L'UE peut-elle tenir les fabricants de logiciels pour responsables en cas de négligence ?
Tandis que les États-Unis font du sur-place, l'UE tente de fixer des normes très strictes en matière de responsabilité
L'UE et les États-Unis adoptent des approches très différentes en ce qui concerne l'introduction de la responsabilité pour les produits logiciels. Tandis que les États-Unis font du sur-place, l'Union européenne tente une approche en force pour voir ce qui se passe.
Dans le cadre du statu quo, l'industrie du logiciel est largement protégée de la responsabilité en cas de défauts ou de problèmes, ce qui entraîne un sous-investissement systémique dans la sécurité des produits. Les autorités pensent qu'en rendant les éditeurs de logiciels responsables des dommages causés par les logiciels de mauvaise qualité qu'ils vendent, ces entreprises seront motivées pour améliorer la sécurité de leurs produits.
Contexte
Dans une ère numérique où les logiciels jouent un rôle crucial dans notre vie quotidienne et professionnelle, la question de la responsabilité en cas de défaillance logicielle devient de plus en plus pressante. Alors que les voitures autonomes, les systèmes médicaux automatisés et les infrastructures critiques dépendent de logiciels, les risques de négligence informatique peuvent avoir des conséquences dramatiques.
Des incidents récents ont attiré l'attention sur la nécessité de responsabiliser les fabricants de logiciels. Par exemple, les cyberattaques sur les hôpitaux qui compromettent les soins aux patients, ou les défaillances de logiciels dans les véhicules autonomes qui entraînent des accidents, soulignent l'importance d'une réglementation plus stricte. La pandémie de COVID-19 a également mis en lumière les vulnérabilités des infrastructures numériques, accentuant la pression pour un cadre réglementaire plus robuste.
Deux écoles qui s'opposent
L'approche américaine : aviser
L'introduction de la responsabilité des logiciels est l'une des grandes idées de la stratégie nationale de cybersécurité 2023 de l'administration Biden. Selon cette stratégie :
Dans un article paru la semaine dernière dans The Record, Eric Geller traite de la « lutte pour la responsabilité en matière de logiciels » aux États-Unis. Geller évoque certaines des raisons pour lesquelles il n'y a pas encore eu de progrès significatifs. Il s'agit notamment du manque de volonté politique, du lobbying intensif et du débat sur la manière de mettre en œuvre la responsabilité. La stratégie Biden a suggéré que la nouvelle législation définisse des normes pour un développement sûr et empêche les entreprises de s'exonérer totalement de leur responsabilité.Les marchés imposent des coûts inadéquats (et récompensent souvent) les entités qui introduisent des produits ou des services vulnérables dans notre écosystème numérique. Trop de fournisseurs ignorent les meilleures pratiques en matière de développement sécurisé, livrent des produits dont les configurations par défaut ne sont pas sûres ou dont les vulnérabilités sont connues, et intègrent des logiciels tiers dont la provenance n'a pas été vérifiée ou est inconnue. Les fabricants de logiciels sont en mesure de tirer parti de leur position sur le marché pour décliner toute responsabilité par contrat, ce qui les incite encore moins à respecter les principes de sécurité dès la conception ou à effectuer des tests avant la mise sur le marché. La mauvaise sécurité des logiciels augmente considérablement le risque systémique dans l'écosystème numérique et laisse les citoyens américains supporter le coût final.
L'approche européenne : des normes très strictes en matière de responsabilité
En revanche, l'Union européenne a choisi de fixer des normes très strictes en matière de responsabilité du fait des produits, de les appliquer aux personnes plutôt qu'aux entreprises, et de laisser les avocats régler tout cela.
Au début du mois, le Conseil de l'UE a publié une directive mettant à jour la législation européenne sur la responsabilité du fait des produits afin de traiter les logiciels de la même manière que n'importe quel autre produit. En vertu de cette loi, les consommateurs peuvent demander une indemnisation pour les dommages causés par des produits défectueux sans avoir à prouver que le vendeur a été négligent ou irresponsable. En plus des dommages corporels ou matériels, pour les logiciels, des dommages et intérêts peuvent être accordés pour la perte ou la destruction de données.
Plutôt que de définir une norme minimale en matière de développement de logiciels, la directive fixe ce qui peut être considéré comme la barre la plus haute possible. Les fabricants de logiciels peuvent se dégager de leur responsabilité s'ils prouvent qu'un défaut n'était pas décelable compte tenu de « l'état objectif des connaissances scientifiques et techniques » au moment où le produit a été mis sur le marché.
Bien que la directive soit sévère pour les fabricants de logiciels, son champ d'application est étroit. Elle ne s'applique qu'aux personnes (et non aux entreprises) et les dommages-intérêts pour usage professionnel sont explicitement exclus. Il existe néanmoins des possibilités de recours collectifs, comme les recours collectifs.
La directive n'est pas une loi en soi, mais elle fixe les orientations législatives pour les États membres de l'UE, qui disposent de deux ans pour mettre en œuvre ses dispositions. La directive engage la Commission européenne à rendre publiques les décisions de justice fondées sur la directive, de sorte qu'il sera facile de voir comment les affaires se déroulent.
Propositions de réformes
Compte tenu des évolutions technologiques, des nouveaux modèles d'entreprise dans le domaine de l'économie circulaire et de la mondialisation croissante des chaînes d'approvisionnement, l'UE a décidé d'améliorer son corpus réglementaire en matière de responsabilité. L'actualisation des règles vise également à remédier aux difficultés rencontrées par les personnes lésées pour rassembler des preuves de la responsabilité, en particulier lorsqu'il s'agit de nouvelles technologies.
Selon le Conseil de l'UE, les nouvelles règles en matière de responsabilité du fait des produits ne bénéficient pas seulement aux consommateurs, mais encouragent également le déploiement et l'adoption de nouvelles technologies et assurent une sécurité juridique et des conditions de concurrence équitables aux fabricants.
En voici les principaux éléments :
- Économie numérique: la nouvelle directive élargit la définition du terme "produit" aux fichiers de fabrication numériques et aux logiciels. Les plateformes en ligne peuvent également être tenues pour responsables du fait d'un produit défectueux vendu sur leur plateforme, au même titre que tout autre opérateur économique si elles agissent en cette qualité.
- Économie circulaire: lorsqu'un produit est réparé et mis à niveau en dehors du contrôle du fabricant d'origine, l'entreprise ou la personne qui a modifié le produit devrait être tenue pour responsable.
- Divulgation des éléments de preuve: le droit à réparation a été simplifié en faisant en sorte qu'une personne lésée qui demande réparation devant une juridiction nationale puisse demander l'accès aux éléments de preuve pertinents dont dispose le fabricant afin d'être en mesure d'étayer sa demande.
- Produits achetés auprès de fabricants établis hors de l'UE: en vertu des nouvelles règles, afin de veiller à ce que les consommateurs soient indemnisés pour les dommages causés par un produit fabriqué en dehors de l'UE, l'entreprise qui importe le produit ou le représentant du fabricant étranger établi dans l'UE peut être tenu pour responsable des dommages causés.
- Charge de la preuve: lorsque le consommateur lésé est confronté à des difficultés excessives pour prouver la défectuosité du produit ou le lien de causalité entre sa défectuosité et le dommage, une juridiction peut décider que le demandeur est uniquement tenu de prouver la probabilité que le produit était défectueux ou que sa défectuosité est une cause probable du dommage.
Les développeurs d'IA peuvent-ils être tenus pour responsables en cas de négligence ?
Avec l’essor rapide de l’intelligence artificielle (IA), une question cruciale émerge : les développeurs d’IA peuvent-ils être tenus responsables de la négligence? C'est la problématique qu'aborde Bryan H. Choi, professeur associé de droit et d'informatique et d'ingénierie à l'université de l'État de l'Ohio, qui note que les approches les plus populaires en matière de sécurité et de responsabilité de l'IA se sont concentrées sur les caractéristiques et les risques technologiques des systèmes d'IA, tout en détournant l'attention des travailleurs responsables de la conception, de la mise en œuvre, des essais et de l'entretien de ces systèmes.
Des initiatives telles que la loi européenne sur l'IA illustrent cette approche, en ce sens qu'elles conditionnent la surveillance réglementaire à des attributs techniques tels que la quantité de calcul utilisée pour l'entraînement ou la mise au point d'un modèle d'IA. De même, le cadre de la responsabilité du fait des produits pour l'IA pointe du doigt les caractéristiques dangereuses des produits et minimise le comportement des décideurs humains.
D'autres propositions, telles que la responsabilité stricte ou les analogies entre l'IA « sensible » et les enfants ou les animaux sauvages, évitent également de s'engager dans les processus humains par lesquels l'IA est fabriquée.
Cette approche technologique permet aux ingénieurs de l'IA de se dissocier des préjudices qu'ils infligent à autrui.
« J'ai déjà affirmé qu'une approche fondée sur la négligence était nécessaire, car elle oriente le contrôle juridique vers les personnes réellement responsables de la création et de la gestion des systèmes d'IA. Le projet de loi californien sur la sécurité de l'IA constitue un pas dans cette direction. Il précise que les développeurs d'IA doivent élaborer et mettre en œuvre des protocoles qui incarnent "l'obligation du développeur de prendre des précautions raisonnables pour éviter de produire un modèle couvert ou un dérivé de modèle couvert qui présente un risque déraisonnable de causer ou de permettre matériellement un dommage critique" (c'est nous qui soulignons) ».
Les géants de la Tech affirment que les utilisateurs de leurs logiciels devraient être tenus responsables des violations de droits d'auteur liées à l'IA
Les entreprises d'IA refusent de rémunérer les détenteurs de droits sur les données d'entraînement de leurs modèles d'IA. Ensuite, elles affirment que ce n'est pas leur faute si leurs logiciels d'IA produisent du matériel protégé par le droit d'auteur, même si ce sont elles qui ont entraîné leurs systèmes sur du matériel protégé par le droit d'auteur. Et pour finir, elles souhaitent que les utilisateurs de leurs logiciels assument la responsabilité juridique des violations de droits d'auteur liées à l'IA. Les consommateurs, les auteurs, les artistes et les chercheurs crient au scandale et appellent les autorités à prendre des mesures pour mettre fin à cette forme de capitalisme.
Conclusion
L'évolution rapide de la technologie requiert une mise à jour des cadres législatifs pour protéger les consommateurs et garantir la sécurité des produits logiciels. Si les États-Unis trainent des pieds, l'UE semble sur la bonne voie pour aborder ces défis. Cependant, l'équilibre entre responsabilisation et innovation doit être soigneusement maintenu. Le futur des logiciels en Europe dépendra de la capacité des législateurs à adapter les régulations aux réalités modernes sans freiner le progrès technologique.
La responsabilisation des fabricants de logiciels en cas de négligence est un débat complexe et crucial. Il est essentiel de trouver un juste milieu entre la protection des consommateurs et la promotion de l'innovation pour garantir un avenir numérique sûr et prospère.
Sources : Conseil de l'Union européenne , Commission européenne, National Cybersecurity Strategy
Et vous ?
À votre avis, les fabricants de logiciels devraient-ils être tenus responsables des dommages causés par des défaillances de leurs produits ?
Pensez-vous que la mise en place de normes de sécurité minimales pour les logiciels ralentirait l'innovation technologique ?
Comment équilibrer la protection des consommateurs avec la promotion de l'innovation dans le secteur technologique ?
Quelles mesures devraient être prises pour garantir que les logiciels critiques, comme ceux utilisés dans les soins de santé, soient exempts de vulnérabilités ?
Selon vous, quelles pourraient être les conséquences d'une réglementation stricte des logiciels sur les petites entreprises de développement ?
Partager