Ce qui change le 9 décembre 2026

La directive UE révisée sur la responsabilité du fait des produits, la directive (UE) 2024/2853, doit être inscrite dans le droit national de chaque État membre au plus tard le 9 décembre 2026, et elle s'applique aux produits mis sur le marché ou mis en service après cette date. Le changement majeur pour tout dirigeant qui commercialise un produit numérique tient à la définition même du produit. Le logiciel est désormais explicitement un produit, qu'il soit intégré à un appareil, vendu seul ou fourni comme un service. Les micrologiciels et les systèmes d'IA relèvent du même champ d'application.

Le régime de responsabilité est sans faute, aussi appelé responsabilité objective. En clair, la personne qui subit un dommage doit démontrer que le produit était défectueux et que ce défaut a causé le préjudice. Elle n'a pas à prouver que votre entreprise a été négligente. C'est un seuil différent et plus bas que celui auquel la plupart des dirigeants sont habitués, et il fait peser la charge d'éviter le litige sur le fabricant avant même que le produit ne quitte l'entreprise.

Deux points qui piègent les entreprises numériques

Deux précisions de la directive méritent une lecture attentive. Premièrement, le dommage indemnisable inclut expressément la destruction ou l'altération de données qui ne sont pas utilisées à des fins professionnelles. Une mise à jour ratée, une synchronisation défaillante ou une sauvegarde corrompue qui efface les fichiers personnels d'un client constituent désormais le type de dommage que le régime est conçu pour réparer, et non un cas marginal que l'on peut écarter. Deuxièmement, la directive envisage les défauts qui apparaissent à mesure qu'un produit continue d'apprendre ou d'évoluer après sa mise sur le marché, ce qui correspond au comportement quotidien d'un système d'IA qui poursuit son apprentissage en production.

La troisième précision est celle qui ferme la porte de sortie habituelle. Vous ne pouvez pas vous exonérer de cette responsabilité par vos conditions de service ou un contrat d'utilisateur final. Une clause qui écarte la responsabilité pour les défauts logiciels ou les failles de sécurité ne tient pas face à une personne lésée sous ce régime. La protection sur laquelle vous vous appuyiez peut-être dans vos conditions types est, à cet égard, écartée.

Ce qu'il faut vérifier dans les six prochains mois

Les transpositions nationales ne donnent pas un texte uniforme. Un rapport d'avancement des États membres de juin 2026 a constaté qu'un nombre important de pays n'avaient pas encore engagé de démarches publiques significatives vers la transposition, alors qu'il restait environ six mois, et que les projets existants divergent sur des points tels que les moyens de défense et les seuils. Cela signifie que le droit qui s'applique réellement à vous peut varier selon le pays où survient le dommage, de sorte qu'un modèle unique paneuropéen a peu de chances de suffire, et il vous faudra confirmer la situation marché par marché avec un conseil qualifié.

Une liste de départ concrète, à discuter avec votre propre conseil plutôt qu'à appliquer seul : recensez chaque logiciel, micrologiciel, IA ou SaaS que votre entreprise met sur le marché ; identifiez les droits nationaux applicables à vos clients ; révisez vos conditions de service pour repérer les clauses d'exonération qui ne lieront plus ; vérifiez ce que vos assurances produit, responsabilité civile professionnelle et cyber couvrent réellement pour la perte de données et le comportement de l'IA ; et renforcez vos traces de tests, de mises à jour et de surveillance post-déploiement, car sous un régime sans faute, les preuves que vous pouvez produire au sujet d'un défaut comptent plus que jamais.