Problème 6865

Le 18 septembre 2024, le Texas a annoncé un accord inédit avec le procureur général de l'État contre Pieces Technologies (Pieces), une entreprise du secteur de la santé spécialisée dans l'intelligence artificielle générative (IA), pour avoir utilisé des déclarations prétendument trompeuses et mensongères concernant la précision et la sécurité de ses produits. Le 25 septembre 2024, la Commission fédérale du commerce (FTC) des États-Unis a annoncé une vaste opération de contrôle, baptisée « Opération Comply », visant certaines entreprises qui auraient utilisé la technologie de l'IA en violation de la loi de la FTC interdisant les pratiques commerciales trompeuses et déloyales. Plus récemment, le 3 décembre 2024, la FTC a émis une ordonnance à l'encontre d'IntelliVision Technologies Corp., fournisseur de technologies de reconnaissance faciale basées sur l'IA, qui apporte un éclairage important sur la manière dont la commission examinera les allégations de biais et d'efficacité de l'IA. Ces développements sont décrits plus en détail ci-dessous, ainsi que les principaux enseignements pour les entreprises.

Accord conclu entre le procureur général du Texas et Pieces

L'accord conclu avec Pieces fait suite à une action en justice intentée contre la société pour avoir « déployé ses produits dans des hôpitaux texans après avoir fait une série de déclarations fausses et trompeuses concernant la précision et la sécurité de ses produits d'IA générative », qui synthétisent et résument les dossiers et notes des patients. L'affaire a été portée devant les tribunaux en vertu de la loi texane sur les pratiques commerciales trompeuses (DTPA), car les déclarations de Pieces étaient susceptibles d'enfreindre cette loi en raison de leur caractère faux, trompeur ou mensonger. Plus précisément, le procureur général du Texas a allégué que Pieces avait élaboré des indicateurs pour étayer son affirmation selon laquelle ses produits d'IA pour la santé étaient « très précis » (notamment des affirmations selon lesquelles ses produits présentaient un taux d'hallucinations « critiques » et « graves » inférieur à 0,001 % et inférieur à 1 pour 100 000), mais que ces indicateurs étaient prétendument inexacts et avaient trompé les hôpitaux quant à la sécurité et à la précision des produits Pieces.

Dans le cadre de cet accord, Pieces n'a versé aucune indemnité financière, mais a accepté les garanties essentielles suivantes :

• Divulgation claire et visible — Marketing et publicité. Pieces s'est engagée à divulguer clairement et visiblement la définition de toutes les métriques utilisées pour décrire les résultats de ses produits d'IA générative, ainsi que les méthodes de calcul de ces métriques.

• Interdiction de fausses déclarations. Pieces s'engage à ne faire aucune déclaration fausse, trompeuse ou non fondée concernant les caractéristiques, fonctionnalités, tests ou l'utilisation appropriée de ses produits. Pieces s'engage également à ne pas induire en erreur ses clients ou utilisateurs quant à l'exactitude, la fonctionnalité, la finalité ou toute autre caractéristique de ses produits.

• Divulgation claire et visible — Clients. Pieces doit également fournir à tous ses clients, actuels et futurs, une documentation divulguant clairement et visiblement toute utilisation abusive, connue ou raisonnablement connue, de ses produits ou services, susceptible d'être nuisible. L'accord ne précise pas comment l'entreprise identifie ou teste précisément ces utilisations abusives. Toutefois, il est précisé que la documentation destinée aux clients doit inclure au minimum :

• les types de données et/ou de modèles utilisés pour l’entraînement des technologies d’IA

• une explication détaillée de la finalité et de l’utilisation prévues de la technologie

• toute formation ou documentation nécessaire pour garantir une utilisation correcte des produits et services

• toute utilisation abusive, connue ou raisonnablement prévisible, d’un produit ou service susceptible d’accroître le risque de résultats inexacts ou de préjudice pour les personnes

• la documentation raisonnablement nécessaire à un utilisateur des technologies d’IA pour comprendre la nature et la finalité des résultats de l’IA, comment détecter les inexactitudes et comment éviter, dans des conditions raisonnables, toute utilisation abusive des produits et services

Cet accord témoigne des récents changements de politique du procureur général du Texas, qui privilégie une application plus stricte en matière de protection de la vie privée et des consommateurs. En juin 2024, le bureau du procureur général a annoncé la création d’une initiative visant à renforcer l’application de la loi DTPA et des lois de l’État relatives à la protection de la vie privée, à la biométrie, à l’usurpation d’identité et aux courtiers en données.

Opération AI Comply de la FTC

Le 25 septembre 2024, la FTC a annoncé des poursuites contre cinq entreprises accusées d'avoir utilisé l'IA de manière abusive ou trompeuse, en violation des lois fédérales sur la protection des consommateurs. Ces cinq affaires, menées dans le cadre de l'Opération AI Comply, visent à la fois l'utilisation d'outils d'IA susceptibles d'amplifier les pratiques commerciales trompeuses ou abusives, et les exagérations et le marketing agressif autour de l'IA destinés à attirer les consommateurs :

• DoNotPay. Dans une plainte administrative, la FTC allègue que DoNotPay a fait des déclarations trompeuses concernant les capacités de son service d'abonnement « avocat IA ». Un accord proposé obligerait DoNotPay à verser 193 000 $, à informer certains abonnés de l'affaire intentée par la FTC et à cesser ses pratiques prétendument trompeuses. * Ascend Ecom. La FTC allègue, dans une plainte déposée devant un tribunal fédéral californien, qu'Ascend Ecom et ses filiales ont fait des déclarations trompeuses concernant les gains potentiels afin d'inciter les clients à investir dans des opportunités commerciales basées sur l'IA et présentées comme « sans risque ». La FTC allègue également qu'Ascend a refusé de rembourser les clients lorsque les investissements n'ont pas généré de rendement et a menacé ceux qui tentaient de publier des avis sur l'escroquerie.

• Ecommerce Empire Builders. La FTC a déposé une plainte devant un tribunal fédéral de Pennsylvanie, alléguant qu'Ecommerce Empire Builders a fait des déclarations trompeuses concernant des outils d'investissement basés sur l'IA, promettant indûment des milliers de dollars de rendements par mois. L'entreprise aurait également omis de divulguer certaines informations concernant ces outils et aurait exigé de ses clients qu'ils s'engagent à ne pas publier d'avis négatifs sur ses services.

• FBA Machine. Dans une plainte déposée devant un tribunal fédéral du New Jersey, la FTC allègue que FBA Machine a fait des déclarations trompeuses et mensongères concernant les rendements potentiels des boutiques en ligne utilisant un logiciel d'IA, entraînant des pertes de près de 16 millions de dollars pour les consommateurs. La FTC a obtenu une ordonnance suspendant temporairement les activités commerciales de FBA Machine.

• Rytr, LLC. Selon la plainte administrative de la FTC, les clients de Rytr, LLC pouvaient utiliser l'assistant de rédaction IA par abonnement de l'entreprise pour générer de faux avis sur leurs produits ou services. Ces faux avis étaient ensuite utilisés par les clients de Rytr pour tromper leurs propres clients. Rytr et la FTC sont parvenus à un accord à l'amiable qui interdirait à Rytr de continuer à proposer tout service générant des avis d'utilisateurs.

IntelliVision Technologies. La FTC a franchi une nouvelle étape en examinant comment les entreprises doivent justifier leurs affirmations concernant l'IA. Elle a conclu un accord à l'amiable dans le cadre de son enquête sur IntelliVision Technologies, qui prétendait que son logiciel de reconnaissance faciale basé sur l'IA était « sans biais racial » ou « exempt de biais sexiste ou racial ». La FTC a conclu qu'IntelliVision avait trompé ses clients en affirmant que son logiciel de reconnaissance faciale était « exempt de biais sexiste ou racial ». La FTC a constaté que le logiciel d'IntelliVision était similaire à d'autres logiciels de reconnaissance faciale, dans la mesure où « les taux de précision… varient selon les caractéristiques démographiques, notamment l'origine ethnique et le sexe des personnes photographiées ». En particulier, ce type de logiciel produit souvent « davantage de faux positifs pour certaines populations, notamment les personnes d'Afrique de l'Ouest et de l'Est, d'Asie de l'Est et les Amérindiens, que pour les visages d'Europe de l'Est », et génère également plus de faux positifs chez les femmes que chez les hommes. La FTC a affirmé qu'IntelliVision ne faisait pas exception : « les taux d'erreur des algorithmes d'IntelliVision différaient selon les caractéristiques démographiques, notamment la région de naissance et le sexe ». Par conséquent, la FTC a estimé qu'IntelliVision ne pouvait pas présenter son produit comme étant « totalement exempt de biais sexiste ou racial ».

Le commissaire Andrew Ferguson a précisé la définition du terme « biais » dans une déclaration concordante. Rejetant une définition du biais exigeant des « taux de faux négatifs et de faux positifs égaux pour tous les groupes raciaux et de sexe », le commissaire Ferguson a néanmoins averti que « si IntelliVision entendait invoquer une définition précise du terme “biais”, elle aurait dû le préciser. Or, elle ne l’a pas fait ; elle a laissé aux consommateurs le soin de résoudre cette ambiguïté. IntelliVision doit donc justifier toutes les interprétations raisonnables que les consommateurs ont pu donner à son affirmation selon laquelle son logiciel était “sans biais sexiste ni racial”. »

Point important, l’accord interdit à IntelliVision de formuler d’autres allégations concernant l’efficacité ou le biais de son IA (ou sa capacité à résister à l’usurpation d’identité) à moins que ces allégations ne soient fondées sur des « tests compétents et fiables » réalisés au moment où elles sont formulées, et documentés en détail. Point essentiel, pour étayer une allégation, la FTC considère que des tests compétents et fiables, au sens de la présente ordonnance, sont des « tests fondés sur l’expertise de professionnels du domaine concerné et qui (1) ont été menés et évalués de manière objective par des personnes qualifiées et (2) sont généralement reconnus par les experts du secteur comme fournissant des résultats précis et fiables… ».

Contexte de l’application de la loi. Point crucial, les autorités de réglementation s’appuient sur les pouvoirs qui leur sont conférés par la loi sur la FTC pour encadrer les diverses utilisations – et les mésusages potentiels – de l’intelligence artificielle. Outre la théorie de la responsabilité pour pratiques commerciales déloyales et trompeuses qui sous-tend l’action du procureur général du Texas et de la FTC, d’autres sources de risques juridiques existent pour les entreprises qui développent ou utilisent l’IA. Plusieurs lois étatiques sur la protection de la vie privée, dont celle du Texas, exigent des entreprises qu’elles réalisent une évaluation des risques avant d’utiliser l’IA pour profiler les consommateurs afin de prendre des décisions relatives à l’octroi ou au refus de services financiers, de logement, de soins de santé ou d’offres d’emploi. Ces lois permettent également aux consommateurs de s’opposer à l’utilisation de leurs données personnelles pour certains types de profilage. D'autres agences fédérales envisagent également d'utiliser leurs pouvoirs réglementaires existants pour encadrer et faire appliquer la réglementation dans le contexte de l'IA. En effet, plus tôt cette année, le Département de la Justice (DOJ) a indiqué son intention non seulement d'utiliser ses pouvoirs de contrôle existants pour relever les nouveaux défis posés par l'IA, mais aussi de demander des sanctions plus sévères lorsque des acteurs utilisent l'IA pour commettre des actes répréhensibles. Le DOJ a également récemment mis à jour ses directives à l'intention des procureurs afin d'évaluer l'efficacité des programmes de conformité des entreprises en matière de gestion des risques liés à l'IA. Ces directives mettent l'accent sur les processus mis par l'entreprise pour identifier et gérer les risques émergents, notamment sur la mesure dans laquelle elle surveille et teste son IA afin de vérifier si celle-ci fonctionne comme prévu et conformément à ses politiques, ainsi que sur la rapidité avec laquelle elle peut identifier et corriger les décisions prises par l'IA qui contredisent ses politiques ou ses valeurs.

Toutes ces initiatives de contrôle montrent clairement que, même si les États-Unis ne disposent pas encore d'une réglementation fédérale exhaustive sur l'IA (et que la loi du Colorado sur l'IA, la première du genre aux États-Unis, n'entrera en vigueur qu'en 2026), les autorités de réglementation utilisent déjà les outils juridiques existants pour lutter contre les préjudices et les risques perçus liés à l'IA.

Points clés pour les entreprises développant ou utilisant des produits et services d'IA

• Les autorités réglementaires n'attendent pas la réglementation fédérale ou les lois étatiques spécifiques à l'IA pour agir dans ce domaine ; les enjeux liés à l'IA sont pris en compte dans un large éventail de lois existantes, notamment celles relatives à la protection des consommateurs et à la protection de la vie privée.

• Les allégations marketing relatives aux technologies d'IA dans les produits seront examinées de près afin de détecter toute inexactitude, exagération ou autre pratique trompeuse. Une transparence accrue concernant le fondement des allégations marketing, les risques liés aux technologies d'IA et la manière d'utiliser correctement ces technologies conformément à leur destination, tout en minimisant les risques, est essentielle à la commercialisation. Ceci est particulièrement crucial pour les entreprises proposant des produits ou services d'IA destinés à des applications à haut risque pouvant affecter les consommateurs, comme la santé, les services financiers et l'éducation.

• Les entreprises interentreprises (B2B) ne sont pas exemptées des mesures d'application de la réglementation dans ce domaine. Les autorités réglementaires ciblent toutes les entreprises, qu'elles s'adressent aux consommateurs ou qu'elles interagissent avec des partenaires commerciaux avertis.

Pour en savoir plus sur les éléments que les entreprises doivent prendre en compte lors de l'évaluation des risques juridiques liés à l'IA, nous vous encourageons à consulter cette ressource supplémentaire, à visiter le Sidley AI Monitor ou à contacter l'un des avocats de Sidley mentionnés ci-dessous.