L'ancienne directive du 25 juillet 1985 sur la responsabilité du fait des produits défectueux était menacée d’obsolescence. En cause ? La digitalisation croissante de l’économie (logiciels et intelligence artificielle, etc.) et le besoin de renforcer le droit à indemnisation des victimes en facilitant leurs recours. Le 23 octobre 2024, l’Union européenne s’est donc dotée d’un nouveau texte. La directive 2024/2853 s’appliquera ainsi aux produits mis sur le marché deux ans après son entrée en vigueur, soit le 9 décembre 2026. Les Etats ont un délai classique de deux ans pour effectuer la transposition en droit national. C’est le cas de la France. « Cette directive prend en compte une évolution sociétale qui exigeait d’adapter le régime en vigueur aux technologies émergentes comme l’intelligence artificielle (IA), l’IA générative, le deep learning, mais aussi à l’essor de l’économie circulaire », reconnaît en préambule Christophe Delcamp, directeur des assurances de dommages et responsabilité chez France Assureurs (ex-Fédération française de l’assurance).

Evolution des risques technologiques et plateformisation de l’économie

« Le système adopté par l’Union européenne pour assurer la sécurité des produits a toujours été binaire avec une réglementation sécurité en amont de la mise sur le marché des produits, et une directive responsabilité en aval, lorsque, malgré tout, un produit s’avère défectueux. Il était cohérent que l’on déploie pour l’IA le même régime, à savoir une réglementation récente portant en amont sur la conception et la production, et par voie de conséquence, l’intégration des règles sur la responsabilité dans le régime spécifique de responsabilité du fait du produit. Cela a nécessité sa refonte complète, même si un certain nombre de biens immatériels étaient déjà couverts par le texte de 1985 », rappelle Alexandra Cohen-Jonathan, associée chez Tamaris Avocats et spécialisée notamment en droit des assurances, risques industriels et responsabilité du fait des produits défectueux.

Depuis 2018 et le règlement général sur la protection des données (RGPD), tout un corpus réglementaire, incluant également le Cyber Resilience Act et l’IA Act, a été mis en place. « Une grande majorité des produits que nous achetons actuellement incorporent des éléments logiciels qui étaient exclus de la précédente directive. Arriver à engager la responsabilité des éditeurs de logiciels ou des revendeurs était d’ailleurs souvent compliqué. Cette nouvelle directive vient instituer un régime intégrant le principe de responsabilité sans faute du producteur, y compris ceux de systèmes à base d’IA », explique Stéphanie Berland, avocate spécialisée en IP/IT et associée chez DWF France. Les enjeux sont à la hauteur du marché européen de l’Internet of Things (IoT), qui, selon une étude du cabinet IDC, devrait enregistrer une croissance annuelle moyenne de 11 % entre 2023 et 2027 pour atteindre environ 303 milliards d’euros, d’ici la fin de cette période. Désormais, une vulnérabilité de cybersécurité est constitutive d’un défaut au sens de la directive.

De leur côté, les assureurs s’adaptent à l’évolution des produits et des usages. « Les objets connectés sont déjà la cible d’attaques malveillantes. Ce nouveau texte nous permet de mieux cerner les risques associés aux produits dotés d’éléments numériques et, demain, d’intelligence artificielle », souligne Anne-Marie Papeix, responsable responsabilité civile (RC) médicale, RC Entreprises, environnement et cyber à la direction des assurances dommages et de responsabilité de France Assureurs. Fin 2020, après un piratage, une machine à laver connectée avait donné accès au système informatique d’un hôpital français. Tout l’établissement avait été bloqué après une attaque de type rançongiciel. « Si les producteurs n’arrivent pas à s’exonérer pour des motifs, certes ténus mais recevables (risque de développement, état des connaissances insuffisant, vulnérabilité de cybersécurité de type zero day, etc.), ceux-ci seront responsables vis-à-vis des tiers des conséquences dommageables », ajoute Anne-Marie Papeix. Autre évolution notable introduite par la directive : la prise en compte de l’économie circulaire. Dès qu’un acteur de ce secteur (Fnac, Back Market, Cdiscount, etc.) aura opéré une modification dite substantielle sur un produit jugé défectueux par la suite, sa responsabilité pourra être engagée.

Faciliter l’indemnisation des victimes

L’Europe veut aussi, avec ce texte, offrir une meilleure protection aux victimes en les aidant à obtenir des éléments de preuve. Si des tiers s’estimant lésés font face à des difficultés liées à des évolutions technologiques ou scientifiques, ils pourront demander au juge de proximité de bénéficier des dispositions introduites par les articles 9 « Divulgation des éléments de preuves » et 10 « Charge de la preuve », dont l’objectif est d’alléger la charge de la preuve pour la personne victime d’un produit défectueux. Le champ des preuves va s’en trouver élargi d’autant. Le juge devra au préalable vérifier la plausibilité de la demande et, en tout état de cause, limiter la divulgation à ce qui est « nécessaire et proportionné », rappellent Jean-Baptiste Thiénot, associé, et Aliénor Fevre, counsel, dans une note parue sur le site du cabinet d’avocats CMS Law1. « Un consommateur qui s’estimera lésé va pouvoir intenter des actions en dédommagement contre plusieurs parties. Chacune d’entre elles pourra, de son côté, tenter d’imputer la responsabilité aux autres. Cela risque d’entraîner de multiples recours en garantie entre professionnels », relève Stéphanie Berland. Spécificité franco-française, le législateur avait « étendu l’application de la directive de 1985, initialement réservée au seul bénéfice des consommateurs, aux professionnels victimes d’un préjudice. Mais dans le préambule de la nouvelle directive, les autorités européennes invitent les Etats membres à ne pas créer de régimes nationaux de ce type et à le réserver aux seuls consommateurs », précise Alexandra Cohen-Jonathan.

Une directive qui accompagne l’essor des tiers financeurs

Le financement de contentieux est un mécanisme, déjà utilisé dans des pays comme les Etats-Unis, le Royaume-Uni, l’Allemagne ou les Pays-Bas. Il permet à des financeurs privés de supporter les coûts des procédures collectives en échange d’un pourcentage sur les indemnités obtenues par les victimes. La directive reconnaît cette possibilité, mais laisse à chaque Etat membre le soin d’encadrer ce financement, via un décret réglementaire. En France, ce décret sera crucial car il devra prévenir les conflits d’intérêts, limiter les dérives potentielles (comme les actions abusives) et encadrer le pourcentage que les financeurs peuvent percevoir, afin de ne pas pénaliser l’indemnisation des personnes lésées. Ces dernières doivent rester prioritaires dans la répartition des sommes obtenues, car l’objectif premier de ces actions est leur réparation. Si certaines associations accueillent favorablement ce financement externe, elles devront redoubler d’attention quant aux conditions contractuelles qui les lieront aux acteurs se spécialisant dans ce type de financement. La réforme juridique de l’action de groupe a institué un régime juridique de droit commun, qui remplace l’approche sectorielle antérieure. De plus, les domaines d’activité auxquels elle s’applique vont désormais au-delà des seuls secteurs couverts jusqu’ici (santé, environnement, données personnelles, consommation et discrimination). Cela rend le marché français d’autant plus attractif pour les tiers financeurs.

1. cms.law/fr/fra/news-information/le-nouveau-droit-de-la-preuve-en-matiere-de-responsabilite-du-fait-des-produits-defectueux