnement du marché intérieur et de promouvoir l’adoption d’une intelligence artificielle axée sur l’humain et digne de confiance, tout en garantissant un niveau élevé de protection de la santé, de la sécurité et des droits fondamentaux consacrés dans la Charte, notamment la démocratie, l’état de droit et la protection de l’environnement, contre les effets néfastes des systèmes d’IA dans l’Union, et en soutenant l’innovation ».
En adoptant une approche fondée sur les risques, le règlement fixe des exigences pour les systèmes d’intelligence artificielle à haut risque et établit des obligations pour les opérateurs. Il instaure également des obligations de transparence pour certains systèmes d’IA et interdit certaines pratiques inacceptables dans ce domaine.
Bien que le règlement ne régisse pas directement les questions de la responsabilité en cas de dommage causé par l'IA, réduisant ainsi  son impact sur le droit international privé européen, il établit des exigences et des obligations spécifiques pour différents opérateurs intervenant dans la chaîne de valeur de l’IA.
Dans le cadre de notre sujet, l’aspect central de ce règlement est sa portée extraterritoriale[7], c'est-à-dire qu’il s’applique aux opérateurs et utilisateurs de systèmes d’IA, qu’ils soient établis au sein ou en dehors de l’Union européenne. Cette application au-delà des frontières de l'UE  soulève des enjeux juridiques complexes en droit international privé, notamment en ce qui concerne le conflit de lois et le conflit de juridictions. Le conflit de lois surgit lorsque les lois de plusieurs pays peuvent s'appliquer à une même situation, posant ainsi la question de savoir « quelle loi doit régir une relation de droit privé comportant des rattachements avec plusieurs pays »[8]. Le conflit de juridictions, quant à lui, survient lorsque plusieurs tribunaux de différents pays se trouvent compétents pour juger une affaire.
Le droit international privé des obligations civiles et commerciales au sein de l'Union européenne est aujourd'hui largement réglementé, tant en matière de conflit de lois qu’en matière de conflit de juridictions. Les questions de conflit de juridictions sont régies par le règlement Bruxelles I bis[9], qui détermine la compétence judiciaire et l'exécution des décisions en matière civile et commerciale. Les conflits de lois sont quant à eux, encadrés par le règlement Rome I[10] pour les obligations contractuelles et par le règlement Rome II[11] pour les obligations non contractuelles. Au regard d’un arsenal juridique européen aussi développé, l’application extraterritoriale du règlement sur l’IA peut entrer en tension avec les législations nationales divergentes, créant ainsi des défis pour la cohérence et la prévisibilité juridique dans les litiges transfrontaliers liés à l’IA.
En plus de son extraterritorialité,  ce règlement a un impact sur le droit international privé avec ses dispositions impératives, visant à protéger des intérêts publics essentiels, tels que la sécurité et les droits fondamentaux,   lesquelles peuvent consister en des facteurs de perturbation.
Cet article propose une analyse du règlement sur l’IA sous l’angle du droit international privé européen, en mettant en lumière les principales implications de son champ d’application extraterritorial avec les règles existantes en matière de conflit de lois et de juridiction (I). Nous examinerons également comment les dispositions du règlement peuvent être des facteurs de perturbation permettant d’écarter la loi normalement applicable (II).
 
I. LE CHAMP D’APPLICATION EXTRATERRITORIAL DU RÈGLEMENT 
Le règlement sur l'intelligence artificielle étend son champ d'application au-delà du territoire de l'Union européenne, soulevant ainsi des questions juridiques spécifiques. Nous examinerons donc comment s'opère cette application extraterritoriale (A) et quelles sont ses répercussions sur le droit international privé européen (B).
 
A.   L'application extraterritoriale du règlement
L’article 2 du Règlement sur l’intelligence artificielle détermine unilatéralement son champ d’application avec une portée extraterritoriale. En vertu de cet article, le règlement s’applique aux fournisseurs[12] et aux déployeurs[13], indépendamment de leur lieu d'établissement dès lors qu’ils agissent sur le marché européen ou exploitent des systèmes d'IA dans l'Union européenne. Il concerne également les importateurs[14], distributeurs[15] et fabricants de produits intégrant des systèmes d'IA, ainsi que les mandataires[16] représentant des fournisseurs extérieurs à l'Union. Enfin, les systèmes d'IA fabriqués hors de l'UE mais utilisés sur son territoire sont également soumis à ce règlement[17].
À titre d'illustration, nous pouvons envisager une société américaine qui, en tant que fournisseur, développe un logiciel d’IA destiné à filtrer les candidatures d'emploi. Elle conclut un contrat avec une société canadienne, qui intervient en tant que distributeur et importe le logiciel pour le commercialiser auprès d’entreprises situées dans l'Union européenne. Ainsi, une entreprise française utilise ce logiciel dans ses processus de recrutement. Bien que le fournisseur et le distributeur soient tous deux établis en dehors de l'Union, le règlement s'applique à eux en raison de la mise sur le marché européen de ce logiciel. Quant à l’entreprise française, elle est soumise au règlement en raison de son rôle de déployeur, exploitant le logiciel au sein de l’Union.
Bien que cette portée étendue du règlement cherche à assurer son efficacité,  elle soulève des défis juridiques en matière de droit international privé européen.

B.    L'impact de l'extraterritorialité sur le droit international privé européen
Comme nous l’avons indiqué, l'impact de l'article 2 sur le droit international privé est limité, car le règlement ne contient pas explicitement de dispositions sur la responsabilité civile ou l'introduction de droits individuels[18]. Toutefois, lorsque le règlement sera invoqué dans le cadre action en  responsabilité délictuelle, des questions concernant son applicabilité pourraient surgir du point de vue du droit international privé. Il convient également de mentionner que la proposition de directive sur la responsabilité civile en matière d’IA[19] couvre la faute liée au non-respect de certaines exigences de ce règlement. Il est donc très probable que le large champ d’application géographique du règlement pose certains défis en droit international privé européen.
Les difficultés induites par ce caractère extraterritorial du règlement mettent en lumière les défis rencontrés par le règlement général sur la protection des données[20] (RGPD) en la matière. Ces difficultés peuvent concerner à la fois les questions de loi applicable et de compétence juridictionnelle.
En ce qui concerne les problèmes de conflit de lois, lorsque l’établissement des opérateurs concernés par l’article 2 n’est pas situé dans l’Union, un « conflit d’emprises normatives »[21] pourrait se produire entre un État membre et un État tiers, avec des questions de droit substantiel. C'est le cas, par exemple, lorsqu'une entreprise non européenne est soumise au règlement européen pour des clients en Europe, mais que les lois de son propre pays imposent des obligations différentes; ainsi, un conflit d'emprises normatives peut survenir[22].
Quant à la détermination de la loi applicable, tandis que l’applicabilité du règlement dépend directement de l'article 2, le juge d’un État membre saisi d’un litige concernant la responsabilité délictuelle en matière d’IA doit se référer au règlement Rome II pour établir le régime de responsabilité applicable, étant donné que cette question n’est pas couverte par le règlement sur l’IA[23].
Sur le plan de la compétence, contrairement au RGPD, le règlement sur l’IA ne pose pas de règle de conflit de juridictions. En vertu de l'article 79 du RGPD, le juge compétent est soit celui de l'État membre où se trouve l'établissement du responsable du traitement ou du sous-traitant, soit celui de l'État membre où réside habituellement la personne concernée, c’est-à-dire la personne dont les données personnelles sont traitées. En l'absence de règles de compétence spéciales, les actions dans lesquelles le règlement sur l’IA est invoqué seraient soumises au règlement Bruxelles I bis pour les défendeurs domiciliés sur le territoire d’un État membre et au droit commun des États membres pour les défendeurs non européens[24].
Bien que certains auteurs aient critiqué cette absence de règle de conflit de juridictions dans la proposition de règlement et aient suggéré l’adoption de règles de compétence spéciales harmonisées avec le règlement Bruxelles I bis, le législateur européen n’a pas suivi ces critiques[25].
L’absence de règles de compétence adaptées à l'application extraterritoriale du règlement peut poser des difficultés, surtout en cas de défendeurs non européens. En effet, l’application des règles nationales de droit international privé pourrait réduire la prévisibilité pour les défendeurs. C’est la raison pour laquelle une règle de compétence spéciale pourrait garantir une plus grande cohérence et prévisibilité juridique.
Outre des problèmes liés à l'absence de règles de conflit de juridictions, le champ d'application extraterritorial du règlement peut également engendrer des difficultés de prévisibilité pour les fournisseurs non européens[26]. Prenons ainsi l’exemple d’une société chinoise qui développe un logiciel d'IA pour recommander de la musique et le vend à des entreprises dans divers pays non européens. Une entreprise brésilienne utilise ce logiciel pour proposer des playlists à des utilisateurs situés en Europe. Bien que le fournisseur chinois ne vende pas directement dans l'Union européenne, les sorties produites par l'IA sont utilisées sur le territoire de l'Union, rendant ainsi le règlement applicable. Dans cette situation, le fournisseur doit anticiper non seulement les juridictions où ses systèmes d'IA pourraient être déployés, mais également celles où les résultats de ces systèmes pourraient être exploités.
 
II. LES DISPOSITIONS IMPÉRATIVES DU RÈGLEMENT À L’ORIGINE DE FACTEURS DE PERTURBATION
En droit international privé, les solutions issues des règles de conflits de lois sont susceptibles d’être remises en cause par des mécanismes perturbateurs tels que les lois de police (A) et l’exception d’ordre public international (B).
 
A.   Les lois de police
Les lois de police sont « des règles matérielles internes qui, contrairement aux règles matérielles internes ordinaires, s’appliquent sans la médiation de la règle de conflit de lois »[27]. Ainsi, elles s'appliquent dans certaines situations internationales en écartant le recours aux règles de conflit de lois au profit de l'application directe de la loi du for. Historiquement, Francescakis a grandement contribué à la conceptualisation moderne des lois de police. Il les définissait comme « toute loi dont l’observation est nécessaire pour la sauvegarde de l’organisation politique, économique ou sociale d’un pays »[28].
 Un exemple classique sont les règles de la loi française du 31 décembre 1975, qui protègent les sous-traitants en instituant le bénéfice pour eux du  droit de réclamer paiement direct au maître de l’ouvrage[29]. Ainsi, elles s’appliquent dès lors que la sous-traitance porte sur un immeuble situé en France, même si le contrat de sous-traitance est régi par une loi étrangère.
L’article 16 du règlement Rome II indique que « les dispositions du présent règlement ne portent pas atteinte à l’application des dispositions de la loi du for qui régissent impérativement la situation, quelle que soit la loi applicable à l’obligation non contractuelle ». Même si le règlement ne retient pas l’expression de « lois de police » à cause d’un accident de traduction, il est indéniable que ce sont des lois de police. La Cour de justice ainsi  précisé que la notion de « dispositions impératives dérogatoires » de l’article 16[30] répond à la définition des « lois de police » au sens de l’article 9 du règlement Rome I[31]. Ces lois de police sont particulièrement pertinentes dans des domaines où les enjeux liés aux droits fondamentaux sont cruciaux, comme c'est le cas avec l'intelligence artificielle.
Il est clair que l’activité de certains systèmes d’IA est fortement liée aux considérations relatives aux droits de l'homme. À titre d’exemple, nous pouvons citer le cas de l’utilisation des données personnelles pour entraîner l'apprentissage automatique de l’IA, qui soulève un certain nombre de préoccupations en matière de protection de la vie privée ; ou la prise de décision automatique de l’IA, qui pourrait être discriminatoire en raison de données biaisées[32].
Toutes ces préoccupations font naturellement l'objet de dispositions impératives tant au niveau national qu'au niveau de l'UE[33]. Comme cela a été souligné précédemment, le règlement sur l’intelligence artificielle poursuit l’objectif de garantir un niveau élevé de protection de la santé, de la sécurité et des droits fondamentaux. Afin d’assurer cet objectif et de garantir la protection des intérêts publics, il établit des règles communes pour les systèmes d’IA à haut risque.
Il est donc très probable que certaines des dispositions du règlement soient appliquées par les juridictions des États membres comme lois de police pour écarter l’application d’une loi étrangère moins protectrice. En l’absence de réglementation harmonisée en matière d’IA dans les États tiers, l’article 16 du règlement Rome II pourrait venir à s’appliquer lorsqu’il est question d’un système d’IA[34].
 
B. L’ordre public international
L’autre facteur de perturbation est le mécanisme de l’exception de l’ordre public international qui permet d’écarter la loi étrangère désignée par les règles de conflit  lorsque son contenu est contraire aux valeurs fondamentales du for.
 L’article 26 du règlement Rome II précise que « l'application d'une disposition de la loi d'un pays désignée par le présent règlement ne peut être écartée que si cette application est manifestement incompatible avec l'ordre public du for ».
Pour les mêmes raisons évoquées  précédemment concernant les lois de police, il est probable que le règlement sur l’intelligence artificielle ait des conséquences sur le mécanisme de l’exception de l’ordre public. Par exemple, une loi étrangère autorisant l'utilisation d’un système d'IA pour attribuer une « note sociale[35] » impactant l'accès aux services publics pourrait être applicable selon la règle de conflit de lois objective. En revanche, le règlement interdit explicitement l’utilisation de tels systèmes d’IA. Dans ce cas, une juridiction européenne pourrait écarter cette loi étrangère, la considérant incompatible avec son ordre public.
 
CONCLUSION
Le règlement européen sur l'intelligence artificielle marque une avancée majeure dans la régulation de technologies émergentes, mais il n'est pas sans soulever des défis significatifs en droit international privé. Son champ d'application extraterritorial, bien que visant à protéger efficacement les droits fondamentaux au sein de l'Union, peut engendrer des conflits de lois et de juridictions avec les États tiers.
Les dispositions impératives du règlement, agissant comme des facteurs de perturbation, soulignent la tension entre la nécessité de normes universelles et le respect des souverainetés juridiques nationales. Ces mécanismes sont essentiels pour préserver les valeurs fondamentales de l'Union, mais ils peuvent également engendrer une insécurité juridique pour les opérateurs internationaux. Il devient donc impératif d'établir un équilibre entre la protection des intérêts publics et la nécessité d'une prévisibilité juridique pour les acteurs du marché globalisé de l'IA.
En conclusion, le succès de ce règlement dépendra de la capacité des juridictions européennes à appliquer ces nouvelles normes de manière cohérente, tout en tenant compte des interactions complexes avec les législations étrangères. Une coopération internationale renforcée pourrait être la clé pour surmonter ces défis et assurer une gouvernance efficace de l'intelligence artificielle à l'échelle mondiale.
***

[1] Le terme « intelligence artificielle » a été utilisé pour la première fois en 1956 par l'informaticien américain J. McCarthy lors de la conférence de Dartmouth. V. en ce sens, Buchanan, B. G. (2005). A (very) brief history of artificial intelligence. AI Magazine, 26(4), 53.
[2] Goffic, C. L., Grynbaum, L., & Pailler, L. (2023). Droit des activités numériques. Dalloz, 1054.
[3] Lequette, S. (2024). Droit du numérique. LGDJ, 764.
[4] Lequette (2024, p. 766).
[5] Parlement européen. (2017, 16 février). Résolution du Parlement européen contenant des recommandations à la Commission concernant des règles de droit civil sur la robotique (2015/2103(INL)).
[6] Parlement européen. (2020, 20 octobre). Résolution contenant des recommandations à la Commission concernant un cadre pour les aspects éthiques de l’intelligence artificielle et des technologies connexes (2020/2012(INL)) ; Parlement européen. (2020, 20 octobre). Résolution contenant des recommandations à la Commission sur un régime de responsabilité civile pour l’intelligence artificielle (2020/2014(INL)).
[7] Issu du droit international public, le concept d’extraterritorialité s’applique, en droit international privé, à toutes les normes (règles ou décisions) édictées par un État et visant à réglementer des situations de droit privé entièrement localisées sur le territoire d’un ou plusieurs autres États (Clavel, S. (2021). Droit international privé. Dalloz, 237.).
[8] Véronique, L. (2020). Droit international privé. Ellipses, 24.
[9] Parlement européen et Conseil de l'Union européenne. (2012, 12 décembre). Règlement (UE) n° 1215/2012 concernant la compétence judiciaire, la reconnaissance et l’exécution des décisions en matière civile et commerciale (refonte).
[10] Parlement européen et Conseil de l'Union européenne. (2008, 17 juin). Règlement (CE) n° 593/2008 sur la loi applicable aux obligations contractuelles (Rome I).
[11] Parlement européen et Conseil de l'Union européenne. (2007, 11 juillet). Règlement (CE) n° 864/2007 sur la loi applicable aux obligations non contractuelles (Rome II).
[12] Selon l’article 2, § 3, du règlement sur l’IA, « fournisseur » désigne « une personne physique ou morale, une autorité publique, une agence ou tout autre organisme qui développe ou fait développer un système d’IA ou un modèle d’IA à usage général et le met sur le marché ou met le système d’IA en service sous son propre nom ou sa propre marque, à titre onéreux ou gratuit ».
[13] Selon l’article 2, § 4, du règlement sur l’IA, « déployeur », désigne « une personne physique ou morale, une autorité publique, une agence ou un autre organisme utilisant sous sa propre autorité un système d’IA sauf lorsque ce système est utilisé dans le cadre d’une activité personnelle à caractère non professionnel ».
[14] Selon l’article 2, § 6, du règlement sur l’IA, « importateur » désigne « une personne physique ou morale située ou établie dans l’Union qui met sur le marché un système d’IA qui porte le nom ou la marque d’une personne physique ou morale établie dans un pays tiers ».
[15] Selon l’article 2, § 7, du règlement sur l’IA, « distributeur » désigne « une personne physique ou morale faisant partie de la chaîne d’approvisionnement, autre que le fournisseur ou l’importateur, qui met un système d’IA à disposition sur le marché de l’Union ».
[16] Selon l’article 2, § 5, du règlement sur l’IA, « mandataire » désigne « une personne physique ou morale située ou établie dans l’Union ayant reçu et accepté un mandat écrit d’un fournisseur de système d’IA ou de modèle d’IA à usage général pour s’acquitter en son nom des obligations et des procédures établies par le présent règlement ».
[17] L’article 2 du règlement dispose que  « Le présent règlement s’applique: a) aux fournisseurs établis ou situés dans l’Union ou dans un pays tiers qui mettent sur le marché ou mettent en service des systèmes d’IA ou qui mettent sur le marché des modèles d’IA à usage général dans l’Union; b) aux déployeurs de systèmes d’IA qui ont leur lieu d’établissement ou sont situés dans l’Union; c) aux fournisseurs et aux déployeurs de systèmes d’IA qui ont leur lieu d’établissement ou sont situés dans un pays tiers, lorsque les sorties produites par le système d’IA sont utilisées dans l’Union; d) aux importateurs et aux distributeurs de systèmes d’IA; e) aux fabricants de produits qui mettent sur le marché ou mettent en service un système d’IA en même temps que leur produit et sous leur propre nom ou leur propre marque; f) aux mandataires des fournisseurs qui ne sont pas établis dans l’Union; g) aux personnes concernées qui sont situées dans l’Union. ».
[18] Henckel, K. (2023). Issues of conflicting laws – A closer look at the EU’s approach to artificial intelligence. Nederlands Internationaal Privaatrecht, 2023(2), 205-206.
[19] Commission européenne. (2022). Proposition de directive du Parlement européen et du Conseil relative à l’adaptation des règles en matière de responsabilité civile extracontractuelle au domaine de l’intelligence artificielle (Directive sur la responsabilité en matière d’IA) – COM/2022/496 final.
[20] Parlement européen et Conseil de l'Union européenne. (2016, 4 mai). Règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données).
[21] Vareilles-Sommières, P., & Laval, S. (2023). Droit international privé. Dalloz, 731.
[22] Le « conflit d'emprises normatives » désigne une situation où plusieurs ordres juridiques revendiquent l'application de leurs propres lois à une même situation juridique. Cela se produit notamment lorsque les activités d'un opérateur économique sont soumises simultanément à la législation d'un État membre de l'Union européenne et à celle d'un État tiers, en raison de l'application extraterritoriale de certaines réglementations, comme le règlement sur l'intelligence artificielle. Ce conflit soulève des questions de droit substantiel que le juge doit résoudre en appliquant les règles de conflit de lois appropriées.
[23] Henckel, K. (2023, pp. 208-209).
[24] Selon l'article 6 du règlement, si le défendeur n’est pas domicilié sur le territoire d’un État membre, la compétence est, dans chaque État membre, réglée par la loi de cet État membre.
[25] Henckel, K. (2023, pp. 208-209).
[26] Ho-Dac, M. (2024, October 21). The EU AI Act and private international Law: A first look. EAPIL. https://eapil.org/2024/10/21/the-eu-ai-act-and-private-international-law-a-first-look/ 
[27] Haftel, B. (2023). Droit international privé. Dalloz, 225.
[28] Francescakis, P. (1970). Y a-t-il du nouveau en matière d'ordre public ? Travaux du Comité français de droit international privé, (27-30e année), 149–178.
[29] Clavel, S. (2021, p. 104).
[30] Cet article du règlement Rome I énonce qu’« une loi de police est une disposition impérative dont le respect est jugé crucial par un pays pour la sauvegarde de ses intérêts publics, tels que son organisation politique, sociale ou économique, au point d'en exiger l'application à toute situation entrant dans son champ d'application, quelle que soit par ailleurs la loi applicable au contrat d'après le présent règlement ».
[31] Cour de justice de l'Union européenne. (2019, 31 janvier). Da Silva Martins (aff. C-149/18). Revue critique de droit international privé, 2019, 557, note D. Bureau.
[32] V. en ce sens, Rahman, R. (2020). COMPAS case study: Fairness of a machine learning model. Towards Data Science.
[33] Cappiello, B. (2022). AI-Systems and Non-contractual Liability: A European Private International Law Analysis. Giappichelli, 72.
[34] Cappiello (2022, pp. 72-73).
[35] Dubois de Prisque, E. (2020). Le système de crédit social chinois : Comment Pékin évalue, récompense et punit sa population. Futuribles, (1), 27-48.


Kommentit

bottom of page