La régulation des technologies a toujours fait figure de casse-tête. Imposer de trop lourdes contraintes réglementaires conduit à asphyxier l’innovation ; au contraire, l’excès de liberté fait le lit de la défiance et laisse la porte ouverte aux abus technologiques. Entre ces deux écueils politiques et juridiques, une troisième voie est tracée depuis quelques années par le législateur européen : « l’approche par les risques ». Concernant les activités numériques, cette méthode est appliquée en matière de cybersécurité, d’intelligence artificielle, de données à caractère personnel ou encore de cryptoactifs. Au-delà du numérique, cette méthode trouve aussi à s’appliquer en matière financière et environnementale.
L’approche par les risques désigne une méthode législative innovante, moins évidente qu’elle n’y parait au premier coup d’œil. En résumé, elle implique de concentrer l’action législative sur les cas d’usage présentant les risques les plus importants et, par symétrie, de laisser à l’empire de la liberté les technologies les plus inoffensives. Mais reste que départager le bon grain technologique de l’ivraie liberticide n’est pas chose aisée. Selon quels critères opérer cette distinction ? Et quelles autorités pour le dire ? Répondre à ces interrogations conduit ensuite à soulever d’autres enjeux, plus épineux encore : faut-il attendre le stade de la maturité technologique avant d’agir sur le terrain législatif ? Comment alors réguler de manière prospective, dans un monde en plein mouvement ? L’approche par les risques concentre toutes ces difficultés et propose d’y répondre, évidemment de manière imparfaite, afin que la régulation des technologies concilie le respect de l’État de droit et des droits fondamentaux avec le nécessaire encouragement à l’innovation, clé de voute de l’amélioration du bien-être, de la réduction des inégalités et de la lutte contre le réchauffement climatique.
La grande crise financière de 2008
L’approche par les risques a été mise en œuvre pour la première fois après la grande crise financière de 2008. Il était alors devenu évident que les grandes institutions financières étaient insuffisamment réglementées. Le constat était sans appel : leurs errements ne mettent pas seulement en péril leurs activités, mais la société dans son ensemble. Le caractère essentiel de leur activité pour nos sociétés engendre une catégorie de risques encore plus grand : les risques « systémiques ». Pour le dire simplement, la défaillance d’une banque risque d’entrainer avec elle des pans entiers de l’économie et, avec eux, emplois et savoir-faire. La décision de laisser sombrer une banque est alors particulièrement lourde de conséquences – raison pour laquelle la faillite de la banque américaine Lehman Brothers a surpris tous les observateurs.
Afin d’éviter les conséquences systémiques de tels évènements, une nouvelle doctrine législative est née : l’approche par les risques consiste à réguler plus strictement les opérateurs exerçant des activités indispensables à la vie sociale : finance, énergie, santé, défense, télécommunication, environnement et transport. Ces secteurs représentent en effet des domaines d’activités trop importantes pour être laisser à la seule loi du marché.
D’un point de vue politique, l’approche par les risques s’inscrit dans le courant libéral contemporain tel que décrit par François Ewald dans son Histoire de l’Etat providence (Grasset et Fasquelle, 1986). Cette approche correspond à ce que l’auteur nomme « la société assurantielle », mélange de libertés économiques et de paternalisme étatique. Plus encore, l’approche par les risques s’inscrit dans la réflexion prospective de notre destin que le sociologue allemand Ulrich Beck a décrit comme la fameuse « société du risque » (Suhrkamp Verlag, 1986). Elle représente sa traduction juridique la plus récente.
Prévention et résilience
L’approche par les risques poursuit deux grandes fonctions : la prévention et la résilience. La première semble assez logique : une fois identifié, le risque doit être combattu afin d’éviter qu’il n’advienne. Mais l’objectif de prévention, politiquement évident, se heurte pourtant à de sérieuses difficultés juridiques : comment déterminer avec justesse qu’une activité présente des risques suffisamment graves pour justifier la mise en place d’une réglementation contraignante ? L’expertise doit ici jouer un rôle de premier plan. Son intégrité (transparence des évaluations, débats contradictoires, etc…) est la condition de sa réussite.
La seconde fonction de l’approche par les risques, moins connue, monte en puissance ces dernières années : il s’agit d’encourager la résilience des opérateurs les plus importants. Issue de la psychologie, la notion de résilience trouve ici une application collective : puisque le risque-zéro n’existe pas malgré toutes les mesures de prévention possibles, le législateur doit mettre en place des obligations visant à favoriser la poursuite des activités essentielles à nos sociétés. Une illustration toute simple : l’obligation faite à certains opérateurs de contracter une assurance (indispensable pour se relever de certains préjudices) ou encore l’obligation de prévoir des sauvegardes informatiques (indispensables en cas de cyberattaques ou, tout bêtement, de rupture d’un contrat de maintenance informatique). Les politiques publiques de résilience sont aujourd’hui indispensables pour relever les défis de demain, que ce soit en matière de technologie ou bien d’environnement. Le récent règlement européen sur la résilience opérationnelle numérique du secteur financier (dit règlement « DORA ») ou encore la loi française « climat et résilience » du 22 aout 2021 manifestent ce nouvel objectif de résilience des opérateurs dont les activités sont essentielles à la vie de tous.
Un travail législatif à encadrer
Le principal avantage de l’approche par les risques consiste à concentrer l’action législative sur l’essentiel à partir d’une démarche scientifique. Elle implique ensuite de laisser les cas exceptionnels à la jurisprudence. En tirant sur ce fil, on s’aperçoit que l’approche par les risques mêle une logique pragmatique fondée sur les cas d’usage à des principes cardinaux formant le socle juridique de la matière. Or l’irruption des cas d’usage dans la législation déroute encore. Le meilleur exemple figure dans le projet de Règlement relatif à l’intelligence artificielle (dit « IA Act »). Ce texte prévoit en effet de nuancer le niveau de contrainte règlementaire suivant le cas d’usage considéré : certains usages sont interdits (la reconnaissance biométrique dans l’espace public, le scoring social, etc.), d’autres sont strictement encadrés (la santé, la sécurité, l’emploi, l’enseignement, la justice, etc.) tandis que d’autres sont laissés au domaine de la liberté ou bien plus légèrement encadrés. Réguler par les cas d’usage rompt alors avec la tradition du droit continental fondée sur le couple principe/exception. La régulation par les risques invite alors plutôt à raisonner sur le terrain des probabilités sur le mode if/then.
La réussite d’une telle législation tient en particulier à deux éléments : la qualité du travail législatif et la souplesse de la règlementation mise en place. Concernant la préparation de la législation fondée sur les risques, une place accrue doit être donnée aux études d’impact. Les analyses techniques et scientifiques doivent en effet occuper une place de premier plan afin d’apprécier la matérialité des risques. L’impératif de souplesse signifie que la législation doit pouvoir s’adapter à l’évolution des risques et de leur connaissance. Des obligations de réexaminer des textes sont ainsi très souvent prévues par les législations techniciennes. Renvoyer au pouvoir règlementaire permet aussi de conserver une certaine souplesse pour faire évoluer les textes.
Dans ce contexte, l’approche par les risques signe-t-elle la fin de la démocratie et du débat politique ? A l’évidence non. La détermination des principes du gouvernement des risques relève plus que jamais du débat démocratique. En matière de cybersécurité, le choix fréquent à opérer entre la sécurité ou la vie privée relève d’un choix politique incontestable. Une fois les risques déterminés, il faut de plus les répartir. Ce travail d’allocation des risques demeure éminemment politique afin de déterminer les responsabilités de chacun. Enfin, les principes démocratiques doivent s’appliquer aux débats techniques et scientifiques : la représentativité des organes délibérants, le contradictoire, la prévention des conflits d’intérêts ou encore la transparence représentent les conditions du succès de l’approche par les risques. En un sens, l’approche par les risques propose une synthèse entre la démocratie et la technocratie.
Une Parole d’Expert d’
Arnaud LATIL
Maître de conférences à Sorbonne Université
Chercheur au CERDI (Université de Saclay)
Auteur de l’ouvrage « Le droit du numérique, une approche par les risques » (Dalloz, 2023)
Parue le 28 avril 2023