La Gen AI réduit le coût des actions en justice — les entreprises doivent s’y préparer

• L’IA permet désormais aux clients, aux employés, aux concurrents et aux autorités de régulation d’engager plus facilement et à moindre coût des actions en justice
• Les risques juridiques de demain prendront la forme d’investigations juridiques comparables aux attaques de phishing sur Internet, produites en masse plutôt que de manière individuelle, et lancées par de multiples acteurs
• Lorsqu’elles sont coordonnées, elles peuvent fonctionner comme une attaque DDoS, neutralisant la cible par un afflux de sollicitations
• Les entreprises doivent s’inspirer des réponses de la cybersécurité et mettre rapidement en place l’identification des vulnérabilités, l’analyse d’impact, les mesures d’atténuation des risques et les stratégies de communication avec les parties prenantes

Possibilité d’une transformation radicale des services juridiques

• L’an dernier, le département du Trésor américain a proposé une loi élargissant les obligations de divulgation d’informations sur les cryptomonnaies afin de lutter contre l’évasion fiscale
• L’industrie des cryptomonnaies s’y est vivement opposée, estimant que ces obligations étaient trop larges
• « LexPunk Army », une communauté de développeurs et d’avocats qui fournit un soutien juridique à l’industrie de la finance décentralisée, a lancé un bot d’IA permettant à tout le monde de soumettre des commentaires sur le projet de règle
• Grâce à ce bot, il est devenu facile de soumettre des commentaires dans le bon format ; l’envoi massif de contributions a retardé l’action du Trésor et a posé les bases de futures contestations juridiques
• Alors qu’une nouvelle réglementation reçoit en général environ 3 commentaires, ce projet de règle en a reçu 120 000
• La règle finale a été considérablement assouplie, et la Blockchain Association a estimé que cela reflétait la force de la voix de l’industrie et de la communauté
• Cela soulève la question de savoir s’il s’agit d’une victoire ponctuelle d’un petit groupe très au fait de la technologie et du droit, ou si cela provoquera une perturbation bien plus large dans la manière dont individus et entreprises utilisent le droit
• Nous pensons qu’il s’agit de la seconde hypothèse, et y voyons un exemple typique de la manière dont la technologie peut amplifier de façon radicale les services et les procédures juridiques, créant à la fois des opportunités et des défis pour les gouvernements et les entreprises

Un contexte mondial instable

• Ce n’est pas seulement la numérisation du droit qui évolue ; le contexte mondial change lui aussi
• Le monde actuel connaît une augmentation générale de l’exposition juridique en raison de l’instabilité géopolitique et de l’affaiblissement de l’État de droit
• Les mécanismes juridiques traditionnels qui encadraient le comportement des entreprises se désagrègent
  • La procédure de règlement des différends de l’OMC est paralysée
  • De nouvelles guerres signifient de nouvelles sanctions
  • Les pays introduisent leurs propres réglementations, créant un ensemble complexe de règles à respecter
  • Des responsables politiques menacent de poursuivre leurs adversaires et de contester les résultats électoraux dans des juridictions traditionnellement libres et équitables
• Ce désordre crée de nouveaux risques juridiques pour les entreprises mondiales
• Selon une enquête de 2022, 99 % des juristes d’entreprise ont déclaré que les questions juridiques avaient fortement augmenté et étaient devenues plus complexes
• Des actions en justice peuvent être engagées par des concurrents, des employés, des clients ou des régulateurs publics poursuivant des gains économiques ou politiques

La baisse du coût du juridique

• Les entreprises dépensent chaque année des centaines de millions de dollars en services juridiques
• Celles qui paient des avocats plusieurs milliers de dollars de l’heure ne percevront peut-être pas encore cette baisse des coûts, mais un changement de fond s’annonce
• Si l’on prend l’exemple d’un commentaire à soumettre sur la proposition du Trésor concernant les règles crypto, qui compte environ 100 000 mots :
  • une personne lisant 225 mots par minute mettrait 8 heures rien que pour lire le texte
  • il pourrait ensuite lui falloir 2 heures supplémentaires pour rédiger une réponse
  • cela sans même compter le temps d’analyse, uniquement celui nécessaire pour comprendre le texte et préparer la réponse
  • en appliquant un tarif moyen de 500 dollars de l’heure en entreprise, 10 heures représentent 5 000 dollars
  • si un avocat plus onéreux effectue un travail plus large, le coût peut être bien supérieur
• Pourtant, lorsqu’on a fourni ce projet de règle à un grand modèle de langage (LLM), il a généré en quelques minutes un résumé concis et facile à comprendre
• En attribuant au LLM différents rôles, comme courtier Bitcoin ou acheteur de Bitcoin, il a expliqué pourquoi chacun devait s’intéresser à cette règle et a rédigé des commentaires prêts à être soumis
  • Cela ne coûte pratiquement ni temps ni argent
• Mais que se passerait-il si ce type d’outil était utilisé contre les entreprises ?
  • Et si, sur un nouveau marché, un concurrent se sentant menacé passait au crible les informations publiques de l’entreprise avec des outils d’IA pour déposer des centaines d’actions pour violation du droit d’auteur, atteinte à la propriété intellectuelle ou détournement de secret commercial ?
  • Si vous exploitez un petit restaurant ou un café, que se passerait-il si chaque smartphone entrant dans votre établissement pouvait capturer le comportement des employés et, en quelques clics, servir à engager une action pour discrimination ?
  • Et si un client mécontent pouvait, en quelques clics sur une plateforme, déposer une réclamation lui permettant d’obtenir davantage d’indemnisation tout en vous forçant à dépenser plus en frais d’avocat que le montant d’un accord amiable ?
• Les entreprises échappent souvent aux sanctions, même lorsqu’elles commettent des infractions, parce que le coût d’une réponse judiciaire est élevé
• Les employés, les clients et les concurrents hésitent à s’engager dans des litiges en raison du temps, du coût et de l’attention que cela exige
• Mais si les actions en justice deviennent beaucoup plus faciles à engager, les contentieux se multiplieront
• Cela réduit l’avantage asymétrique des entreprises disposant de ressources juridiques abondantes et d’une forte expertise, et nivelle le terrain concurrentiel
• Dans certains cas, cela peut favoriser la justice ; dans d’autres, encourager des attaques injustifiées
• Quoi qu’il en soit, cela ouvre aux entreprises un nouveau monde de risques juridiques

Un nouveau risque cyber

• Les risques juridiques sont un terrain peu familier, mais la cybersécurité gère depuis des décennies des risques de masse et offre des enseignements utiles pour faire face à la vague d’actions juridiques à venir
• Imaginez que des centaines d’entreprises partagent des données sur les types d’actions en justice auxquelles elles font face et sur les moteurs technologiques qui les génèrent, ou investissent ensemble dans des technologies permettant de partager et de réduire les vulnérabilités
  • C’est courant en cybersécurité
  • Des CVE (Common Vulnerabilities and Exposures) au NVD (National Vulnerability Database), gouvernements, entreprises, universités et chasseurs de bugs ont compris l’importance du partage d’informations
• Pourtant, il est difficile d’imaginer des CEO ou des responsables juridiques considérer comme une bonne idée de partager les vulnérabilités et l’exposition juridiques de leur entreprise
  • Ils s’y opposeraient immédiatement au nom du secret professionnel entre avocat et client, de la confidentialité ou encore du droit de la concurrence
  • Ce calcul repose sur une structure familière du risque juridique : une action précise menée par un acteur identifiable
• Mais les risques juridiques de demain ressembleront davantage à des enquêtes juridiques comparables aux attaques de phishing sur Internet
  • Ils seront produits en masse plutôt qu’au cas par cas, et initiés par de multiples acteurs
  • Lorsqu’ils sont coordonnés, ils pourront fonctionner comme une attaque DDoS, neutralisant la cible par un afflux de sollicitations
  • Cela ressemble à la tentative de submerger le Trésor par un déluge de commentaires
• Les attaques DDoS sont souvent considérées comme une gêne mineure jusqu’au moment où elles deviennent soudainement graves
  • De même que les requêtes adressées à un serveur font partie d’Internet, commenter un projet de règle ou déposer une plainte client relève simplement du droit administratif et de l’exercice des droits des consommateurs
  • Mais lorsqu’un trop grand nombre de demandes arrive d’un coup, le système se bloque
• En cybersécurité, l’idée de départ est que l’instabilité cyber est mauvaise pour tout le monde sauf les criminels et les adversaires
  • Les entreprises peuvent certes être tenues responsables de ne pas avoir protégé leurs propres données ou celles, sensibles, de leurs clients, mais dans la plupart des cas elles sont considérées comme des victimes
  • Les attaques Petya (2016) et NotPetya (2017) ont exploité la même vulnérabilité pour chiffrer les fichiers des utilisateurs, mais leurs objectifs différaient
    • Petya était un ransomware diffusé par des criminels, qui obligeait à payer pour récupérer ses données
    • NotPetya aurait été propagé par la Russie dans un but de destruction de données
    • Dans les deux cas, des entreprises touchées comme Maersk ont été considérées comme des victimes
• Peut-on vraiment affirmer que des acteurs étatiques comme la Russie ne chercheront pas à lancer des attaques similaires via le système juridique, contre des entreprises ou un appareil judiciaire déjà surchargé ?
  • La Corée du Nord, la Russie et l’Iran dénoncent depuis longtemps le racisme et l’inégalité d’accès à la justice aux États-Unis
  • Ils pourraient embarrasser les États-Unis et éroder la confiance dans de grandes entreprises en fournissant à des clients mécontents ou à des concurrents des services de contentieux fondés sur l’IA
• Les auteurs d’extorsion par rançon sont limités par le risque de sanction pénale, mais poursuivre une stratégie juridique agressive reste légal
  • Il est même facile de se convaincre que cette attaque est un moyen efficace de faire triompher la justice et de corriger des déséquilibres de pouvoir
• À mesure que les menaces juridiques augmentent, il deviendra difficile de savoir qui cherche réellement de l’argent et qui veut simplement vous infliger une procédure de discovery douloureuse et embarrassante sans en assumer lui-même le coût
  • De nouvelles techniques seront nécessaires pour filtrer les risques juridiques dans un environnement où il devient difficile de distinguer l’information du bruit
  • Combattre l’IA par l’IA sera une conséquence naturelle

Un nouveau bouclier juridique

• Aujourd’hui, les entreprises traitent les grands risques juridiques au niveau du conseil d’administration, et les actions en justice ou incidents ne remontent dans le radar des risques de l’entreprise que lorsqu’ils franchissent un certain seuil de matérialité
  • Mais ce n’est pas la bonne manière de filtrer les risques juridiques de demain
• Pour se préparer à cette nouvelle réalité, il faut s’inspirer de la façon dont la cybersécurité répond à ces enjeux
  • Il faut identifier rapidement les vulnérabilités, les menaces émergentes et leurs impacts potentiels, les mesures d’atténuation des risques, ainsi que les stratégies de communication interne et externe avec les parties prenantes
  • Le cabinet d’avocats DLA Piper mène avec les entreprises des exercices de « red team juridique » afin d’identifier les vulnérabilités
• Commencez par définir les approches et stratégies clés
  • Cela permet de décider des investissements technologiques à réaliser face à la montée du risque juridique
  • Bien sûr, l’ancienne méthode consistant à mobiliser davantage de personnel — recruter plus de juristes internes ou externaliser à des cabinets — restera efficace pendant un certain temps
• Ensuite, les équipes stratégie et juridique de l’entreprise doivent travailler ensemble pour analyser la situation actuelle
  • Quels sont les marchés clés ? Où se trouvent les concurrents prêts à tout pour gagner des parts de marché ?
  • À quels systèmes juridiques êtes-vous exposé, et comment fonctionneraient-ils face à des attaques juridiques massives pilotées par l’IA ?
  • Y a-t-il des marchés dont il faudrait se retirer ? Quelles mesures d’atténuation pouvez-vous prendre dès maintenant pour réduire vos vulnérabilités ?
• Il est également important de surveiller les évolutions mondiales
  • Il n’existe pas de système CVE pour le risque juridique, mais les données sont abondantes grâce à la numérisation du travail juridique et aux efforts de transparence des systèmes judiciaires
  • En y ajoutant les données existantes sur le risque juridique, on obtient un excellent point de départ
• Une fois les risques identifiés, constituez une équipe de réponse et concevez les systèmes et processus nécessaires
  • Examinez des cadres de bonnes pratiques en cybersécurité comme le NIST CSF 2.0 et discutez-en avec votre équipe cybersécurité interne
  • Les responsables juridiques ont beaucoup à apprendre de la manière dont les CISO exploitent les SOC
• Recherchez des partenaires externes disposés à coopérer
  • Avec des associations professionnelles, des partenaires ou certaines administrations, il est possible de préparer des réponses globales à certains types d’attaques
  • Une vague de plaintes inconsidérées en propriété intellectuelle pourrait fournir des arguments pour un lobbying réglementaire ou législatif
• Enfin, une mise en garde : ne sous-estimez pas ce risque
  • Grâce à la technologie, le Trésor a dû traiter 120 000 commentaires
  • « Préparez-vous avant que n’arrive le déluge juridique »