Le 11 février 2025, la Commission européenne a annoncé le retrait de la directive sur la responsabilité en matière d’intelligence artificielle, faute d’accord prévisible avec les colégislateurs. Le projet de règlement ePrivacy, jugé quant à lui obsolète au regard des évolutions législatives récentes, a connu le même sort.
Présentée par la Commission européenne le 28 septembre 2022, la proposition de directive sur la responsabilité en matière d’IA visait à compléter le Règlement sur l’IA qui encadre l’usage des systèmes d’IA selon une approche fondée sur les risques, mais ne prévoit pas de régime spécifique de responsabilité civile en cas de dommages causés par ces technologies. La directive entendait instaurer un cadre harmonisé de responsabilité extracontractuelle, reposant sur deux garanties principales : une présomption de causalité, permettant aux victimes de ne pas avoir à démontrer un lien direct entre le dommage subi et le fonctionnement du système d’IA, sous réserve qu’une violation d’une obligation légale pertinente ait été établie ; et un accès facilité aux preuves, autorisant les juridictions à contraindre les entreprises à divulguer des informations pertinentes sur des systèmes d’IA à haut risque soupçonnés d’avoir causé un dommage, tout en protégeant les secrets commerciaux.
La justification officielle du retrait, mentionnée de manière discrète dans l’annexe IV du programme de travail 2025 de la Commission, repose sur l’absence d’un accord prévisible. On notera néanmoins que ce retrait intervient dans un contexte de pressions croissantes du secteur technologique. Le 29 janvier 2025, une coalition industrielle regroupant des entreprises actives dans le développement et l’exploitation de l’IA, parmi lesquelles Google, Amazon et Meta, a officiellement demandé l’abandon de la directive. Selon ces acteurs, le texte risquait d’introduire « une complexité juridique excessive » dans un cadre réglementaire déjà dense, freinant ainsi l’innovation et la compétitivité européenne.
Cette proposition de directive avait pourtant été saluée, notamment par les associations de consommateurs, qui y voyaient une avancée majeure pour les victimes de dommages causés par des systèmes d’IA. Son abandon maintient une situation de fragmentation juridique, chaque État membre conservant la liberté de définir ses propres règles en matière de responsabilité pour les dommages causés par l’IA. Or, cette absence d’harmonisation soulève deux risques majeurs. Premièrement, un morcellement du droit de la responsabilité en Europe. En l’absence d’un cadre commun, 27 régimes nationaux distincts continueront de coexister, avec des divergences sur la charge de la preuve, les obligations pesant sur les entreprises et les modalités d’indemnisation des victimes. Cette hétérogénéité engendre une insécurité juridique, particulièrement problématique pour les consommateurs et les PME opérant sur plusieurs marchés, qui devront continuer de naviguer entre des cadres législatifs parfois contradictoires. Deuxièmement, un déséquilibre au profit des grandes entreprises technologiques. Sans directive européenne, la répartition des risques en cas de dommages liés à l’IA sera principalement régie par des contrats privés, via, notamment les conditions générales d’utilisation imposées par les fournisseurs de solutions d’IA. Cette contractualisation du risque pourrait renforcer la position dominante des grandes entreprises, qui auront la capacité d’intégrer dans leurs contrats des clauses limitatives ou exonératoires de responsabilité.
La Commission a néanmoins indiqué que la question de la responsabilité en matière d’IA restait ouverte et pourrait être traitée suivant une autre approche. Le débat sur la régulation de l’IA en Europe est donc loin d’être clos !
