Dans son premier Rapport sur les tendances, risques et vulnérabilités sur les marchés financiers¹, l’ESMA¹, le régulateur européen des marchés financiers, identifie l’intelligence artificielle (IA) et, en particulier, sa modalité de Machine Learning comme un axe de développement important, associé au big data, des marchés financiers.

L’IA que nous qualifions de véritable peut se définir comme un programme mettant en œuvre une série d’actions dans le but de résoudre un problème/réaliser une tâche et qui améliore automatiquement sa réponse au fur et à mesure de ses expériences, sans intervention humaine. Ainsi, ce qui caractérise ce processus est son « autonomie ». Associée à la masse des données pouvant être collectées, une véritable IA peut ainsi apporter des réponses pertinentes plus rapidement qu’un humain ne le pourrait.

Toutefois, si le régulateur souligne les avantages des outils et services inédits promis par ce type d’IA, il pointe aussi les nouveaux risques qui en découlent. Sont, en particulier, identifiés le risque important de dépendance à la qualité des données transmises à l’IA et le risque de vulnérabilité face aux menaces informatiques. Par ailleurs, tout en reconnaissant le formidable potentiel de l’IA pour l’amélioration des services financiers, l’ESMA avait également déjà alerté sur les risques auxquels cette IA exposait l’intégrité du marché et les investisseurs³.

Ainsi, au regard de ses risques et avantages, l’IA véritable, avec l’autonomie qui la caractérise, amène naturellement à s’interroger sur une évolution du régime de responsabilité civile applicable en cas de dommage résultant de son utilisation sur les marchés financiers. Le Parlement européen, dans sa résolution du 12 février 2019, insiste d’ailleurs sur l’intérêt d’une approche sectorielle de la législation à venir, plutôt qu’une approche générale des mécanismes de responsabilité liée à l’IA⁴.

I. Les cas de responsabilité civile visés

Les cas de responsabilité civile actuellement appréhendés sur les marchés financiers impliquent la responsabilité des acteurs pour leurs propres actes, ainsi que celle des acteurs pour les manquements des tiers auxquels les acteurs régulés prêtent leur concours. C’est ainsi le cas des prestataires fournissant un « accès électronique direct », c’est-à-dire permettant à leurs clients d’utiliser leur code de négociation de manière à ce que ces clients puissent transmettre électroniquement et directement à la plate-forme de négociation des ordres relatifs à un instrument financier. Les prestataires offrant ce type de services sont en particulier tenus de veiller à ce que leurs clients se conforment aux exigences de la réglementation. Ainsi, un broker donnant un accès électronique direct à une entreprise d’investissement cliente utilisant des techniques de trading algorithmique doit s’assurer que cette dernière respecte les obligations mise à la charge des entreprises d’investissement recourant au trading algorithmique. A défaut, la responsabilité du broker peut être engagée au titre des manquements de sa cliente.

Comme tout régime de responsabilité civile, le régime de responsabilité du fait de l’utilisation de l’IA sur les marchés financier impose que plusieurs conditions minimales soient réunies : un fait générateur (fautif ou non), un préjudice, un lien de causalité entre les deux, et… un responsable (auteur du fait générateur, ou non).

On peut s’interroger sur les modalités d’application de cette approche dans le cas, par exemple, d’une société de gestion utilisatrice d’IA qui serait décisionnaire quant aux ordres à transmettre ou aux recommandations à formuler. La société de gestion pourrait-elle s’exonérer de sa responsabilité en cas de perturbation des marchés au seul motif que le dommage aurait pour origine une décision d’une IA autonome dont la programmation aurait été faite par un tiers ?

II. Une responsabilité propre : pendant de l’autonomie ?

Dans le cas où l’IA est véritablement autonome et où la société de gestion n’a pas été à l’origine de sa programmation, cette dernière pourrait soutenir que :

• la responsabilité de son fait personnel devrait être exclue, dès lors que le fait générateur ne lui est pas imputable directement ;
• la responsabilité du fait d’autrui doit également être exclue, l’IA n’étant pas humaine ;
• la responsabilité du fait des animaux également, bien que les situations puissent apparaître comparables et que l’application de ce régime soit tentante, l’IA n’étant par ailleurs dotée d’aucune sensibilité⁵.

D’autres pistes pourraient être envisagées :

• la responsabilité du fait des choses – mais la décision dommageable ayant par hypothèse été prise en parfaite autonomie, la société de gestion pourrait soutenir ne pas avoir eu la direction, le contrôle, l’usage de la chose, c’est-à-dire sa garde ;
• la responsabilité du fait des produits défectueux – mais à supposer qu’une IA causant un dommage, alors même qu’elle fonctionne parfaitement, puisse être qualifiée de défectueuse au sens de ce régime⁶, il semble que certaines causes d’exonération seront par hypothèse toujours applicables⁷. Par ailleurs, ce régime ne s’applique en principe qu’aux dommages corporels et matériels. La nature exclusivement financière des préjudices en cause n’est-elle pas susceptible de poser difficulté ?
• la responsabilité du fait de la personne électronique – il a été proposé de conférer une personnalité juridique dite électronique et un patrimoine aux robots les plus intelligents pour les rendre responsables de leurs actes. Outre les considérations philosophiques et éthiques ayant conduit plus de 200 membres de la société civile experts en robotique à rédiger une lettre ouverte pour s’opposer farouchement à cette idée, il a, à juste titre, été fait remarquer que cette solution déresponsabilisante pour les concepteurs d’IA ne présentait même pas d’avantage particulier quant à l’objectif d’indemnisation⁸. Telle que formulée, cette proposition semble par ailleurs exiger une corporéité là où l’intelligence artificielle peut causer des dommages sans prendre la forme d’un robot ;
• l’adaptation de l’un des régimes existants, afin d’aboutir par exemple à une responsabilité du fait des choses intelligentes, ou à celle du fait des produits intelligents ?

III. Vers une adaptation du régime de la responsabilité du fait des produits défectueux ?

Il semble que la solution que le Parlement européen souhaite dessiner consiste à adapter le régime existant de responsabilité du fait des produits défectueux⁹.

Il pourrait être imaginé qu’en application de ce régime, la responsabilité civile de la société de gestion utilisatrice d’IA puisse être engagée par la personne lésée in fine et retenue, lorsque celle du concepteur de l’IA ne peut pas l’être. Le concepteur de l’IA serait ainsi responsable de plein droit, sauf à ce qu’il s’exonère en démontrant cumulativement :

(i) qu’il avait pris toutes les précautions utiles au moment de la conception et pendant l’utilisation ; et

(ii) que l’utilisateur a délibérément donné des instructions fautives à l’IA ou ne pouvait ignorer les risques prévisibles attachés au développement de l’IA (compte tenu, par exemple, des informations qui lui étaient transmises dans le cadre du suivi régulier du développement de l’intelligence que le concepteur devait assurer) et aurait dû arrêter l’IA (étant compris que bien que l’IA puisse prendre des décisions de manière parfaitement autonome, l’humain conserve un contrôle minimal consistant à pouvoir arrêter la machine) ; auquel cas, l’utilisateur serait seul responsable.

Ce système aurait le mérite : (1.) de faire peser la complexe charge de la preuve sur celui le mieux à même, techniquement, de la rapporter (le concepteur), (2.) de responsabiliser raisonnablement tant les concepteurs que les utilisateurs, (3.) de répartir la charge de l’indemnisation sur l’ensemble des opérateurs, (4.) d’être prêt à l’emploi et à la disposition des magistrats.

Quoiqu’il en soit, si le régime de responsabilité délictuelle le plus approprié a fait couler beaucoup d’encre, il n’en va pas de même pour les particularités de la responsabilité contractuelle des opérateurs impliqués.

Il nous semble à vrai dire étonnant, au vu du nombre potentiel de cas concernés, de la complexité des faits générateurs, de la difficulté de rapporter la preuve de l’origine du dommage, ainsi que de la gravité possible des préjudices causés, qu’aucune préconisation rédactionnelle n’ait encore été formulée au profit des concepteurs et utilisateurs contractuellement liés. Les uns et les autres seront enclins à se renvoyer la balle dans le cadre d’actions judiciaires récursoires une fois leur responsabilité délictuelle engagée..

Pour notre part, il nous semble que les sociétés utilisatrices d’une véritable IA devraient s’assurer que les contrats de fourniture d’IA conclus avec le concepteur, et les probables clauses limitatives de responsabilité qu’ils contiendront, n’excluront la responsabilité de ce dernier que dans le cas où les utilisatrices commettraient une faute caractérisée dans le cadre du déploiement de l’IA. La faute consisterait exclusivement, soit à avoir délibérément provoqué l’évolution dommageable de l’IA, soit à ne pas avoir correctement surveillé le risque d’évolution dommageable.

Enfin, s’agissant du broker exécutant les ordres d’une entreprise cliente utilisant des techniques de trading algorithmique s’appuyant sur une IA, ce dernier devrait bien sûr s’assurer que les clauses d’indemnisation dans les contrats avec sa cliente couvrent bien les dommages pouvant trouver leurs causes dans l’utilisation d’une telle IA.

Au final, si l’Homme (la Femme), à l’instar de Caïn, n’est pas le gardien de la Machine, il/elle restera encore quelques temps celui/celle qui assumera la responsabilité des fautes de l’IA.

Recommandations :

• malgré l’autonomie qui la caractérise, la responsabilité liée au dommage causé par une véritable intelligence artificielle reste aujourd’hui au moins en partie supportée par son utilisateur ;
• les acteurs sont invités à suivre attentivement les travaux actuels du Parlement européen qui envisage de mettre en place un régime de responsabilité spécifique, en application duquel les concepteurs pourraient être tenus responsables ; et
• les utilisateurs pourraient négocier dans les contrats conclus avec les concepteurs d’une IA des clauses limitatives de la responsabilité du concepteur restreintes aux cas dans lesquels les utilisateurs (i) auraient délibérément provoqué une évolution dommageable de l’IA ou (ii) n’auraient pas pris les mesures nécessaires pour éviter un dommage résultant d’un risque dans le cadre de l’utilisation qu’ils ne pouvaient ignorer.

¹ ESMA50-165-737 – 28 February 2019
² European Securities and Markets Authority
³ Communication de l’ESMA du 7 juin 2017 (ESMA50-158-457) : « 7. While ESMA welcomes these potential benefits and shares the belief that Fintech can be a driver for better financial services, it also agrees that the use of big data may trigger a number of concerns from a market integrity or an investor protection standpoint which will need to be carefully monitored ».
⁴ Résolution du Parlement européen du 12 février 2019 sur une politique industrielle européenne globale sur l’intelligence artificielle et la robotique (2018/2088(INI) : « 116. Constate que l’IA est une notion qui englobe un large éventail de produits et d’applications, à commencer par l’automatisation, les algorithmes, l’intelligence artificielle étroite et l’intelligence artificielle générale ; estime qu’il convient d’envisager avec précaution toute loi ou réglementation globale de l’IA, car la réglementation sectorielle peut prévoir des politiques suffisamment générales mais également affinées jusqu’à un niveau significatif pour le secteur industriel ».
⁵ Cf. article 515-4 du Code civil : « Les animaux sont des êtres vivants doués de sensibilité. Sous réserve des lois qui les protègent, les animaux sont soumis au régime des biens ».
⁶ Cf. article 1245-3 du Code civil : « Un produit est défectueux au sens du présent chapitre lorsqu’il n’offre pas la sécurité à laquelle on peut légitimement s’attendre ».
⁷ Cf. article 1245-10 4° du Code civil : « Le producteur est responsable de plein droit à moins qu’il ne prouve : (…) 2° que, compte tenu des circonstances, il y a lieu d’estimer que le défaut ayant causé le dommage n’existait pas au moment où le produit a été mis en circulation par lui ou que ce défaut est né postérieurement ; (…) 4° Que l’état des connaissances scientifiques et techniques, au moment où il a mis le produit en circulation, n’a pas permis de déceler l’existence du défaut (…) ».
⁸ La personnalité juridique des robots : une monstruosité juridique, G. Loiseau, JCP n°22, 28 mai 2018.
⁹ Résolution du Parlement européen du 12 février 2019 précitée : « 4.3 Responsabilité – 131. Salue l’initiative de la Commission consistant à créer un groupe d’experts sur la responsabilité et les nouvelles technologies, chargé de conseiller l’Union européenne sur l’applicabilité de la directive sur la responsabilité du fait des produits aux produits traditionnels, aux nouvelles technologies et aux nouveaux défis de la société (…) et d’aider l’Union européenne à définir des principes d’orientation en vue d’une éventuelle adaptation de la législation applicable au niveau européen et national en matière de nouvelles technologies ».

Laura Bourgeois, avocat, Contentieux et Arbitrage

Jérôme Sutour, avocat associé, Head of financial services

Intelligence artificielle et marchés financiers : l’humain est-il le gardien de la machine ? – Article paru dans le magazine Option Finance Innovation le 25 mars 2019