ISGroup Conseil en Cybersécurité

Directive UE 2024/2853 sur la responsabilité pour produits défectueux : guide pour les entreprises

La Directive (UE) 2024/2853 réécrit les règles européennes en matière de responsabilité du fait des produits défectueux, en vigueur depuis fin 2024 en remplacement de la Directive 85/374/CEE. La nouveauté la plus importante pour le secteur technologique est l’inclusion explicite des logiciels, des systèmes d’intelligence artificielle et des services numériques dans le périmètre de la responsabilité civile.

Cet article constitue la vue d’ensemble du mini-guide sur la directive. Les chapitres associés approfondissent des thèmes spécifiques : produits numériques et services connectés, logiciels et intelligence artificielle, évaluation des vulnérabilités comme outil de conformité et tests d’intrusion et responsabilité du fabricant.

Pourquoi cette directive concerne aussi les entreprises technologiques

Jusqu’à la directive de 1985, le logiciel était généralement exclu de la responsabilité objective pour produits défectueux. La nouvelle réglementation comble cette lacune : une application SaaS, un système d’IA ou un firmware causant un dommage indemnisable expose le fournisseur aux mêmes règles que celles applicables à un produit physique. Pour les entreprises qui développent, distribuent ou intègrent des produits numériques, cela modifie substantiellement le profil de risque juridique.

Ce qui entre dans le périmètre : produits et sujets responsables

La directive élargit la définition de “produit” en incluant :

  • Logiciels et systèmes d’IA — systèmes d’exploitation, firmware, applications et services d’intelligence artificielle, indépendamment du mode de fourniture (appareil physique ou cloud/SaaS).
  • Fichiers de fabrication numérique — par exemple, les modèles pour l’impression 3D.
  • Services numériques connectés — services nécessaires au fonctionnement d’un produit physique, comme les informations sur le trafic pour la navigation.
  • Matières premières et électricité.

Le code source, les fichiers multimédias (comme les livres électroniques) ainsi que les logiciels libres et open source développés ou distribués en dehors d’activités commerciales restent exclus. Pour une analyse détaillée des produits numériques et des services connectés, consultez le chapitre dédié : Directive UE 2024/2853 et produits numériques.

Les sujets pouvant être tenus responsables incluent le fabricant, l’importateur, le représentant autorisé, le prestataire de services logistiques (en l’absence d’importateur UE), les plateformes en ligne agissant en tant que distributeurs et toute personne modifiant substantiellement le produit en assumant la qualité de nouveau fabricant.

Dommages indemnisables

La directive couvre trois catégories de dommages :

  1. Décès ou lésions corporelles, y compris les dommages psychologiques reconnus et certifiés médicalement.
  2. Dommages aux biens matériels à usage personnel ou mixte, à condition qu’ils ne soient pas exclusivement professionnels.
  3. Destruction ou corruption de données non utilisées à des fins professionnelles.

Charge de la preuve et cybersécurité comme exigence obligatoire

La directive allège la charge de la preuve en faveur des victimes grâce à trois mécanismes principaux :

  • Accès aux preuves — les tribunaux peuvent ordonner au fabricant la divulgation de documents pertinents, avec des mesures de protection pour les secrets commerciaux.
  • Présomption de défectuosité — le produit est présumé défectueux si l’opérateur ne collabore pas à l’accès aux preuves, enfreint des normes de sécurité obligatoires ou présente des dysfonctionnements évidents.
  • Cas techniques complexes — lorsque la complexité scientifique ou technique rend la preuve difficile, le juge peut présumer le défaut ou le lien de causalité si la victime démontre que le dommage est probablement lié au défaut.

La référence explicite à la cybersécurité comme exigence de sécurité obligatoire est l’un des éléments les plus pertinents pour les entreprises technologiques : les vulnérabilités non gérées dans un produit logiciel ou un système IoT peuvent se traduire par une responsabilité civile directe. Les implications opérationnelles pour l’évaluation des vulnérabilités et les tests d’intrusion sont approfondies dans les chapitres Évaluation des vulnérabilités et Directive UE 2024/2853 et Tests d’intrusion et responsabilité du fabricant.

Échéances opérationnelles pour les entreprises

  • Délai de transposition : les États membres doivent adopter les mesures nationales d’ici le 9 décembre 2026.
  • Application : les nouvelles règles s’appliquent aux produits mis sur le marché à partir du 9 décembre 2026 ; pour les produits antérieurs, la réglementation de 1985 reste en vigueur.
  • En Italie, la directive est incluse dans la Loi de délégation européenne 2025 (Loi du 17 mars 2026, n° 36), qui délègue au Gouvernement l’émission des décrets législatifs d’application.

Questions fréquentes

  • Quelle est la différence principale par rapport à la directive de 1985 ?
  • La directive de 1985 excluait généralement le logiciel du périmètre de la responsabilité objective pour produits défectueux. La nouvelle réglementation inclut explicitement les logiciels, les systèmes d’IA et les services numériques connectés, comblant une lacune qui rendait difficile l’indemnisation des dommages causés par des produits technologiques.
  • Une application SaaS entre-t-elle dans le périmètre de la directive ?
  • Oui. La directive inclut explicitement le logiciel fourni via le cloud, y compris les services SaaS. Si une application cause un dommage indemnisable, le fournisseur peut être tenu responsable selon les nouvelles règles.
  • La directive s’applique-t-elle aux logiciels open source ?
  • Non, les logiciels libres et open source développés ou distribués en dehors d’activités commerciales sont exclus. En revanche, les produits commerciaux intégrant des composants open source restent inclus.
  • Que signifie en pratique la présomption de défectuosité liée à la cybersécurité ?
  • Si un produit enfreint des normes de sécurité obligatoires — y compris celles en matière de cybersécurité — le juge peut présumer qu’il est défectueux sans que la victime ait à le démontrer de manière exhaustive. Pour les entreprises, cela fait de la gestion des vulnérabilités un enjeu de responsabilité juridique, et non seulement technique.
  • Qui est responsable si le produit est vendu via une place de marché en ligne ?
  • La plateforme en ligne peut être tenue responsable si elle agit en tant que distributeur ou si elle induit le consommateur en erreur en lui faisant croire que le produit provient directement d’elle. En l’absence d’importateur ou de représentant UE, le prestataire logistique peut également être impliqué.
  • Cette directive se superpose-t-elle à d’autres obligations réglementaires comme NIS2 ou le Cyber Resilience Act ?
  • Oui, en partie. NIS2 et le Cyber Resilience Act imposent des obligations de sécurité actives (mesures techniques, notifications, mises à jour) ; la Directive 2024/2853 agit sur le plan de la responsabilité civile pour les dommages déjà survenus. Les trois réglementations s’intègrent : respecter les exigences de sécurité de NIS2 et du CRA réduit le risque de tomber sous le coup de la présomption de défectuosité prévue par la directive sur la responsabilité.
  • Comment une entreprise peut-elle se préparer avant décembre 2026 ?
  • Le point de départ est une évaluation de la posture de sécurité des produits et des processus internes, en mettant l’accent sur la gestion des vulnérabilités et la documentation des contrôles adoptés. Un parcours structuré de gouvernance de la sécurité réduit l’exposition au risque juridique avant que les nouvelles règles ne deviennent opérationnelles.

Approfondissements utiles

[Callforaction-VCISO-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *