En 2022, une soixantaine d’employés d’une entreprise texane apprenait son licenciement. Motif ? Une intelligence artificielle, un algorithme, avait scellé leur sort. On pourra se rassurer en relevant que cela s’est passé à Austin (Etats-Unis), et non en France où le Code du Travail restreint l’arbitraire et encadre strictement les procédures et motifs des licenciements économiques. Mais l’utilisation d’« algorithmes délibératifs » peut léser les intérêts des individus dans bien d’autres domaines. Songeons par exemple aux décisions prises par les plateformes de services numériques.
Qu’est-ce qu’un algorithme délibératif ?
On parle d’algorithmes délibératifs lorsqu’une IA applique un ensemble de règles, évalue une situation selon des critères définis et sélectionne une décision parmi un éventail d’options, avec ou sans aucune intervention humaine. Parfois, l’intelligence artificielle combine décision automatisée et apprentissage conduisant à adapter ses règles de calcul. De tels algorithmes (séries d’instructions) délibèrent au sens où ils opèrent des arbitrages en se basant sur des règles et des données d’entrée.
Comme on le verra, le droit ne les interdit pas mais encadre leur utilisation et protège les droits des personnes en imposant certaines obligations aux fournisseurs de services en ligne.
L’illustration : un cas de désactivation de comptes d’utilisateur de services numériques par META
Prenons un exemple. Un « Français de l’étranger » a une résidence stable et une entreprise en France. Il est titulaire depuis des années de comptes Instagram et Facebook, tant pour un usage personnel (échanges avec son réseau propre) que pour communiquer avec les clients et prospects de sa société et intéressant ses activités commerciales en France et à l’étranger (publications, fidélisation…). Un jour, il reçoit une notification de META : « Votre compte a été suspendu pour non-respect des Standards de la communauté ». Un, puis deux, puis trois… Et bientôt, tous ses comptes sont suspendus sans autre justification que ce motif générique. Très vite, il clique sur le « bouton » qui lui permet de contester ces décisions, vraisemblablement prises de façon automatisée par un système d’IA.
180 jours plus tard, il reçoit une nouvelle notification l’informant que le « compte a été définitivement désactivé. » Même motif : « votre compte, ou l’activité sur celui-ci, ne respecte pas les Standards de la communauté ». Ce message standard ajoute que « Comme plus de 180 jours se sont écoulés depuis que votre compte a été suspendu, vous ne pouvez plus demander un examen de cette décision ». Ironiquement, il lui est suggéré de découvrir « comment [les] Standards de la communauté permettent de faire d’Instagram un endroit authentique et respectueux où tout le monde peut s’exprimer. » Sa réclamation à META PLATFORMS IRELAND LTD, restée sans réponse, n’aura pas eu plus d’effet. À aucun moment un opérateur humain ne s’est manifesté. L’opacité est totale… Et les recours semblent épuisés.
L’ampleur du phénomène et le fameux « problème de la boîte noire »
Ce cas réel est loin d’être isolé. Une notification similaire s’affiche chaque jour sur des millions d’écrans, annonçant à l’utilisateur de services en ligne la suspension ou la désactivation de son compte pour des raisons aussi obscures et vagues, sans information sur les voies de recours et surtout sans intervention humaine. Précisons que nous avons pris le cas de META, mais nous aurions pu en citer des exemples avec TikTok ou d’autres plateformes utilisant les mêmes types d’algorithmes.
Par hypothèse, l’IA ne s’explique pas, elle tranche. Sa raison d’être n’est pas de justifier ses décisions. Ignorant la nature de la règle violée et le comportement qui a mis en branle sa sanction, l’utilisateur n’est pas sans rappeler Joseph K, le héros du Procès de Kafka. Si ces décisions sont souvent incompréhensibles pour lui, les raisonnements générés par les modèles d’apprentissage des systèmes d’IA le sont aussi pour ceux qui les conçoivent. C’est ce que la doctrine anglo-américaine appelle : « The Black Box Problem » (« le problème de la boîte noire »), d’où le risque de mesures aveugles et inexplicables, prises sans acteur humain.
Enjeux du problème posé par le recours aux « algorithmes délibératifs »
La question n’est pas tant de savoir pourquoi les plateformes ont recours aux processus automatisés : elles le font pour d’évidentes raisons de coûts (la modération humaine est plus onéreuse) et d’efficacité du traitement automatisé et rapide de flux massifs de données concernant des centaines de millions, voire des milliards d’individus. La question qui se pose ici est celle de la légalité de l’utilisation de ces mécanismes lorsque la décision lèse les intérêts de l’utilisateur en restreignant ou supprimant le service et l’accès aux données hébergées. Dans notre exemple, il n’a même pas pu créer de nouveaux comptes pour contourner la difficulté (blocage).
Ce type de décisions frappe particuliers, indépendants et entreprises de tous secteurs. De nombreux opérateurs utilisent les réseaux sociaux populaires comme vitrine commerciale et publicitaire, canal pour la vente directe, constitution de bases de clients et prospects… Une suppression d’accès peut avoir des conséquences dommageables voire désastreuses pour leurs activités (ex : perte d’investissements, d’audience et de données et atteinte à la réputation, souvenirs pour les particuliers).
Pour qui se voit confronté à « l’inertie bureaucratique » d’un système d’IA, l’expérience peut s’avérer décourageante faute d’un interlocuteur humain pour résoudre la difficulté. Or, en droit, ce n’est pas « l’IA » qui est responsable des décisions prises (elle n’a pas de « personnalité juridique »), mais bien l’entreprise qui met en œuvre de tels processus automatisés.
Protection des utilisateurs par le droit spécial ou le droit commun de la responsabilité et des contrats
En tant que consommateurs ou non professionnels[1], les particuliers qui font un usage privé des services numériques bénéficient d’une protection renforcée contre l’arbitraire et les clauses léonines ou illicites.
Les utilisateurs « professionnels » ou commerciaux, s’ils ne peuvent trouver refuge dans le droit de la consommation, ne sont pas dépourvus de recours et moyens légaux. Outre le droit commun de la responsabilité civile en cas de manquement (ex : résiliation fautive des services) ou de restrictions arbitraires ou discriminatoires (qui permet de fonder des demandes d’indemnisation des dommages entraînés par des mesures injustifiées), les règles issues du droit de l’Union européenne (RSN et RGPD) sont aussi un recours pour les utilisateurs des services, quels qu’ils soient.
Protection spéciale par le Règlement (UE) sur les Services Numériques (« RSN ») : obligations de transparence et d’information des fournisseurs de plateformes et recours effectif contre les décisions
Transparence. Le Règlement (UE) 2022/2065 du 19 octobre 2022 sur les Services Numériques (« RSN »)[2] impose aux fournisseurs de plateformes en ligne (ex : META, TikTok, etc.) de communiquer aux utilisateurs la motivation de toute décision de suspension ou de suppression de comptes ou de restriction d’accès à leurs services, d’offrir de façon transparente un « système interne de traitement des réclamations » compréhensible et de les informer de leurs possibilités de recours.
L’exposé des motifs doit être « clair et spécifique » pour chaque décision.
Il contient a minima :
– « les faits et circonstances sur base desquels la décision a été prise »,
– le fondement juridique (règles de droit ou clauses des conditions générales d’utilisation violées),
– et « des informations relatives à l’utilisation de moyens automatisés pour prendre la décision ».
Les informations « claires et aisément compréhensibles » communiquées par le fournisseur doivent permettre à l’utilisateur d’exercer un recours effectif (voir ci-après § 7).
Enfin, le fournisseur veille « à ce que les décisions […] soient prises sous le contrôle de collaborateurs dûment qualifiés, et pas uniquement par des moyens automatisés. »
En résumé, toute décision automatisée, non motivée, prise sans contrôle humain réel et sans recours effectif est susceptible de contrevenir au RSN.
Une décision de suspension d’un compte reposant sur un motif générique (violation des conditions d’utilisation ou illicéité de contenu) qui, 6 mois après une réclamation de l’utilisateur opérée au moyen du système interne rudimentaire et peu clair, constate que le compte est « définitivement désactivé », sans possibilité de réexamen et sans information sur les recours possibles, semble contrevenir au RSN.
À noter : les utilisateurs, même s’ils sont établis hors Union européenne, bénéficient de ces dispositions dès lors qu’ils utilisent une plateforme de services numériques opérant au sein du territoire de l’Union.
Que faire en cas de sanction et de non-respect de ces obligations par les plateformes numériques ?
La première étape : le recours interne. Il consiste à exiger la motivation détaillée, l’indication des faits et règles et un réexamen par un contrôle humain. C’est indispensable avant tout autre recours amiable (médiation) ou juridictionnel. Il faut garder la preuve de la contestation envoyée au fournisseur, ce que ne permet pas toujours le système interne de réclamation offert.
Ce système doit permettre à l’utilisateur, pendant au moins six mois à compter de la décision, le dépôt d’une réclamation « suffisamment précise et étayée ». Concrètement, il doit s’être vu notifier les griefs retenus contre lui afin de pouvoir contester la mesure de façon motivée et transmettre des justificatifs, obtenir un réexamen réel et, le cas échéant, une infirmation de la décision si celle-ci a été prise à tort.
Ainsi, la mise en place d’un recours de pure forme, sans communication préalable des motifs et n’ayant aucune chance d’aboutir à une infirmation de la décision, ne répond pas a priori aux exigences du RSN.
L’étape optionnelle : le recours à la médiation prévu par l’article 21 du RSN. Innovation du Règlement, l’utilisateur peut, s’il n’a pas obtenu satisfaction avant, saisir un médiateur neutre et indépendant. Cette médiation ne peut être refusée par le fournisseur des services numériques. Ce médiateur, appartenant à un organisme certifié, examine le litige soumis. Il peut recommander par exemple la réactivation d’un compte supprimé sans fondement. Cependant, sa proposition doit être acceptée par les parties pour produire effet. Cette recommandation n’ayant en soi aucune force obligatoire, le recours au juge est souvent le seul moyen d’obtenir la réparation d’un préjudice lié à une décision contestable.
L’étape judiciaire. Faute d’accord ou si la solution n’est pas favorable, l’utilisateur peut aussi se tourner, après médiation ou en première intention, vers les tribunaux.
Il formera un recours basé sur :
– le droit de la consommation (lorsqu’il a le statut de « consommateur » ou de « non-professionnel ») ;
– le droit des contrats et le droit commun de la responsabilité ;
– les dispositions du règlement européen dit « RGPD » relatif à la protection des données personnelles, l’article 22 prévoyant notamment que toute personne objet d’un traitement « a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé […] produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire » (les articles 15 et 17 sur le traitement et l’effacement des données sont également des ressources) ;
– le droit au respect des libertés d’expression et de communication et à ne pas subir de discrimination ;
– le respect des dispositions du Règlement UE précité dit « RSN » ou « DSA ».
Sanctions financières. L’article 52 du RSN précise qu’en cas d’infraction audit règlement, la sanction prise par l’État membre peut aller jusqu’à « une amende dont le montant maximal peut atteindre 6% du chiffre d’affaires mondial annuel du fournisseur de services intermédiaires ».
Conclusion
La jurisprudence, en construction, montre des signes favorables aux utilisateurs, par exemple en cas de suppression de compte injustifiée, discriminatoire ou disproportionnée. Nous avons abordé ici certains enjeux du problème posé par les algorithmes délibératifs, mais il est évident que les restrictions à la liberté de communiquer et le danger des décisions automatisées peuvent revêtir une portée politique et intéresser le débat démocratique.
Maître Guillaume LE LU – Avocat en droit de la propriété intellectuelle et des technologies numériques
[1] Termes définis dans le Code de la Consommation (article liminaire).
[2] Ou Digital Service Act (« DSA »)
