Quand un agent IA cause un dommage à un tiers : qui est responsable ?

Un agent d'intelligence artificielle agit seul. Il prend des décisions, exécute des tâches, produit des résultats, parfois sans aucune intervention humaine directe au moment où le dommage survient. La question de la responsabilité se pose alors immédiatement : qui répond du préjudice subi par le tiers ?

La réponse repose sur un principe fondamental, trop souvent ignoré dans les organisations qui déploient des systèmes d'IA : l'intelligence artificielle ne dispose d'aucune personnalité juridique. Elle ne peut ni être titulaire de droits, ni supporter d'obligations. Elle ne peut donc jamais être tenue responsable. Ce sera toujours une personne physique ou une société qui portera la responsabilité. La question est de savoir laquelle, et sur quel fondement.

Pourquoi l'IA ne peut pas être tenue responsable ?

La responsabilité civile suppose l'existence d'un sujet de droit. Or, un système d'intelligence artificielle, aussi sophistiqué ou autonome soit-il, n'en est pas un. Ce constat n'est pas une limite provisoire du droit en attente d'adaptation : c'est un choix structurel, cohérent avec l'ensemble de l'architecture juridique actuelle.

La conséquence pratique est directe. Lorsqu'un agent d'IA cause un préjudice, on ne cherche pas si l'IA a correctement agi. On cherche quelle personne physique ou morale, en amont ou en aval du système, a commis une faute susceptible d'avoir causé ce dommage. Le droit commun de la responsabilité civile s'applique : faute, dommage, lien de causalité (article 1240 du Code civil).

Deux acteurs sont particulièrement exposés : le fournisseur du système d'intelligence artificielle et son déployeur.

La responsabilité du fournisseur : les fautes de conception

Qui est le fournisseur et pourquoi est-il exposé ?

Le fournisseur est l'entité qui conçoit, développe et met sur le marché le système d'intelligence artificielle. Sa responsabilité peut être recherchée lorsqu'un défaut affecte la conception même du système : données d'entraînement erronées ou insuffisamment diversifiées, absence de mécanismes de sécurité adaptés, défaut de mise à jour face à des vulnérabilités identifiées, ou encore non-respect des obligations imposées par le règlement européen sur l'intelligence artificielle (ci-après : RIA) et le règlement général sur la protection des données (RGPD).

Un point mérite une attention particulière : ces obligations ne prennent pas fin à la date de mise sur le marché. Le fournisseur reste tenu d'obligations continues après le déploiement du système. Un système initialement conforme peut engager la responsabilité de son concepteur si celui-ci n'a pas maintenu cette conformité dans la durée. La conformité à la date de mise sur le marché ne constitue pas un écran définitif.

Le RIA comme outil d'identification des fautes de conception

Depuis l'entrée en application du RIA, l'identification d'une faute de conception est facilitée. Les obligations imposées aux fournisseurs en matière de documentation technique, de gestion des risques, de surveillance post-marché et de tenue de journaux de données constituent autant de référentiels à partir desquels une victime peut établir qu'une obligation précise n'a pas été respectée.

Le mécanisme est comparable à celui développé en matière de violation du RGPD. Depuis l'arrêt de la Cour de justice de l'Union européenne du 4 mai 2023 (affaire C-300/21), la violation d'une obligation réglementaire peut fonder une action en réparation sur le terrain du droit commun, sous réserve de démontrer l'existence d'un préjudice et un lien de causalité adéquat. Il en ira de même pour les obligations du RIA. La précision s'impose toutefois : la responsabilité de plein droit prévue par le règlement lui-même ne s'étend pas automatiquement au terrain de l'article 1240 du Code civil. La faute devra être démontrée, ainsi que le préjudice et le lien de causalité.

La responsabilité du déployeur : les fautes d'utilisation

Qui est le déployeur ?

Le déployeur est l'entité qui intègre un système d'IA dans ses processus ou le met à disposition d'utilisateurs finaux. C'est souvent l'entreprise cliente, le prestataire de services, ou toute organisation utilisant un système conçu par un tiers. Dans le cadre du RIA, il s'agit d'un acteur distinct du fournisseur, soumis à des obligations propres.

Les fautes susceptibles d'engager sa responsabilité

La responsabilité du déployeur peut être recherchée lorsque le dommage résulte non d'un défaut du système lui-même, mais de la façon dont il a été utilisé. Plusieurs situations sont identifiables : utilisation du système à des fins autres que celles prévues par le fournisseur, absence de supervision humaine adéquate, ou encore reprise sans vérification d'un résultat manifestement erroné (hallucination, fausse référence, hypertrucage).

L'obligation de contrôle humain imposée par le RIA

Le RIA instaure un principe de contrôle humain à la charge du déployeur pour les systèmes à haut risque. Son article 26, paragraphe 2, impose aux déployeurs d'assigner ce contrôle à des personnes physiques disposant des compétences, de la formation et de l'autorité requises. Si un dommage survient faute d'une supervision suffisante, la responsabilité du déployeur peut être engagée sur ce fondement.

L'absence de supervision humaine n'est pas un simple manquement organisationnel. C'est une faute susceptible de fonder une action en responsabilité civile.

Prouver la faute, le dommage et le lien de causalité : le défi probatoire

Deux obstacles distincts : l'autonomie et l'opacité du système d'IA

Pour la victime, établir les trois conditions d'une action en responsabilité présente des difficultés particulières lorsqu'un système d'IA est impliqué.

L'autonomie du système crée une distance entre l'action humaine en amont et le dommage constaté en aval. Plus cette distance est importante, plus il est difficile d'identifier une faute précise. Mais l'autonomie ne se confond pas avec l'indépendance : un système d'IA reste conditionné par les choix de conception et les modalités d'utilisation décidés par des acteurs humains identifiables.

L'opacité représente un obstacle distinct et souvent plus difficile à surmonter. Le fonctionnement interne d'un système d'IA, notamment dans sa dimension d'apprentissage automatique, peut être difficile à reconstituer depuis l'extérieur. Cette difficulté est particulièrement prononcée pour les fautes de conception, où le résultat produit dépend d'un enchaînement de paramètres complexes, souvent non traçables sans documentation interne.

Les obligations documentaires comme levier pour la victime

Les obligations de documentation et de traçabilité imposées par le RIA et le RGPD ouvrent des perspectives probatoires concrètes. Ces textes contraignent fournisseurs et déployeurs à maintenir une documentation continue : évaluations des risques, journaux de fonctionnement, registres de traitement de données, politiques de supervision. Ces documents peuvent constituer des éléments de preuve déterminants pour établir une faute ou un lien de causalité.

Lorsque l'opacité est telle qu'aucun document ne permet de reconstituer la chaîne causale, le recours à des présomptions pourrait permettre à la victime d'obtenir réparation malgré l'incertitude technique résiduelle.

FAQ (Foire aux questions)

Peut-on engager la responsabilité d'une intelligence artificielle pour un dommage causé à un tiers ?

Non. Un système d'intelligence artificielle est dépourvu de personnalité juridique : il ne peut ni être titulaire de droits, ni supporter d'obligations. La responsabilité est toujours portée par une personne physique ou une personne morale, selon les règles du droit commun de la responsabilité civile (article 1240 du Code civil).

Quelle est la différence entre le fournisseur et le déployeur d'un système d'IA ?

Le fournisseur conçoit et met sur le marché le système d'intelligence artificielle. Le déployeur l'intègre dans ses processus ou le met à disposition d'utilisateurs finaux. Cette distinction est centrale dans le règlement européen sur l'IA (RIA), qui leur assigne des obligations distinctes et détermine lequel est exposé selon la nature de la faute commise.

Qu'est-ce qu'une faute de conception d'un système d'IA ?

Il s'agit d'une faute commise par le fournisseur lors de la conception ou du maintien du système : données d'entraînement biaisées ou insuffisantes, absence de mécanismes de sécurité, défaut de mise à jour, ou non-respect des obligations imposées par le RIA ou le RGPD. Ces obligations sont continues et ne s'éteignent pas après la mise sur le marché du système.

Un utilisateur peut-il être tenu responsable d'un dommage causé par un système d'IA qu'il n'a pas conçu ?

Oui. Sa responsabilité peut être engagée s'il utilise le système à des fins non prévues par le fournisseur, s'il ne met pas en place une supervision humaine adéquate, ou s'il reprend sans vérification un résultat manifestement erroné. L'article 26, paragraphe 2 du RIA impose aux déployeurs de systèmes à haut risque une obligation explicite de contrôle humain.

Comment une victime peut-elle prouver qu'un dommage a été causé par un système d'IA ?

La preuve est rendue difficile par l'autonomie et l'opacité des systèmes d'IA. La victime peut s'appuyer sur les obligations de documentation imposées par le RIA et le RGPD : journaux de fonctionnement, évaluations des risques, registres de traitement. En cas d'opacité persistante, le recours à des présomptions pourrait permettre d'établir le lien de causalité malgré l'incertitude technique.

Le règlement européen sur l'intelligence artificielle (RIA) crée-t-il un régime de responsabilité civile autonome ?

Non. Le RIA n'instaure pas de régime de responsabilité civile propre. Il impose des obligations de conformité dont la violation peut, sur le fondement de l'article 1240 du Code civil, fonder une action en réparation. Son apport principal est de faciliter l'identification des fautes et leur preuve, en imposant une documentation continue aux fournisseurs et aux déployeurs.

Comment protéger mon organisation face à un dommage causé par un agent IA ?

La contractualisation est le premier levier. Elle permet de définir précisément la finalité autorisée du système, les obligations de documentation de conformité du prestataire, les mécanismes de supervision requis, la répartition des responsabilités entre fournisseur et déployeur, et les conditions d'indemnisation en cas de défaut du système. Une analyse juridique préalable permet d'identifier les risques propres à chaque configuration.