Le commissaire européen à la Justice Didier Reynders présente la directive sur la responsabilité du fait des produits et la directive sur la responsabilité en matière d’IA lors d’une conférence de presse à Bruxelles. [European Commission/European Union, 2022]

La proposition de la Commission européenne concernant la révision de la directive sur la responsabilité du fait des produits vise à adapter le régime de responsabilité de l’UE à l’ère numérique. Une directive supplémentaire a été proposée pour cibler les dommages spécifiques causés par l’intelligence artificielle (IA). La directive sur la responsabilité du fait des produits prévoit un régime de responsabilité stricte permettant aux victimes de dommages matériels de demander une indemnisation au fabricant du produit. La version précédente de la directive, qui remonte à 1985, a été l’une des premières lois européennes à harmoniser le marché unique européen.

« Tout en considérant l’énorme potentiel des nouvelles technologies, nous devons toujours garantir la sécurité des consommateurs. Des normes de protection appropriées pour les citoyens de l’UE », a déclaré le commissaire à la Justice, Didier Reynders, mercredi (28 septembre).

Directive sur la responsabilité du fait des produits

La directive sur la responsabilité du fait des produits couvre tous les produits matériels et immatériels dangereux, y compris les logiciels intégrés ou autonomes et les services numériques nécessaires au fonctionnement des produits. Une exemption notable est prévue pour les logiciels libres ne relevant pas d’une activité commerciale.

La responsabilité se poursuivrait notamment après le lancement du produit sur le marché, couvrant les mises à jour logicielles, l’absence de prise en compte des risques de cybersécurité et l’apprentissage automatique. En d’autres termes, les développeurs continueraient d’être responsables des systèmes d’IA qui apprennent de manière autonome et du déploiement des mises à jour logicielles ou de leur absence.

En ce qui concerne les correctifs de sécurité, les fabricants d’appareils connectés et de services associés devront répondre à des exigences essentielles pour remédier aux vulnérabilités de piratage tout au long du cycle de vie des produits, en vertu de la loi sur la cyberrésilience récemment proposée.

En outre, il existe cinq scénarios dans lesquels le lien de causalité entre la défectuosité et le dommage est présumé.

Il s’agit des cas où le fabricant omet de fournir les éléments d’information, ou si le produit ne répond pas aux exigences de sécurité. Il s’agit également des cas de dysfonctionnements évidents, ou si le lien de causalité est impossible à prouver en raison de la complexité technique ou scientifique du produit.

Ce dernier scénario vise à prévenir l’effet « boîte noire » des systèmes d’IA qui peuvent dépasser la compréhension de leurs propres développeurs. Dans ces cas, le demandeur devra seulement prouver que l’IA en question a contribué au dommage et que le produit est susceptible d’être défectueux.

« Comme nous le voyons avec l’IA, les nouvelles technologies créent des interdépendances entre les développeurs, les fournisseurs et les utilisateurs, ce qui peut brouiller les pistes pour déterminer qui est responsable de quoi. Ainsi, pour l’IA, nous devons combler ces lacunes juridiques afin de mieux évaluer la contribution individuelle de chaque acteur et une ligne de causalité appropriée », a déclaré Jan Rempala, conseiller politique chez Business Europe, un groupe de lobby.

« L’une de nos principales préoccupations est une situation dans laquelle seul le fabricant peut être jugé responsable, même si l’incident est hors de son contrôle », a ajouté Jay Rempala.

Le projet de directive prévoit que la période de responsabilité expire au bout de dix ans après la mise sur le marché du produit défectueux, sauf si une action en justice a été engagée. Ce délai de prescription est porté à 15 ans si le préjudice est latent, c’est-à-dire pas immédiatement apparent.

Le régime de responsabilité vise également à créer des conditions de concurrence équitables pour les fabricants non européens. En cas de dommage, le distributeur du produit serait responsable — y compris les marchés en ligne, conformément à la future loi sur les services numériques (DSA) — à moins qu’il ne puisse identifier un importateur ou un représentant autorisé du fabricant dans l’UE dans un délai d’un mois.

Directive sur la responsabilité en matière d’IA

Les règles révisées sur la responsabilité du fait des produits ont été publiées en même temps qu’une autre directive visant à renverser la charge de la preuve pour les dommages causés par des applications d’IA telles que les drones ou les voitures autonomes dans certaines conditions.

Alors que la directive sur la responsabilité du fait des produits fournit une base juridique pour les réclamations, la directive sur la responsabilité en matière d’IA ne générera pas de nouvelles actions en justice. En effet, elle ne fait qu’harmoniser certains aspects des procédures judiciaires engagées dans le cadre des régimes nationaux de responsabilité pour faute.

Les deux directives suivent donc des principes différents. La directive sur la responsabilité du fait des produits est fondée sur la responsabilité objective, ce qui signifie que la présomption de défaut de fonctionnement s’applique dans des conditions spécifiques.

La directive en matière d’IA exige que la plainte prouve que le défendeur a commis une faute en enfreignant les exigences de la loi sur l’IA, un règlement à venir qui introduira des obligations basées sur le risque associé à l’application de l’IA.

La Commission européenne va présenter un régime de responsabilité pour les dommages découlant de l’intelligence artificielle (IA) qui mettrait la présomption de causalité sur le défendeur, selon un projet de texte obtenu par EURACTIV.

En vertu du règlement sur l’IA, les fournisseurs de systèmes à haut risque devront conserver des informations hautement techniques, auxquelles la directive sur la responsabilité en matière d’IA permet au plaignant d’accéder sur la base d’une ordonnance judiciaire.

En revanche, la directive sur la responsabilité du fait des produits prévoit que — dans le respect de la confidentialité et des secrets commerciaux — un juge peut demander la communication de toute information pour tout produit, couvrant tous les systèmes d’IA et pas seulement ceux à haut risque.

Toutefois, la directive ne rend les fabricants responsables que des dommages matériels. La directive en matière d’IA, quant à elle, couvre également les utilisations abusives de l’IA, notamment les utilisateurs agissant à l’encontre des instructions fournies par les fournisseurs d’IA et les violations des droits fondamentaux.

« Dans un monde de systèmes d’IA “boîte noire” très complexes et obscurs, il sera pratiquement impossible pour le consommateur d’utiliser les nouvelles règles », a déclaré Ursula Pachl, directrice générale adjointe du Bureau européen des unions de consommateurs.

« Par conséquent, les consommateurs seront mieux protégés si une tondeuse à gazon déchiquette leurs chaussures dans le jardin que s’ils sont injustement discriminés par un système d’évaluation de solvabilité (credit scoring). »

La directive en matière d’IA comprend une clause de révision qui permet à la Commission d’étendre les règles de responsabilité au-delà des régimes basés sur la faute pour des systèmes d’IA spécifiques qui ne sont pas déjà couverts par les règles de responsabilité de l’UE.
https://www.euractiv.fr/section/economie/news/la-commission-europeenne-propose-une-directive-sur-la-responsabilite-en-matiere-dia/

https://ec.europa.eu/commission/presscorner/detail/fr/ip_22_5807