IA et responsabilité produits : quand l'IA devient un produit défectueux

Anne-Sophie Lilti
Anne-Sophie Lilti
Associée

Nous contacter

Sommaire
Heading 2

Par Anne-Sophie Lilti , avocat associé en risques industriels, responsabilité produits et assurances

Devenu un outil incontournable d'innovation pour les entreprises, l'intégration de l'intelligence artificielle ("IA") dans une multitude de produits n'en soulève pas moins un certain nombre de questions juridiques pour leurs créateurs.  La directive européenne 2024/2853 du 13 novembre 2024 ("PLD") modifiant la précédente directive européenne 85/374 ("Directive de 1985") sur la responsabilité du fait des produits défectueux, qui doit être transposée d'ici le 9 décembre 2026 par les Etats membres, précise le cadre applicable aux systèmes d'IA, sans pour autant les traiter de manière distincte des autres produits. Cette évolution impose aux fabricants et autres opérateurs économiques intervenant dans la fourniture d'outils IA, et qui mettront sur le marché des produits à partir du 9 décembre 2026, de maitriser cette nouvelle réglementation pour limiter leur exposition aux recours.

Nous proposons dans cet article de rappeler le nouveau cadre européen de responsabilité du fait des produits connectés / IA et de partager des recommandations opérationnelles.

Le nouveau cadre européen de la responsabilité du fait des produits IA

L'extension de la notion de produit défectueux

La PLD  modifie la Directive de 1985 pour intégrer explicitement les logiciels dans la définition du produit. En France, il était déjà admis qu'en l'absence d'exclusion dans la directive de 1985, le texte avait vocation à s'appliquer aux logiciels, ce que le gouvernement avait expressément confirmé dans une réponse ministérielle du 24 août 1998, après que la Commission européenne ait tranché dans le même sens dans sa réponse à une question écrite datant du 15 novembre 1988. La nouvelle directive entérine donc cette assimilation des concepteurs de logiciels au régime commun de responsabilité objective du fabricant de produits défectueux.  

L'article 2 de la directive révisée précise désormais que constituent des produits "tous les biens meubles même s'ils sont incorporés dans un autre bien meuble ou dans un immeuble, y compris les logiciels". Outre les logiciels, cette formulation inclut dans le champ d'application les produits numériques, qu'ils soient mis sur le marché en tant que produits autonomes, ou qu'ils s'intègrent dans d'autres produits, physiques ou non, en tant que composants. Parmi ces produits numériques, les systèmes d'intelligence artificielle sont naturellement concernés.

Si les prestations de services sont normalement exclues du régime de responsabilité instauré par la directive, qui n'a vocation à s'appliquer qu'aux seuls produits, ils y sont partiellement réintégrés par son considérant 17, s'agissant des services dits "connexes".

Les services connexes sont définis comme les services numériques intégrés dans un produit ou interconnectés avec celui-ci "de telle sorte que son absence empêcherait le produit d'exécuter une ou plusieurs de ses fonctions". L'application à ces services du même régime que celui des produits avec lesquels ils interagissent s'explique par le fait qu'ils "déterminent la sécurité du produit, au même titre que les composants physiques ou numériques". Seuls sont concernés par cette extension du champ d'application du texte les services dont la présence est nécessaire à au moins une fonctionnalité du produit.

Il s'agit par exemple, selon la directive, de "la fourniture continue des données relatives au trafic au sein d'un système de navigation".

Des questions juridiques de qualification pourraient dès lors se poser en matière d'intelligence artificielle, face à un fournisseur qui tenterait de qualifier son modèle d'IA en tant que service, plutôt qu'en tant que produit. Pour le réintégrer dans le champ d'application du régime de responsabilité unifié, il conviendrait alors de démontrer qu'il s'agit d'un service connexe, par exemple s'il s'agit d'un modèle distribué, c'est à dire un modèle d'IA dont les fichiers sont remis à un utilisateur afin qu'il puisse l'exécuter sur ses propres machines.

Les défauts spécifiques aux systèmes d'IA

Outre le produit visé par la PLD, la nature du défaut doit aussi caractérisée pour l'application de ce texte. Pour rappel, le défaut s'apprécie en considération de la sécurité à laquelle l'utilisateur peut légitimement s'attendre. Pour les produits IA et produits connectés, la notion de défaut s'apprécie naturellement au regard de la spécificité de ces produits.

La notion de sécurité à laquelle l'utilisateur peut légitimement s'attendre

L'article de la directive établit qu'un produit présente un défaut "lorsqu'il n'offre pas la sécurité à laquelle on peut légitimement s'attendre". Pour les outils IA, cette appréciation peut s'effectuer au regard des performances annoncées, des précautions d'usage communiquées et de l'état de l'art technique au moment de la mise sur le marché (sur ce point, l'exigence étant similaire à un produit plus "classique").

Comme pour l'ensemble de la catégorie "logiciels", la défectuosité du produit devra prendre en compte les éléments de cybersécurité. Le règlement n°2024/2847 sur la cyberrésilience couvre expressément les produits avec un élément numérique. L'application de ce texte est cependant conditionnée à ce que l'utilisation du produit numérique comprenne une connexion à un dispositif ou un réseau. Pourraient donc être exclues les IA qui fonctionnent intégralement en local, sans accès à internet ni à une base de données externe. Seront ainsi considérés comme défectueux les produits d'IA non-conformes à la directive sur la cyberrésilience, dans la mesure où l'IA peut être considérée comme "connectée" et où ce texte lui est donc applicable.

Aux termes de l'article 7 de la PLD, d'autres circonstances doivent aussi être prises en compte, et notamment l'utilisation raisonnablement prévisible du produit, l'effet sur le produit de toute capacité à poursuivre son apprentissage ou à acquérir de nouvelles caractéristiques après sa mise sur le marché ou sa mise en service, l'effet raisonnablement prévisible sur le produit d'autres produits qui interagissent avec lui, ou encore le moment de la mise en service.
S'agissant d'un texte à portée générale, l'appréciation spécifique de la défectuosité des systèmes d'IA nécessite à nouveau une adaptation de ces circonstances aux spécificités des situations propres à ces systèmes.

Défauts de conception des systèmes d'IA

Les défauts de conception constituent la première source de responsabilité. Un algorithme discriminatoire qui exclut systématiquement certaines catégories de candidats lors de processus de recrutement présente un défaut de conception, même si les développeurs n'avaient pas anticipé ce biais.
L'apprentissage automatique génère des vulnérabilités spécifiques. Un modèle entraîné sur des données historiques biaisées reproduira mécaniquement ces discriminations. Le défaut réside alors dans l'insuffisance des méthodes de détection et de correction des biais durant la phase d'entraînement.

Les attaques adversariales constituent un autre type de défaut émergent. Un système de reconnaissance d'images médicales qui se trompe face à des modifications imperceptibles de l'image d'entrée présente une vulnérabilité de sécurité constituant un défaut au sens de la directive.

Défauts d'information et de documentation

La qualité de l'information fournie revêt une importance cruciale pour évaluer la potentielle défectuosité d'un outil IA. Un système commercialisé sans documentation adéquate sur ses limites techniques, ses cas d'usage appropriés ou ses risques connus constitue un produit défectueux.

L'article 6 de la PLD  précise que l'appréciation du défaut tient compte "des instructions et avertissements fournis". Un outil d'IA générative qui ne précise pas ses limitations en matière de véracité factuelle expose son fabricant à des recours lorsque des utilisateurs subissent un préjudice en se fiant à des informations erronées.

Un arrêt rendu par une juridiction allemande (l'Oberlandesgericht Hamm) du 12 mai 2026 (réf. 4 UKl 3/25) illustre parfaitement cette problématique.

Dans cette affaire, une entreprise a été tenue responsable des fausses affirmations émises par son chatbot IA utilisé en interface client. La cour d'appel de Westphalie a considéré que l'absence d'avertissement clair sur les limites de fiabilité du système constituait un défaut d'information engageant la responsabilité de l'entreprise, même en l'absence de faute intentionnelle. Cette décision établit un précédent important en reconnaissant que les entreprises ne peuvent se contenter de déployer des systèmes IA conversationnels sans informer explicitement les utilisateurs de leur propension à générer du contenu inexact.

Le règlement AI Act (UE) 2024/1689 impose également des obligations d'information spécifiques concernant notamment les systèmes d'IA destinés à interagir avec les personnes (typiquement, les chatbot) ainsi que les outils permettant de générer des contenus

Défauts évolutifs et mises à jour

L'IA présente la particularité d'évoluer après sa mise sur le marché, soit par apprentissage automatique, soit par mises à jour logicielles. Cette évolutivité génère de nouveaux types de défauts.

Un système qui développe des comportements dangereux par apprentissage non supervisé engage la responsabilité de son fabricant si celui-ci n'a pas implémenté de mécanismes de surveillance et de correction appropriés. L'obligation de sécurité s'étend ainsi au cycle de vie complet du système.

Les mises à jour défaillantes constituent également une source de responsabilité. Une mise à jour qui dégrade les performances du système ou introduit de nouveaux dysfonctionnements peut caractériser un défaut, notamment si elle est déployée automatiquement sans possibilité de retour en arrière.

Perspectives d'évolution réglementaire et recommandations opérationnelles

Recommandations pour les créateurs d'outils IA

Avant tout déploiement commercial, les développeurs d'outils IA doivent constituer un dossier technique de conformité incluant l'audit des données, la validation des performances et l'analyse des risques. Cette documentation constituera la pièce centrale de leur défense en cas de litige.

La mise en place d'une gouvernance de l'IA au sein de l'organisation, avec définition des rôles et responsabilités, pourrait faciliter la traçabilité des décisions et la démonstration de la diligence appropriée.

L'anticipation des évolutions réglementaires, notamment la transposition de la directive 2024/2853 dans le droit national des États membres d'ici décembre 2026, permet d'adapter les processus internes en amont des obligations légales.

Harmonisation avec l'AI Act européen

La directive sur la responsabilité du fait des produits défectueux s'articule avec le règlement AI Act (UE) 2024/1689. Cette convergence réglementaire impose aux créateurs d'outils IA une approche intégrée de la conformité.

Les systèmes d'IA à haut risque au sens de l'AI Act font l'objet d'obligations renforcées de documentation et de traçabilité qui facilitent l'établissement de la preuve en cas de litige sur la responsabilité produit.

L'harmonisation progressive des standards techniques européens créera un cadre de référence pour apprécier le caractère défectueux des systèmes d'IA.

Abandon d'un texte européen spécifique à la responsabilité des produits d'IA

La Commission européenne avait initialement prévu d'élaborer une directive spécifique à la responsabilité civile en matière d'intelligence artificielle. Ce projet, annoncé dans le cadre du Livre blanc sur l'intelligence artificielle de 2020 et confirmé par la feuille de route législative de 2021, visait à adapter les règles de responsabilité aux spécificités techniques de l'IA, notamment concernant l'opacité algorithmique et l'autonomie des systèmes d'apprentissage automatique.

Cependant, face aux difficultés conceptuelles et techniques rencontrées, la Commission a finalement abandonné cette approche sectorielle au profit d'une révision plus générale de la directive sur la responsabilité du fait des produits défectueux. Cette décision s'explique par plusieurs facteurs convergents : la complexité de définir juridiquement ce qui constitue un "système d'IA" de manière suffisamment précise pour un texte de responsabilité civile, les risques de fragmentation du marché intérieur en cas de règles spécifiques, et la préférence pour une approche technologiquement neutre.

Cette orientation s'inscrit également dans la logique du principe de "better regulation" prôné par l'Union européenne, privilégiant la modification d'instruments existants plutôt que la création de nouveaux textes lorsque cela est possible. L'abandon du projet de directive spécifique IA reflète ainsi une volonté de cohérence avec l'approche généraliste adoptée par l'AI Act, qui établit des obligations différenciées selon les risques plutôt que selon la nature technologique des systèmes.

La Commission a néanmoins indiqué que la question de la responsabilité en matière d'IA restait ouverte et pourrait être traitée suivant une autre approche. Le débat sur la régulation de l'IA en Europe est donc loin d'être clos !

Notre cabinet reste à votre disposition pour vous accompagner dans l'appréciation des obligations juridiques imposées par la nouvelle directive aux systèmes d'IA et la mise en place d'une stratégie juridique adaptée à vos enjeux technologiques et commerciaux.

Lire l'article
Ecouter l'épisode
Lire le communiqué
Voir la vidéo
En savoir plus
8 juin 2026
Say, hi !
Cta Arrow
Saturday - Thursday :
8:30 am - 10:45 pm
Call for an appointment

hello@libertylaw.com

Brand logo

© 2024

Squair

Pages
Accueil
Activités
Équipe
International 
Actualités
Contact
Informations Légales
Mentions Légales
Conditions générales d'utilisation
Politique de confidentialité