L’UE étend les règles relatives à la responsabilité du fait des produits aux fournisseurs de logiciels et d’IA

Union Européennenouvelles technologies
Written By Nathalie Pouderoux

Le 8 décembre 2024, l’Union européenne a adopté une nouvelle directive sur la responsabilité du fait des produits (DFP) remplaçant le cadre de 1985 qui régit depuis près de quarante ans la responsabilité du fait des produits défectueux dans l’UE. Alors que la directive initiale se concentrait sur les biens matériels, la législation actualisée tient en compte la nature de plus en plus numérique des produits et services actuels.

Pour la première fois, les logiciel et les systèmes d’intelligence artificielle (IA) sont explicitement reconnue comme des « produits », ce qui signifie qu’ils sont désormais soumis aux mêmes règles strictes en matière de responsabilité que les biens matériels. Ce changement a des conséquences considérables pour les entreprises technologiques opérant dans l’UE ou exportant vers l’UE.

La directive initiale sur la responsabilité du fait des produits défectueux (85/374/EEC) a été introduite à une époque pré-numérique, où la plupart des produits étaient tangibles et mécaniques. Cependant, les produits modernes, des véhicules aux appareils électroménagers, sont désormais alimentés par des systèmes numériques complexes, plusieurs niveaux de logiciels, et des technologies d’intelligence artificielle de plus en plus autonomes.

La directive actualisée répond à cette évolution en garantissant que les consommateurs lésés par des produits numériques ou des systèmes d’IA défectueux puissent obtenir une indemnisation dans le cadre d’un régime de responsabilité harmonisé. Elle s’aligne également dans le cadre de mesures plus larges de l’UE pour règlementer l’économie numérique, y compris la loi sur l’IA et la proposition de directive sur la responsabilité en matière d’IA.

 

Principaux développements dans le cadre de la nouvelle directive sur la responsabilité du fait des produits (DFP)

1.     Les logiciels sont juridiquement considérés comme des produits : En vertu de la nouvelle directive, la définition du terme « produit » a été élargie pour inclure les logiciels, qu’ils soient intégrés, téléchargeables, ou bas sur le cloud. Cela englobe :

  • Les systèmes d’exploitation et les microprogrammes.

  • Les applications mobiles et web.

  • Les modèles et systèmes d’IA.

 

2.     L’importance de cette décision réside dans le fait que les défauts des logiciels peuvent désormais entrainer une responsabilité stricte, même en l’absence de preuves de négligence.

 

3.     Les systèmes d’IA explicitement inclus dans le champ d’application : Les systèmes d’IA, en particulièrement ceux qui sont capables d’un comportement autonome ou évolutif, sont cités comme des exemples de logiciels susceptibles d’être soumis au nouveau régime Cet aspect est particulièrement important compte tenu de l’introduction simultanée de la loi européenne sur l’IA.  

 

4.     Redéfinir le caractère “défectueux”

Le concept de “défectueux” ne se limite plus aux défauts de fabrication. Il inclut désormais les éléments suivants:

  • Mises à jour logicielles insuffisantes ou manquantes Failles en matière de cybersécurité

  • Comportement imprévu ou imprévisible de l’IA

  • Défaillances après commercialisation lorsque les fabricants conservent le contrôle des performances logicielles.

5.     Cela reflète la prise de conscience croissante que les dommages peuvent résulter non seulement de la manière dont un produit est fabriqué, mais aussi de la manière dont il est entretenu et évolue au fil du temps.  

6.     Extension de la responsabilité stricte : La directive maintient le principe de responsabilité stricte de l’UE, mais l’applique désormais aux produits numériques. Cela signifie que :

  • Les parties lésées n’ont pas à prouver la négligence, mais seulement que le produit était défectueux et a causé un dommage.

  • Les développeurs de logiciels, les fournisseurs d’IA, et les entreprises technologiques peuvent faire l’objet de réclamations même lorsqu’ils agissent avec diligence.

 

7.     Nouvelles formes de dommage indemnisables : le champ d’application de l’indemnisation a été élargi pour inclure :

  • La destruction ou la corruption de données à caractère personnel.

  • Les dommages psychologiques médicalement reconnus.

  • La suppression du seuil minimal de 500 euros pour les demandes d’indemnisation pour dommages matériels.

 

8.     Un plus grand nombre de parties potentiellement responsables : la responsabilité peut incomber non seulement aux fabricants, mais également aux parties suivantes :

  • Les importateurs, les distributeurs, et les prestataires de services d’exécution.

  • Les développeurs de logiciels intégrés dans les produits.

  • Toute personne qui modifie de manière significative un produit après sa vente

  • Les marketplaces accessibles en ligne (sous certaines conditions).

 

9.     Il convient de noter que les entreprises qui importent des systèmes ou des logiciels d’IA développés en dehors de I’UE (par exemple aux États-Unis) peuvent désormais être tenues responsables en cas de préjudice sur le marché l’UE.

 

10.  Nouveaux droits à l’information et présomption de défectuosité :  les demandeurs bénéficieront des avantages suivants :

  • Des droits renforcés pour demander aux fabricants de leur fournir des document internes afin d’étayer leur demande.

  • Un renversement de la charge de la preuve dans certaines cas (par exemple, lorsque la complexité technique fait qu’il n’est pas raisonnable d’attendre d’un demandeur qu’il démontre le caractère défectueux d’un produit).

 

11.  Obligations après-vente : la responsabilité ne se limite plus aux points de vente.  

Les entreprises restent responsables lorsqu’elles conservent le contrôle, notamment :

·        Les mises à jour à distance ou les modifications algorithmiques.

·        L’absence d’action en cas de défauts connus ou de menaces pour la cybersécurité.

·        Les modifications du comportement de l’IA après son déploiement.

 

Implications pour les fournisseurs de logiciels et d’IA

La nouvelle directive représente un changement fondamental dans la façon dont responsabilité est évaluée sur le marché numérique de l’UE. Pour fournisseurs de logiciels et d’IA, cela introduit à la fois de nouveaux risques et de nouvelles obligations, notamment les éléments suivants :

  • Exposition accrue aux litiges, en particulier pour les systèmes complexes tels que les véhicules autonomes, les outils d’IA médicaux, ou les applications à haut risque relevant de la loi sur l’IA.

  • Nécessité d’une gouvernance proactive des produits, y compris la documentation, l’évaluation des risques, et les protocoles de mise à jour.

Intégration plus forte de la cybersécurité et de l’intégrité des données dans la planification du cycle de vie des logiciels. Impact potentiel sur les coûts d’assurance et la répartition des risques contractuels, en particulier lorsque les fournisseurs fournissent des composants a des écosystèmes numériques plus vastes.  En outre, les entreprises doivent se préparer à la conformité croisée avec la loi sur l’IA, qui impose des obligations en matière de transparence, de gouvernance des données et d’atténuation des risques, dont beaucoup chevauchent ou recoupent la directive.

 

Ce que les entreprises doivent faire dès maintenant

Bien que la directive ne s’appliquera pas aux produits mis sur le marché de l’UE avant le 9 décembre 2026, il est fortement conseillé de s’y préparer à l’avance. Les étapes clés à considérer sont les suivantes :

  • Réaliser une analyse des écarts de conformité par rapport aux exigences de la directive.

  • Réviser les protocoles de mise à jour et de maintenance pour tous les logiciels et produits d’intelligence artificielle.

  • Cartographier la responsabilité tout au long de la chaine d’approvisionnement, en particulier lorsque plusieurs fournisseurs ou tiers sont impliqués.

  • Évaluer les produits existants afin de détecter les éventuelles défaillances de mise à jour qui pourraient désormais donner lieu à des réclamations.

  • Élaborer des politiques de documentation interne afin de se préparer aux futures obligations de divulgation.

  • Le suivi des évolutions futures, notamment la finalisation de la directive sur la responsabilité de l’IA et la mise en œuvre de la législation au niveau des États membres.

La mise à jour de la directive s’inscrit dans le cadre de la démarche plus large de l’UE visant à moderniser les lois sur la protection des produits et des consommateurs à l’ère numérique. Parallèlement à la loi sur l’IA, à la loi sur les services numériques et à d'autres instruments règlementaires, elle renforce le message selon lequel les produits numériques seront soumis aux mêmes normes de sécurité et de responsabilité que les biens traditionnels.

Comment Gerrish Legal peut vous aider?

Gerrish Legal est un cabinet juridique numérique et dynamique. Nous sommes fiers de prodiguer des conseils juridiques experts et de haute qualité à nos précieux clients. Nous sommes spécialisés dans de nombreux aspects du droit numérique tels que le RGPD, la confidentialité des données, le droit numérique et technologique, le droit commercial et la propriété intellectuelle.

Nous offrons aux entreprises le soutien dont elles ont besoin pour gérer leurs activités avec succès et en toute confiance tout en se conformant aux réglementations légales, sans avoir à se plier aux exigences numériques en constante évolution.

Nous sommes là pour vous aider, contactez-nous dès aujourd’hui pour plus d’informations. 

Article de Suad Abdulkadir, Paralegal de Gerrish Legal, et de Nathalie Pouderoux, Consultante pour Gerrish Legal

Nathalie Pouderoux
Next

Meta passe à l’action : 6,8 millions de comptes WhatsApp supprimés pour fraude