Ce chapitre fait partie du mini-guide sur la Directive (UE) 2024/2853 sur la responsabilité du fait des produits défectueux. L’accent est mis sur la définition de produit numérique introduite par la directive : logiciels, SaaS, fichiers pour la fabrication numérique, services connectés et le rôle des places de marché (marketplaces). Pour le traitement spécifique du logiciel en tant que produit, consultez le chapitre dédié Directive UE 2024/2853 et responsabilité du logiciel.

La Directive (UE) 2024/2853, adoptée le 23 octobre 2024, remplace la directive 85/374/CEE et met à jour les règles européennes sur la responsabilité du fait des produits défectueux. La nouveauté la plus importante pour le secteur numérique est l’extension de la définition de “produit” à des catégories auparavant exclues, avec des effets directs sur les éditeurs de logiciels, les fournisseurs SaaS, les opérateurs de places de marché et toute personne distribuant des contenus numériques fonctionnels.

Qu’entend-on par produit numérique

L’Article 4, point 1, définit comme “produit” tout bien meuble, incluant explicitement :

• Logiciels — indépendamment du mode de fourniture : installés localement, distribués dans le cloud ou fournis en tant que SaaS.
• Fichiers pour la fabrication numérique — modèles numériques destinés à la production automatisée, tels que les fichiers pour l’impression 3D.
• Services numériques connectés — services dont l’absence empêche le bon fonctionnement du produit physique ou numérique auquel ils sont associés.
• Électricité et matières premières — inclus explicitement dans la définition.

Le point critique pour les fournisseurs SaaS et cloud est que le mode de distribution n’a pas d’importance : une application fournie en tant que service entre dans la définition de produit et peut générer une responsabilité objective en cas de défaut causant un dommage.

Champ d’application et principales exclusions

La directive s’applique aux produits mis sur le marché ou mis en service après le 9 décembre 2026 (Art. 2). Les exclusions les plus pertinentes pour le numérique sont :

• Logiciels libres et open source développés ou distribués en dehors d’activités commerciales.
• Simple code source, qui ne relève pas de la responsabilité objective.
• Dommages nucléaires déjà régis par des conventions internationales.

Qui est responsable : opérateurs économiques et places de marché

L’Article 8 identifie les sujets responsables en garantissant toujours la présence d’un référent au sein de l’Union européenne :

• Fabricant du produit ou d’un composant défectueux.
• Importateur pour les produits provenant de l’extérieur de l’UE.
• Mandataire du fabricant extra-UE.
• Prestataire de services logistiques, à titre subsidiaire lorsque les importateurs ou les mandataires UE ne sont pas identifiables.
• Plateformes en ligne (places de marché) — responsables lorsqu’elles présentent le produit de manière à ce qu’il soit perçu comme étant fourni directement par la plateforme elle-même.

Pour les places de marché, la norme introduit un critère basé sur la perception de l’utilisateur final : si la plateforme crée l’impression d’être le fournisseur direct, elle en assume la responsabilité. Cela a des implications importantes pour les modèles commerciaux qui regroupent des produits de tiers.

Dommages indemnisables

L’Article 6 limite l’indemnisation aux personnes physiques pour :

• Mort ou lésions corporelles, y compris les dommages psychologiques certifiés.
• Dommages aux biens, à l’exclusion du produit défectueux lui-même et des biens utilisés exclusivement à des fins professionnelles.
• Destruction ou corruption de données non utilisées à des fins professionnelles, y compris les coûts de restauration.

Preuves et présomptions de défectuosité

Pour réduire le déséquilibre informationnel entre les parties, la directive introduit des mesures procédurales spécifiques :

• Divulgation des éléments de preuve (Art. 9) : le juge peut ordonner au défendeur de produire des preuves pertinentes, dans le respect de la proportionnalité et de la protection des secrets commerciaux.
• Présomption de défectuosité (Art. 10) : le défaut est présumé si l’opérateur ne présente pas les preuves demandées, si le produit ne respecte pas les exigences de sécurité obligatoires (par exemple celles du Cyber Resilience Act), ou en cas de dysfonctionnement évident.
• Complexité technique : lorsque démontrer le défaut est excessivement difficile pour des raisons scientifiques, le juge peut présumer le défaut si le dommage résulte probablement de celui-ci.

Causes d’exonération de responsabilité

L’Article 11 permet à l’opérateur d’exclure sa responsabilité s’il démontre, entre autres, que :

• Il n’a pas mis le produit sur le marché.
• Le défaut est apparu après la commercialisation, sauf s’il dépend de mises à jour logicielles ou de modifications sous son contrôle.
• L’état des connaissances techniques au moment de la commercialisation ne permettait pas d’identifier le défaut (risque de développement), sous réserve de la possibilité pour les États membres de déroger pour des produits spécifiques.

Transposition en Italie

L’Italie a entamé la transposition via la Loi de délégation européenne 2025. La Directive 2024/2853 est citée à l’Annexe A, point 4, de la Loi du 17 mars 2026, n° 36. Le Gouvernement est délégué à l’adoption des décrets législatifs nécessaires d’ici le 9 décembre 2026, date limite également pour l’entrée en vigueur des nouvelles normes nationales.

Mini-guide associé

Cet article fait partie d’un mini-guide en plusieurs chapitres sur la Directive (UE) 2024/2853 :

• Vue d’ensemble de la directive — structure, objectifs et nouveautés principales par rapport à la directive 85/374/CEE.
• Responsabilité du logiciel — comment change la position juridique des éditeurs de logiciels, y compris les cas de mises à jour et de correctifs.
• Évaluation des vulnérabilités et contrôle continu — comment documenter le suivi, les mises à jour et la gestion des vulnérabilités.
• Tests d’intrusion et responsabilité du fabricant — quand des preuves techniques offensives sont nécessaires avant la mise sur le marché ou après des modifications substantielles.

Questions fréquentes

• Une application SaaS entre-t-elle dans la définition de produit de la directive ?
• Oui. La directive inclut explicitement le logiciel, indépendamment du mode de fourniture. Une application fournie en tant que SaaS est considérée comme un produit et peut générer une responsabilité objective si un défaut cause un dommage à une personne physique.
• Le logiciel open source est-il exclu de la directive ?
• Seulement s’il est développé ou distribué en dehors d’activités commerciales. Le logiciel open source intégré dans un produit commercial ou distribué dans le cadre d’une activité d’entreprise entre dans le champ d’application.
• Quand une place de marché répond-elle en tant que fabricant ?
• Lorsqu’elle présente le produit de manière à ce que l’utilisateur final perçoive que c’est la plateforme elle-même qui le fournit directement. Dans ce cas, la plateforme est assimilée au fabricant aux fins de la responsabilité.
• La corruption de données est-elle un dommage indemnisable ?
• Oui, pour les personnes physiques et limité aux données non utilisées à des fins professionnelles. L’indemnisation couvre également les coûts de restauration des données détruites ou corrompues.
• D’ici quand les entreprises doivent-elles se mettre en conformité ?
• La directive s’applique aux produits mis sur le marché après le 9 décembre 2026. Les entreprises qui distribuent des logiciels, des SaaS ou des produits avec des composants numériques doivent réviser leurs contrats, leurs processus de mise à jour et leur documentation technique avant cette date.

[Callforaction-VCISO-Footer]