L’essor des agents d’intelligence artificielle (IA) capables d’opérer de manière autonome pour gérer des tâches financières et de prendre des décisions est indéniable. Cependant, cette autonomie croissante soulève une question critique, celle de la responsabilité.
Pour les professionnels et les entreprises, la question est claire : qui est tenu responsable si une IA commet une erreur coûteuse, vidant un compte bancaire ou générant des pertes financières ? Les experts de Surfshark, Miguel Fornés (Security Governance and Compliance Manager) et Maciej Mikelevič (IP & Commercial Law Team Lead), éclairent les zones d’ombre de la responsabilité juridique à l’ère des assistants IA.
L’IA, outil puissant et extension juridique de l’utilisateur
Contrairement à l’image parfois anthropomorphisée par le marketing à travers les termes de « copilotes » et d’ »assistants », l’intelligence artificielle n’est pas, aux yeux de la loi, une entité autonome dotée d’une personnalité juridique.
Il s’agit avant tout d’un logiciel, d’un outil, donc. Cette distinction est fondamentale pour comprendre la répartition des responsabilités.
Miguel Fornés, expert en cybersécurité, met en perspective cette réalité :
« La plupart des gens sont aveuglés par l’aura ‘hi-tech scintillante’ de toute technologie révolutionnaire… Nous avons tendance à nous étouffer avec la mécanique complexe de la technologie au lieu de nous concentrer sur les principes fondamentaux du comportement humain et de la responsabilité. »
Pour illustrer, il compare l’action d’une IA vidant un compte bancaire à un scénario automobile en cas d’accident. Combien celui-ci est due à un système d’exploitation moderne, la police et les assureurs vont initialement considérer que le conducteur a appuyé le frein : il demeure le responsable du comportement routier du véhicule. Il en va de même pour l’IA et la finance :
« Quand vous demandez à une IA de surveiller vos dépenses et qu’elle vide votre compte, vous êtes confronté exactement au même scénario, juste numérisé. Pour la banque, les actions de l’IA sont complètement indiscernables de celles que vous auriez faites vous-même en tapant sur l’écran. C’était un ordre valide reçu de votre compte, ils doivent donc l’exécuter. »
Cette perception est renforcée par les Contrats de Licence Utilisateur Final (EULA) et les Conditions Générales de Service (CGS). Contrats que nous acceptons souvent aveuglément.
Ces documents stipulent généralement que le logiciel est fourni « as is », tel quel, sans garantie, et que l’entreprise n’est pas responsable des dommages indirects, incidents ou consécutifs. Ce cadre juridique protège fortement les développeurs d’IA.
Distinguer les scénarios ou qui est vraiment responsable ?
La question de la responsabilité dépend aussi fortement du contexte d’utilisation de l’IA. Maciej Mikelevič, juriste chez Surfshark, distingue deux situations principales :
Quand l’IA est intégrée au service d’une entreprise, c’est le cas d’un chatbot de service client par exemple. Lorsqu’une entreprise intègre un chatbot ou un agent IA dans le cadre de ses services, alors c’est elle qui est tenue responsable des informations et des actions de son outil.
Maciej Mikelevič cite une affaire, impliquant Air Canada :
« Le Tribunal de résolution des litiges civils de la Colombie-Britannique (BCCRT) a statué que la compagnie aérienne était responsable de ce que son chatbot avait dit aux clients. Le chatbot a été légalement traité comme faisant partie de l’entreprise, et non comme une ‘chose’ distincte. »
Bien qu’étant une décision de tribunal civil et non une jurisprudence stricte de cour, cette affaire a une valeur persuasive forte. Elle signale que les entreprises ne peuvent plus facilement se cacher derrière l’excuse du « bug technique » lorsque leur IA interagit directement avec les clients pour fournir des informations officielles.
Les utilisateurs peuvent disposer d’une base solide pour demander réparation si une IA fournie par une entreprise les induit en erreur ou cause un préjudice.
L’utilisateur et sa responsabilité avec l’IA autonome
Quand l’IA est autonome et utilisée par l’utilisateur, par exemple, un agent personnel. Le scénario est alors différent si l’utilisateur déploie son propre agent IA pour interagir avec des services tiers. Ici, c’est comme la réservation d’un voyage ou la gestion de finances à travers ChatGPT.
Dans ce cas, l’IA agit comme un représentant choisi par l’utilisateur. Si elle commet une erreur, en réservant un vol impossible ou en manipulant incorrectement une carte de crédit, alors, la responsabilité initiale repose sur l’utilisateur.
« L’entreprise tierce (compagnie aérienne, hôtel) pourrait légitimement vous dire : ‘c’est votre problème, votre bot a accepté’. L’erreur provient alors de votre représentant numérique », explique Maciej Mikelevič.
Un recours direct contre le développeur de l’IA, qu’il soit OpenAI ou Google ou un autre est souvent difficile en raison des CGS « as is » mentionnés plus haut. Cependant, Maciej Mikelevič tempère : « Leurs conditions ne sont pas un bouclier incassable, et les lois sur la protection des consommateurs peuvent toujours s’appliquer. »
Si le service d’IA est jugé « défectueux », c’est-à-dire s’il ne fournit pas le service promis, si un paiement a été effectué sans que le service ne soit rendu, ou si l’action réalisée ne correspond pas à ce que l’utilisateur avait demandé, l’utilisateur peut avoir une chance de demander compensation.
La loi sur la protection des consommateurs prime sur le « fine print » contractuel. Celui-ci ne permet pas aux entreprises d’échapper à leur responsabilité si le service de base n’est pas conforme.
La cybersécurité proactive, les réflexes de survie indispensables
Face à ces risques, une approche proactive et une compréhension claire des limites de l’IA sont cruciales. Miguel Fornés propose trois « réflexes de survie » inspirés des principes fondamentaux de la gestion de la sécurité de l’information :
Le Moindre Privilège (Least Privilege) qui consiste à ne jamais donner à une IA un contrôle illimité sur des systèmes sensibles. C’est le cas des comptes bancaires. « Restreignez tous les droits et accès de l’Agent afin qu’il ne puisse effectuer que la tâche. Absolument rien de plus. Ne tombez pas dans les pièges de la commodité, car cela peut facilement être exploité. »
L’Analyse Qualité (Quality Analysis) qui rappelle que le contrôle humain final est non négociable pour les décisions à fort impact. « L’IA est incroyablement rapide, mais elle est complètement aveugle aux conséquences du monde réel. Laissez la machine faire le gros du travail – rédiger un e-mail pour contester une facture, remplir un formulaire de remboursement, ou organiser vos impôts. Mais vous devez toujours être celui qui clique sur le bouton ‘Approuver’ ou ‘Envoyer’. »
Les Garde-fous (Guardrails) qui empêchent l’IA de déborder. « Si vous décidez de laisser une IA gérer des transactions, limitez les dommages qu’elle peut causer si elle devient folle. Ne la liez jamais à votre compte principal ou à votre carte de crédit principale. Liez-la à une carte virtuelle ou prépayée avec une limite stricte et basse. »
Miguel Fornés résume cette approche par une analogie claire : « Traitez l’IA comme un stagiaire brillant mais très maladroit : donnez-lui des tâches, mais vérifiez toujours son travail avant d’y apposer votre signature. »
L’IA sera-t-elle une entité juridique demain ?
Quant à la discussion sur la reconnaissance de l’IA comme une « entité juridique distincte », Maciej Mikelevič la considère comme une fausse piste pour l’instant.
« En droit, la personnalité juridique est un paquet : si vous obtenez des droits, vous obtenez aussi des responsabilités. Alors, si une IA devient une entité juridique distincte, ChatGPT doit-il commencer à payer des impôts sur le revenu ou aller en prison pour robot ? Débattre de cela maintenant, c’est comme demander si les aliens vont prendre le monde. »
L’heure n’est donc pas encore au débat sur la conscience et l’humanité des agents IA. Son intégration dans nos processus financiers et opérationnels offre des avantages indéniables en termes d’efficacité, cependant, les professionnels de la cybersécurité et les décideurs doivent impérativement comprendre que la responsabilité légale reste, pour l’heure, fermement ancrée chez l’utilisateur ou l’entreprise qui déploie ces outils.
Une vigilance accrue, une compréhension approfondie des conditions de service et l’implémentation de garde-fous robustes sont les piliers d’une utilisation sécurisée et responsable de l’intelligence artificielle.
