La Directive (UE) 2024/2853 étend la responsabilité sans faute (responsabilité objective) des produits défectueux aux logiciels et à l’intelligence artificielle. Cet article approfondit les implications spécifiques pour ceux qui développent, distribuent ou intègrent des logiciels — y compris des systèmes d’IA — dans le cadre de leur activité. Pour une vue d’ensemble de la directive, incluant les définitions, les entités assujetties et le régime transitoire, consultez le guide d’introduction à la Directive (UE) 2024/2853.

Le logiciel est un produit : qu’est-ce que cela signifie en pratique

La directive assimile formellement le logiciel à un produit physique aux fins de la responsabilité sans faute. Cela inclut les systèmes d’exploitation, les micrologiciels (firmware), les applications, les programmes informatiques et les systèmes d’intelligence artificielle, quel que soit le canal de distribution : installation locale, cloud, SaaS ou intégration dans un dispositif physique.

Sont exclus les logiciels libres et open source développés ou distribués en dehors d’une activité commerciale, le simple code source et les fichiers multimédias tels que les livres électroniques. Pour une analyse détaillée des produits numériques couverts, voir produits numériques et Directive (UE) 2024/2853.

La conséquence pratique est que la victime n’a pas à prouver la faute du producteur : il suffit de démontrer le défaut, le dommage et le lien de causalité.

Responsabilité après-vente et mises à jour de sécurité

La responsabilité du producteur de logiciels ne s’arrête pas à la distribution du produit. Tant que le fabricant conserve la capacité de fournir des mises à jour — directement ou par l’intermédiaire de tiers — le produit reste sous son contrôle.

Cela signifie que l’omission de mises à jour de sécurité nécessaires peut rendre le produit défectueux, même s’il était conforme au moment de la distribution. La responsabilité s’étend également aux défauts introduits par des mises à jour ou des modifications ultérieures autorisées par le fabricant lui-même.

Pour les organisations souhaitant vérifier leur exposition, un Vulnerability Assessment périodique permet d’identifier les vulnérabilités connues avant qu’elles ne deviennent une source de responsabilité.

Intelligence artificielle : apprentissage automatique et présomption de défaut

L’évaluation de la sécurité d’un système d’IA prend en compte sa capacité à apprendre et à acquérir de nouvelles fonctionnalités après sa mise en service. Le fabricant reste responsable même si le dommage découle d’un comportement inattendu produit par l’apprentissage automatique.

Dans les cas où la complexité technique ou scientifique rend excessivement difficile pour la victime de prouver le défaut ou le lien de causalité, le juge peut présumer le défaut ou la causalité si la victime démontre que l’une ou l’autre condition est probable. Cela abaisse considérablement le seuil d’accès à l’indemnisation pour les dommages causés par des systèmes d’IA opaques ou complexes.

Divulgation des preuves et secrets commerciaux

En cas de litige, les tribunaux peuvent ordonner aux éditeurs de logiciels de divulguer des éléments de preuve pertinents : documentation technique, journaux système (logs), spécifications de conception. Des mesures de protection pour les secrets commerciaux sont prévues, mais le refus de produire les preuves demandées expose au risque que le juge présume automatiquement le défaut du produit.

Cela fait de la gestion documentaire et de la traçabilité du cycle de développement un élément pertinent non seulement pour la qualité du logiciel, mais aussi pour la capacité de défense devant les tribunaux.

Dommages aux données : ce qui est indemnisable

La directive reconnaît le droit à l’indemnisation pour la destruction ou la corruption de données causée par un produit défectueux. L’indemnisation couvre les coûts matériels de récupération ou de restauration, mais elle s’applique uniquement aux données non utilisées exclusivement à des fins professionnelles et uniquement pour les personnes physiques.

Les sociétés en tant que personnes morales et les dommages aux biens ou données utilisés exclusivement à des fins professionnelles restent exclus du régime de la directive : pour ces cas, les régimes ordinaires de responsabilité contractuelle et extracontractuelle continuent de s’appliquer.

Impact sur les micro et petites entreprises de logiciels

Si un défaut est imputable à un composant logiciel fourni par une micro ou petite entreprise, le fabricant du produit final peut renoncer contractuellement au droit de recours contre la petite entreprise de logiciels. Cette clause protège les PME contre des litiges insoutenables entre opérateurs professionnels, tout en laissant intact le droit du consommateur final à l’indemnisation par le fabricant du produit.

Questions fréquentes

• Une application mobile distribuée via un store est-elle soumise à la directive ?
• Oui. Les applications mobiles entrent dans la définition de logiciel-produit, quel que soit le canal de distribution. Si l’application est distribuée dans le cadre d’une activité commerciale et cause un dommage dû à un défaut, le fabricant peut être tenu responsable de manière objective.
• Un système SaaS est-il considéré comme un produit ou un service ?
• Le logiciel fourni via SaaS entre dans le périmètre de la directive en tant que produit. Les services numériques nécessaires au fonctionnement du produit sont traités comme des composants de celui-ci ; la distinction entre produit et service n’exclut donc pas l’applicabilité du régime.
• La responsabilité s’applique-t-elle aussi aux logiciels open source ?
• Le logiciel libre et open source développé ou distribué en dehors d’une activité commerciale est exclu. En revanche, si le logiciel open source est intégré dans un produit commercial ou distribué dans le cadre d’une activité économique, le fabricant du produit final répond des défauts, y compris ceux découlant de composants open source.
• Quand la présomption de défaut s’applique-t-elle aux systèmes d’IA ?
• La présomption s’applique lorsque la victime démontre qu’il est probable qu’il y ait un défaut ou un lien de causalité, mais que la complexité technique ou scientifique rend la preuve complète excessivement difficile. Dans ces cas, le juge peut présumer le défaut ou la causalité, inversant de fait la charge de la preuve au détriment du fabricant.
• Que risque une entreprise qui ne fournit pas de mises à jour de sécurité ?
• Tant que le fabricant conserve la capacité de mettre à jour le produit, l’omission de mises à jour nécessaires pour corriger des vulnérabilités connues peut rendre le produit défectueux au sens de la directive. Le dommage causé par cette vulnérabilité non corrigée peut donc donner lieu à une responsabilité objective.
• Les entreprises clientes peuvent-elles agir sur la base de la directive ?
• Les personnes morales (sociétés) ne font pas partie des sujets protégés par la directive. Les dommages aux biens ou aux données utilisés exclusivement à des fins professionnelles sont exclus. Les entreprises peuvent toutefois agir sur la base des régimes de responsabilité contractuelle ou extracontractuelle ordinaires, qui restent inchangés.

Approfondissements utiles

• Guide général de la Directive (UE) 2024/2853 — vue d’ensemble complète sur les sujets, les définitions et le régime transitoire.
• Produits numériques et Directive (UE) 2024/2853 — analyse des biens numériques couverts et des exclusions.
• Vulnerability Assessment et Directive (UE) 2024/2853 — comment les contrôles périodiques réduisent l’exposition réglementaire.
• Tests d’intrusion et responsabilité du producteur — le rôle des tests offensifs dans la gestion du risque réglementaire.

[Callforaction-VCISO-Footer]