A l’heure où la Commission Nationale de l’Informatique et des Libertés (ci-après dénommée « CNIL ») édicte des recommandations concernant la technologie des chatbots [1], un agent conversationnel d’un genre nouveau fait son apparition.

Le 1er décembre 2020, l’USPTO (United States Patent and Trademark Office) a enregistré le nouveau brevet élaboré par la société Microsoft, relatif à la mise en place d’un chatbot permettant de dialoguer avec une personne identifiée, vivante ou décédée, dont les propos sont imités par un algorithme.

Ce brevet, intitulé « Créer un chatbot conversationnel d’une personne spécifique » (« Creating a conversational chat bot of a specific person »), permet d’entretenir virtuellement une discussion avec un robot reproduisant le comportement (et surtout les paroles) d’une personne déterminée en utilisant ses données à caractère personnel précédemment collectées.

Dans son brevet, Microsoft rappelle le fonctionnement du chatbot, défini comme « un programme informatique conversationnel qui simule une conversation humaine en utilisant des canaux de saisie textuels et/ou auditifs » [2].

Le chatbot breveté par Microsoft va plus loin qu’un chatbot dit « traditionnel ». Alors que ce dernier crée une conversation standardisée dénuée de toute personnalité, le nouvel agent conversationnel cherche à imiter une personne déterminée. Pour ce faire, les données à caractère personnel collectées précédemment sur cette personne (images, enregistrements vocaux, messages électroniques, lettres), notamment via les réseaux sociaux, sont utilisées afin de personnaliser la conversation générée par le robot. Ce chatbot devrait même être capable de recréer la voix ou l’image de la personne, à l’aide d’enregistrements sonores, d’images ou de vidéos précédemment collectés.

Ainsi, l’agent conversationnel peut « imaginer » la conversation que l’utilisateur du chatbot aurait pu avoir avec « un ami, un parent, une connaissance, une célébrité, un personnage fictif » ou encore « un personnage historique » [3].

Cette nouvelle technologie, qui n’est pas sans rappeler celle utilisée dans un épisode de Black Mirror [4], est susceptible de soulever de nombreuses problématiques juridiques en droit français.

En effet, elle semble peu compatible avec certaines règlementations relatives aux données personnelles, notamment concernant le principe de finalité du traitement et de minimisation des données (I). Au-delà des problématiques intéressant les données personnelles, ce chatbot d’un nouveau genre impose également de s’interroger sur les risques d’usurpation d’identité numérique qu’il pourrait entraîner (II).

I- Sur la règlementation relative aux données à caractère personnel

Que le chatbot imaginé par Microsoft imite une personne vivante ou décédée, la question se pose de savoir si une telle technologie est compatible avec le principe de finalité du traitement des données à caractère personnel (1). Par ailleurs, il convient également de déterminer si le traitement réalisé par le chatbot respecte le principe de minimisation des données (2).

1. Sur le principe de la finalité de traitement des données personnelles

L’entrée en vigueur du Règlement Général sur la Protection des Données [5] (ci-après dénommé « RGPD ») a renforcé l’encadrement du traitement des données présentant un caractère personnel en complétant les dispositions de la loi dite « informatique et libertés » [6] (ci-après dénommée « loi LIL »).

Il en résulte que tout responsable de traitement qui souhaite réaliser un traitement de données personnelles doit en déterminer les finalités.

L’article 5.1, b) du RGPD dispose, en ce sens, « les données à caractère personnel doivent être […] collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités ». Pour le dire autrement, le responsable de traitement a l’obligation de déterminer la finalité pour laquelle il collecte les données personnelles, cette dernière devant être claire et explicite. Par ailleurs, il lui est interdit de réaliser un traitement des données recueillies dans une finalité autre que celle initialement mentionnée.

Le non-respect de cette disposition est sanctionné par l’article 226-21 du code pénal qui prévoit que le responsable de traitement qui utilise les données recueillies dans un autre but que celui initialement déterminé encourt cinq ans d’emprisonnement et trois cent mille euros d’amende. Tel est notamment le cas lorsque deux agents du service du personnel d’EDF produisent, dans le cadre d’une instance prud’homale, des extraits du compte cotisations retraite d’une ancienne salariée faisant apparaître le non-respect, par cette dernière, des obligations dont elle était investie durant son congé sans solde. En ce sens, la cour d’appel de Versailles a jugé que « les besoins de la défense d’EDF devant les prud’hommes ne [pouvaient] pas excuser le fait d’avoir commis sciemment ce détournement de finalité » et a condamné les agents ayant fournis un tel document [7].

En l’occurrence, le chatbot imaginé par Microsoft semble aller à l’encontre de ce principe de finalité du traitement.

En effet, le fonctionnement de l’agent conversationnel suppose l’agrégation d’un maximum de données personnelles sur la personne « imitée ». Le document publié par l’USPTO indique que les données recueillies sur la personne proviennent de différentes sources, et notamment d’e-mails, de données de géolocalisation, de publications réalisées sur les réseaux sociaux, d’images ou encore d’enregistrements vocaux. Autrement dit, le chatbot collecte, au sein des différents logiciels utilisés par l’internaute, les données nécessaires à son bon fonctionnement.

Or, si la collecte des données personnelles de l’internaute est encadrée au sein de chacun de ces logiciels, cet encadrement ne concerne pas l’utilisation des données par le chatbot de Microsoft. Ainsi, le fait pour l’agent conversationnel de les agréger afin de reproduire la conversation d’une personne déterminée pourrait constituer un détournement de la finalité du traitement des données à caractère personnel de l’internaute.

De ce fait et afin de se conformer aux dispositions du RGPD, il apparaît nécessaire pour Microsoft d’imaginer un mécanisme avertissant l’utilisateur de ces différents logiciels du fait qu’un second traitement sera réalisé sur ses données personnelles, permettant le fonctionnement dudit chatbot.

Par ailleurs, la finalité du traitement détermine également la durée de conservation des données personnelles recueillies.

L’article 5.1, e) du RGPD dispose, en ce sens, « les données à caractère personnel doivent être […] conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ». Cet article énonce un principe de limitation de la conservation des données dans le temps, qui est intimement lié à la finalité poursuivie par le responsable de traitement. Ainsi, ce dernier ne peut conserver les données une fois la finalité atteinte, cette conservation n’étant plus justifiée.

En l’occurrence, la finalité de traitement du chatbot étant d’imiter lors de conversations générées par une intelligence artificielle des personnes déterminées, et ce même après leur décès, il est nécessaire de conserver les données personnelles recueillies pendant une période indéterminée. Or, une fois encore, cela semble se heurter au principe de la limitation de la conservation des données dans le temps, ces dernières étant conservées même après le décès de la personne.

Pour permettre une conformité du chatbot au RGPD, il semblerait nécessaire de déterminer de manière arbitraire une durée de conservation desdites données, par exemple cent ans après le décès de la personne imitée. De ce fait, la conservation des données par Microsoft n’apparaîtrait plus comme étant illimitée et lui permettrait de réaliser la finalité de traitement initialement envisagée.

Au-delà de déterminer la durée de conservation des données recueillies, cette finalité détermine également le type et la quantité de données pouvant être collectées par le responsable de traitement.

2. Sur le principe de minimisation des données personnelles

En vertu du RGPD, le responsable de traitement doit également respecter le principe de minimisation de la collecte des données.

En effet, l’article 5.1, c) du RGPD dispose « les données à caractère personnel doivent être […] adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ». Il résulte de ces dispositions que le responsable de traitement doit limiter la collecte aux données réellement nécessaires à la finalité poursuivie. Tel est, par exemple, le cas de l’adresse du destinataire d’un colis, mais pas de sa date de naissance.

Sur le fondement de la minimisation des données, la CNIL a sanctionné une entreprise procédant à l’enregistrement systématique des conversations entre les salariés de son service client et les clients, et ce dans le but de former lesdits salariés. Ces enregistrements n’étant pas limités au strict nécessaire, les codes de carte bleue des clients étant par ailleurs communiqués lors de ces conversations, la CNIL a considéré que le principe de minimisation des données n’était pas respecté [8].

Dans le cas précis du chatbot développé par Microsoft, l’objectif est de réaliser une imitation authentique de la personne. Afin d’assurer la crédibilité maximale de cette imitation, l’agent conversationnel doit pouvoir reproduire son mode d’expression, certaines de ses habitudes de langages ou tout autre élément permettant à l’internaute avec lequel il discute de la reconnaître ou, du moins, de l’identifier. De ce fait, toute information ou donnée concernant la personne, même la plus insignifiante, pourrait être utile au chatbot pour générer la conversation la plus vraisemblable.

Ainsi, faut-il considérer que cette collecte globale, conforme à la finalité poursuivie, est légitime ? En effet, bien qu’elle puisse être justifiée par la finalité du traitement, l’on voit mal comment cette collecte généralisée pourrait ne pas entrer en contradiction avec le principe de minimisation des données. Car si la finalité du traitement permet de justifier une collecte « globale » des données, il semble que le principe de minimisation soit quelque peu vidé de sa substance.

Là encore, pour éviter d’entrer en contradiction avec le principe de minimisation, Microsoft pourrait sélectionner un type de données considéré comme étant indispensable à l’objectif recherché par le chatbot, lui permettant ainsi de collecter une partie seulement des données de l’internaute. Cela semblerait plus respectueux du principe de proportionnalité et de minimisation des données, en vertu duquel seules les données nécessaires au traitement réalisé doivent être recueillies.

Outre ces questionnements relatifs aux données personnelles, il est également possible de s’interroger sur les mécanismes de responsabilité à mettre en œuvre en cas d’usurpation d’identité causée par le nouveau chatbot de Microsoft.

II- Sur l’usurpation d’identité numérique et la responsabilité

Qu’il s’agisse d’une personne vivante ou décédée, le chatbot imaginé par Microsoft reproduit, à la place d’une personne, la conversation que cette dernière aurait pu avoir. En d’autres termes, la machine se fait « passer pour » la personne qu’elle imite. Or, une telle imitation pourrait entraîner une confusion susceptible, le cas échéant, d’être qualifiée d’usurpation d’identité.

L’usurpation d’identité se définit comme l’usage d’une ou de plusieurs données de toute nature permettant à une personne de se faire identifier comme étant un tiers.

Ces cas d’usurpations d’identité ne sont pas rares dans le domaine numérique. Afin d’éviter cette dérive, la loi n° 2011-267 du 14 mars 2011 dite « LOPPSI II » a créé une infraction spécifique permettant de réprimer l’usurpation d’identité numérique. L’article 226-4-1 du code pénal dispose, en ce sens, que « le fait d’usurper l’identité d’un tiers ou de faire usage d’une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération, est puni d’un an d’emprisonnement et de 15 000 euros d’amende ».

En vertu de cette disposition, le délit n’est constitué que si l’usurpateur a pour but de troubler la tranquillité de la personne pour laquelle il se fait passer, de porter atteinte à son honneur ou à sa considération. Tel est le cas, par exemple, de l’informaticien qui crée un site internet reprenant la présentation du site officiel d’une femme politique, afin d’y publier de faux communiqués de presse comportant des propos obscènes et dégradants pour l’élue [9].

Dans l’hypothèse du chatbot élaboré par Microsoft, c’est le logiciel qui « prendrait » l’identité de la personne imitée ou usurpée. Pour ce faire, il pourrait utiliser le nom, la voix, l’image et plus généralement l’ensemble des informations à sa disposition et enregistrées sur sa base de données portant sur les goûts, les idées politiques ou religieuses, l’appartenance à un groupe ou un syndicat, l’orientation sexuelle et même la « manière » de s’exprimer de la personne.

L’agent conversationnel pourrait ainsi exprimer un certain nombre de positions (politiques, religieuses, etc.) comme étant celles de la personne imitée, déduites des données personnelles recueillies, et les rendre publiques sans le consentement de l’intéressé. Une telle hypothèse n’est d’ailleurs pas sans rappeler le scandale « Cambridge Analytica », à l’occasion duquel les données personnelles de millions d’américains ont été utilisées à des fins de ciblage politique.

De tels propos, non souhaités par la personne imitée, pourraient porter atteinte à son honneur, sa considération ou à ceux d’un tiers et causer ainsi des préjudices indemnisables.

A ce stade, il convient d’écarter de l’analyse la problématique, sans doute moins dommageable, de la personne décédée : la confusion et l’attribution des « paroles » ou messages à cette dernière étant moins probable, dès lors que les propos engendrés par le chatbot sont datés.

En tout état de cause, la question du mécanisme de responsabilité applicable peut faire débat, dès lors que le principal responsable apparaît comme étant une intelligence artificielle.

Les propos préjudiciables étant générés par un logiciel informatique et non par une personne, l’article 226-4-1 du code pénal, dans sa rédaction actuelle, n’est pas applicable. Il conviendrait donc de déterminer qui, parmi la société Microsoft, ses dirigeants, le programmeur de l’agent conversationnel ou l’utilisateur de ce dernier, est responsable en cas d’atteinte à l’honneur ou à la considération d’une personne du fait des propos tenus par un chatbot.

Cette problématique, relative à la responsabilité juridique des préjudices causés par l’intelligence artificielle, semble échapper au schéma classique de responsabilité.

Afin d’appréhender une telle hypothèse, le Parlement européen a envisagé la création d’une « personnalité juridique spécifique aux robots » permettant de considérer les robots les plus sophistiqués comme des « personnes électroniques responsables, tenues de réparer tout dommage causé à un tiers » [10]. Le Parlement européen recommandait, au sein de cette résolution, la mise en place de mécanismes assurantiels ou la création de fonds de compensation, permettant de réparer les dommages causés. Toutefois, ces mécanismes sont encore à l’étude. De ce fait, le robot étant dépourvu de patrimoine, il ne peut réparer sur ses propres deniers les dommages qu’il pourrait éventuellement causer. Dès lors, l’on voit mal comment la fiction juridique consistant à créer une personnalité juridique propre aux robots pourrait permettre de s’affranchir du schéma classique de responsabilité.

C’est en ce sens qu’une partie de la doctrine soutient qu’il est possible d’appliquer à l’intelligence artificielle les règles classiques de la responsabilité civile, sans avoir recours à la création d’une personnalité juridique spécifique aux robots [11]. Pour ces auteurs, il conviendrait d’appliquer la responsabilité du fait des produits défectueux [12] ou la responsabilité du fait des choses [13].

Pour trouver à s’appliquer, la responsabilité du fait des produits défectueux impliquerait que l’agent conversationnel soit considéré, par définition, comme étant défectueux. Or, si la confusion est rendue possible, c’est précisément parce que le logiciel fonctionne parfaitement. N’étant pas défectueux lorsqu’il cause le dommage, il ne semble pas possible d’engager la responsabilité du producteur [14]. Quant à la responsabilité du fait des choses, elle implique l’identification du gardien de l’agent conversationnel. Le gardien de la chose étant compris comme la personne qui en détient l’usage, la direction et le contrôle [15], la question se poserait donc de savoir qui, de l’internaute, du programmeur ou de la société détenant les droits sur le brevet, serait considéré comme le « gardien » de l’agent conversationnel.

Ces questions, loin de se limiter au chatbot imaginé par Microsoft, concernent l’ensemble des domaines faisant usage de l’intelligence artificielle. Tel est notamment le cas des voitures intelligentes, intégrant des systèmes de délégation de conduite, et pour lesquelles la question de la responsabilité ne fait pas encore l’objet d’un cadre juridique définitif [16].

Au-delà des problématiques strictement juridiques, les agents conversationnels soulèvent également de nombreuses questions éthiques, notamment celle de la disparition de la frontière entre l’homme et la machine et de « l’humanisation » des robots.

C’est à ce titre et afin d’éviter toute confusion des genres que certains États commencent à se doter d’un cadre juridique relatif aux chatbots. Il en va ainsi de la Californie qui impose, depuis le 1er juillet 2019, que tout agent conversationnel se présente en tant que tel à un internaute [17] afin d’éviter toute méprise.

Gageons que ces essais juridiques porteront rapidement leurs premiers enseignements et qu’ils serviront de base aux réflexions qui ne manqueront pas d’être menées, tant au niveau national qu’européen.

Toutefois, dans un marché numérique globalisé au sein duquel les frontières étatiques constituent rarement un frein, le chatbot imaginé par Microsoft pourrait soulever de nombreuses problématiques en droit français. Une telle technologie devra alors faire l’objet d’un encadrement juridique précis permettant d’éviter toute contradiction avec les normes en vigueur, au premier rang desquelles se situent les dispositions du RGPD.

[1] Chatbots : les conseils de la CNIL pour respecter les droits des personnes, 19 février 2021 [2] « A chat robot (chat bot) is a conversational computer program that simulates human conversation using textual and/or auditory input channels », Brevet Microsoft [3] « In examples, the specific person may correspond to […] a friend, a relative, an acquaintance, a celebrity, a fictional character, a historical figure, a random entity, etc. », Brevet Microsoft [4] Black Mirror, Saison 2, Episode 1, « Be right back » [5] Règlement UE 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 [6] Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés [7] CA de Versailles, 3 mars 2003, 7ème ch., n° 02/01715 [8] CNIL 28 juill. 2020, Spartoo, délib. n° SAN-2020-003 [9] Cass. crim., 16 novembre 2016, n°16-80.207 [10] Résolution du Parlement européen du 16 février 2017 contenant des recommandations à la Commission concernant des règles de droit civil sur la robotique (2015/2103(INL)) [11] Cayol A., Le droit de la responsabilité civile face au développement de l’IA, Droit et Patrimoine, N°298, 1er janvier 2020 [12] Article 1245 et suivants du code civil [12] Article 1242 du code civil [14] Article 1245 du code civil [15] Cass., ch. réunies., 2 déc. 1941, Franck [16] Intelligence artificielle : quel modèle de responsabilité ? – Christophe Lachièze – Dalloz IP/IT 2020. 663 [17] Chatbot disclosure law (SB-1001)

réf. : DUBREUIL-BLANCHARD (M.), "Le nouveau chatbot de Microsoft : traitement des données personnelles et responsabilité", Doctrin'Actu février 2020, art. 160