IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

L'UE peut-elle tenir les fabricants de logiciels pour responsables en cas de négligence ? Tandis que les États-Unis font du sur-place
L'UE tente de fixer des normes très strictes en matière de responsabilité

Le , par Stéphane le calme

11PARTAGES

18  0 
L'UE et les États-Unis adoptent des approches très différentes en ce qui concerne l'introduction de la responsabilité pour les produits logiciels. Tandis que les États-Unis font du sur-place, l'Union européenne tente une approche en force pour voir ce qui se passe.

Dans le cadre du statu quo, l'industrie du logiciel est largement protégée de la responsabilité en cas de défauts ou de problèmes, ce qui entraîne un sous-investissement systémique dans la sécurité des produits. Les autorités pensent qu'en rendant les éditeurs de logiciels responsables des dommages causés par les logiciels de mauvaise qualité qu'ils vendent, ces entreprises seront motivées pour améliorer la sécurité de leurs produits.


Contexte

Dans une ère numérique où les logiciels jouent un rôle crucial dans notre vie quotidienne et professionnelle, la question de la responsabilité en cas de défaillance logicielle devient de plus en plus pressante. Alors que les voitures autonomes, les systèmes médicaux automatisés et les infrastructures critiques dépendent de logiciels, les risques de négligence informatique peuvent avoir des conséquences dramatiques.

Des incidents récents ont attiré l'attention sur la nécessité de responsabiliser les fabricants de logiciels. Par exemple, les cyberattaques sur les hôpitaux qui compromettent les soins aux patients, ou les défaillances de logiciels dans les véhicules autonomes qui entraînent des accidents, soulignent l'importance d'une réglementation plus stricte. La pandémie de COVID-19 a également mis en lumière les vulnérabilités des infrastructures numériques, accentuant la pression pour un cadre réglementaire plus robuste.

Deux écoles qui s'opposent

L'approche américaine : aviser

L'introduction de la responsabilité des logiciels est l'une des grandes idées de la stratégie nationale de cybersécurité 2023 de l'administration Biden. Selon cette stratégie :

Les marchés imposent des coûts inadéquats (et récompensent souvent) les entités qui introduisent des produits ou des services vulnérables dans notre écosystème numérique. Trop de fournisseurs ignorent les meilleures pratiques en matière de développement sécurisé, livrent des produits dont les configurations par défaut ne sont pas sûres ou dont les vulnérabilités sont connues, et intègrent des logiciels tiers dont la provenance n'a pas été vérifiée ou est inconnue. Les fabricants de logiciels sont en mesure de tirer parti de leur position sur le marché pour décliner toute responsabilité par contrat, ce qui les incite encore moins à respecter les principes de sécurité dès la conception ou à effectuer des tests avant la mise sur le marché. La mauvaise sécurité des logiciels augmente considérablement le risque systémique dans l'écosystème numérique et laisse les citoyens américains supporter le coût final.
Dans un article paru la semaine dernière dans The Record, Eric Geller traite de la « lutte pour la responsabilité en matière de logiciels » aux États-Unis. Geller évoque certaines des raisons pour lesquelles il n'y a pas encore eu de progrès significatifs. Il s'agit notamment du manque de volonté politique, du lobbying intensif et du débat sur la manière de mettre en œuvre la responsabilité. La stratégie Biden a suggéré que la nouvelle législation définisse des normes pour un développement sûr et empêche les entreprises de s'exonérer totalement de leur responsabilité.

L'approche européenne : des normes très strictes en matière de responsabilité

En revanche, l'Union européenne a choisi de fixer des normes très strictes en matière de responsabilité du fait des produits, de les appliquer aux personnes plutôt qu'aux entreprises, et de laisser les avocats régler tout cela.

Au début du mois, le Conseil de l'UE a publié une directive mettant à jour la législation européenne sur la responsabilité du fait des produits afin de traiter les logiciels de la même manière que n'importe quel autre produit. En vertu de cette loi, les consommateurs peuvent demander une indemnisation pour les dommages causés par des produits défectueux sans avoir à prouver que le vendeur a été négligent ou irresponsable. En plus des dommages corporels ou matériels, pour les logiciels, des dommages et intérêts peuvent être accordés pour la perte ou la destruction de données.

Plutôt que de définir une norme minimale en matière de développement de logiciels, la directive fixe ce qui peut être considéré comme la barre la plus haute possible. Les fabricants de logiciels peuvent se dégager de leur responsabilité s'ils prouvent qu'un défaut n'était pas décelable compte tenu de « l'état objectif des connaissances scientifiques et techniques » au moment où le produit a été mis sur le marché.

Bien que la directive soit sévère pour les fabricants de logiciels, son champ d'application est étroit. Elle ne s'applique qu'aux personnes (et non aux entreprises) et les dommages-intérêts pour usage professionnel sont explicitement exclus. Il existe néanmoins des possibilités de recours collectifs, comme les recours collectifs.

La directive n'est pas une loi en soi, mais elle fixe les orientations législatives pour les États membres de l'UE, qui disposent de deux ans pour mettre en œuvre ses dispositions. La directive engage la Commission européenne à rendre publiques les décisions de justice fondées sur la directive, de sorte qu'il sera facile de voir comment les affaires se déroulent.

Propositions de réformes

Compte tenu des évolutions technologiques, des nouveaux modèles d'entreprise dans le domaine de l'économie circulaire et de la mondialisation croissante des chaînes d'approvisionnement, l'UE a décidé d'améliorer son corpus réglementaire en matière de responsabilité. L'actualisation des règles vise également à remédier aux difficultés rencontrées par les personnes lésées pour rassembler des preuves de la responsabilité, en particulier lorsqu'il s'agit de nouvelles technologies.

Selon le Conseil de l'UE, les nouvelles règles en matière de responsabilité du fait des produits ne bénéficient pas seulement aux consommateurs, mais encouragent également le déploiement et l'adoption de nouvelles technologies et assurent une sécurité juridique et des conditions de concurrence équitables aux fabricants.

En voici les principaux éléments :
  • Économie numérique: la nouvelle directive élargit la définition du terme "produit" aux fichiers de fabrication numériques et aux logiciels. Les plateformes en ligne peuvent également être tenues pour responsables du fait d'un produit défectueux vendu sur leur plateforme, au même titre que tout autre opérateur économique si elles agissent en cette qualité.
  • Économie circulaire: lorsqu'un produit est réparé et mis à niveau en dehors du contrôle du fabricant d'origine, l'entreprise ou la personne qui a modifié le produit devrait être tenue pour responsable.
  • Divulgation des éléments de preuve: le droit à réparation a été simplifié en faisant en sorte qu'une personne lésée qui demande réparation devant une juridiction nationale puisse demander l'accès aux éléments de preuve pertinents dont dispose le fabricant afin d'être en mesure d'étayer sa demande.
  • Produits achetés auprès de fabricants établis hors de l'UE: en vertu des nouvelles règles, afin de veiller à ce que les consommateurs soient indemnisés pour les dommages causés par un produit fabriqué en dehors de l'UE, l'entreprise qui importe le produit ou le représentant du fabricant étranger établi dans l'UE peut être tenu pour responsable des dommages causés.
  • Charge de la preuve: lorsque le consommateur lésé est confronté à des difficultés excessives pour prouver la défectuosité du produit ou le lien de causalité entre sa défectuosité et le dommage, une juridiction peut décider que le demandeur est uniquement tenu de prouver la probabilité que le produit était défectueux ou que sa défectuosité est une cause probable du dommage.


Les développeurs d'IA peuvent-ils être tenus pour responsables en cas de négligence ?

Avec l’essor rapide de l’intelligence artificielle (IA), une question cruciale émerge : les développeurs d’IA peuvent-ils être tenus responsables de la négligence? C'est la problématique qu'aborde Bryan H. Choi, professeur associé de droit et d'informatique et d'ingénierie à l'université de l'État de l'Ohio, qui note que les approches les plus populaires en matière de sécurité et de responsabilité de l'IA se sont concentrées sur les caractéristiques et les risques technologiques des systèmes d'IA, tout en détournant l'attention des travailleurs responsables de la conception, de la mise en œuvre, des essais et de l'entretien de ces systèmes.

Des initiatives telles que la loi européenne sur l'IA illustrent cette approche, en ce sens qu'elles conditionnent la surveillance réglementaire à des attributs techniques tels que la quantité de calcul utilisée pour l'entraînement ou la mise au point d'un modèle d'IA. De même, le cadre de la responsabilité du fait des produits pour l'IA pointe du doigt les caractéristiques dangereuses des produits et minimise le comportement des décideurs humains.

D'autres propositions, telles que la responsabilité stricte ou les analogies entre l'IA « sensible » et les enfants ou les animaux sauvages, évitent également de s'engager dans les processus humains par lesquels l'IA est fabriquée.

Cette approche technologique permet aux ingénieurs de l'IA de se dissocier des préjudices qu'ils infligent à autrui.

« J'ai déjà affirmé qu'une approche fondée sur la négligence était nécessaire, car elle oriente le contrôle juridique vers les personnes réellement responsables de la création et de la gestion des systèmes d'IA. Le projet de loi californien sur la sécurité de l'IA constitue un pas dans cette direction. Il précise que les développeurs d'IA doivent élaborer et mettre en œuvre des protocoles qui incarnent "l'obligation du développeur de prendre des précautions raisonnables pour éviter de produire un modèle couvert ou un dérivé de modèle couvert qui présente un risque déraisonnable de causer ou de permettre matériellement un dommage critique" (c'est nous qui soulignons) ».


Les géants de la Tech affirment que les utilisateurs de leurs logiciels devraient être tenus responsables des violations de droits d'auteur liées à l'IA

Les entreprises d'IA refusent de rémunérer les détenteurs de droits sur les données d'entraînement de leurs modèles d'IA. Ensuite, elles affirment que ce n'est pas leur faute si leurs logiciels d'IA produisent du matériel protégé par le droit d'auteur, même si ce sont elles qui ont entraîné leurs systèmes sur du matériel protégé par le droit d'auteur. Et pour finir, elles souhaitent que les utilisateurs de leurs logiciels assument la responsabilité juridique des violations de droits d'auteur liées à l'IA. Les consommateurs, les auteurs, les artistes et les chercheurs crient au scandale et appellent les autorités à prendre des mesures pour mettre fin à cette forme de capitalisme.

Conclusion

L'évolution rapide de la technologie requiert une mise à jour des cadres législatifs pour protéger les consommateurs et garantir la sécurité des produits logiciels. Si les États-Unis trainent des pieds, l'UE semble sur la bonne voie pour aborder ces défis. Cependant, l'équilibre entre responsabilisation et innovation doit être soigneusement maintenu. Le futur des logiciels en Europe dépendra de la capacité des législateurs à adapter les régulations aux réalités modernes sans freiner le progrès technologique.

La responsabilisation des fabricants de logiciels en cas de négligence est un débat complexe et crucial. Il est essentiel de trouver un juste milieu entre la protection des consommateurs et la promotion de l'innovation pour garantir un avenir numérique sûr et prospère.

Sources : Conseil de l'Union européenne , Commission européenne, National Cybersecurity Strategy

Et vous ?

À votre avis, les fabricants de logiciels devraient-ils être tenus responsables des dommages causés par des défaillances de leurs produits ?
Pensez-vous que la mise en place de normes de sécurité minimales pour les logiciels ralentirait l'innovation technologique ?
Comment équilibrer la protection des consommateurs avec la promotion de l'innovation dans le secteur technologique ?
Quelles mesures devraient être prises pour garantir que les logiciels critiques, comme ceux utilisés dans les soins de santé, soient exempts de vulnérabilités ?
Selon vous, quelles pourraient être les conséquences d'une réglementation stricte des logiciels sur les petites entreprises de développement ?

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de VBurel
Membre averti https://www.developpez.com
Le 29/10/2024 à 8:06
Ha ben là, c'est la fin de l'informatique et de son développement par de petites structures.

Quand bien même, je ne vois pas comment garantir un niveau de sécurité ou de fiabilité dans un univers en mouvement. Les appareils et systèmes d’exploitation changent, les interopérabilités évoluent et les utilisateurs aussi, donc les usages aussi, donc les bugs et problèmes apparaissent au fil du temps (sans parler des hackers et autres cyber attaques) …

Ou alors il faut appliquer cette responabilité a des systèmes qui peuvent réellement/directement agir sur l'intégrité physique des personnes (voiture autonome, robot...).

Les systèmes informatiques sont aussi faits pour fonctionner dans certaines conditions, si l'utilisateurs change ces conditions (sans forcément le savoir étant donnée la complexité des système interconnectés et inter opérants) et que cela mène à la catastrophe, comment définir les responsabilités. Une bière qui tombe sur un câble USB qui court circuite une carte mère qui fait tomber tout un réseau, ca arrive. Mais pour expliquer pourquoi tout le réseau est tombé, pourquoi chaque machine, chaque firmware, chaque logiciel s’est arrêté, peut-être parce qu’une requête corrompue inattendue est partie sur le réseau et a fait tomber tout le système. Qui va avoir l’expertise pour dire, c’est vous qui payez parce que votre logiciel était mal sécurisé, il n’a pas bien réagi à ce paramètre… Dans un monde où tous les jours y’a une merde qui touche un ventilo, ca va être le massacre juridique !
5  0 
Avatar de Jules34
Membre émérite https://www.developpez.com
Le 29/10/2024 à 9:27
Citation Envoyé par Artae Voir le message
L'UE tue l'innovation, épisode 49463167 ...
Exactement, le secteur s'en plaint depuis l'année dernière et les discussion autour de l'AI ACT, tout est fait pour donner envie aux entreprises d'être américaine dès le début ou d'être extra européenne en tout cas :

The organisation (The Computer & Communications Industry Association) said that the act imposed "stringent obligations" on developers of cutting-edge technologies that underpin many downstream systems and is therefore likely to hinder innovation in Europe. This could lead to an exodus of AI talent, it warned.

"Regrettably speed seems to have prevailed over quality, with potentially disastrous consequences for the European economy. The negative impact could be felt far beyond the AI sector alone," said Daniel Friedlaender, senior vice president and head of CCIA Europe.
Donc il faut respecter ça, être en conformité avec le RGPD (obligatoire partout mais présent nulle part parole de juriste d'affaire) et maintenant être responsable du code après sa production devant les consommateurs ?

Bienvenue en enfer ami entrepreneur ! Il ne va y avoir que les géants du secteur pour supporter ça. C'est effectivement tuer l'innovation dans l'oeuf ou tout du moins la contraindre à se faire racheter par des gros rapidement et donc favoriser les poids lourds américain, once again.

Il y a un non sens juridique en plus, une incompréhension des dommages que peut causer le code. Vous êtes déjà responsable du code produit sur la base du dommage qui en aura résulté : la responsabilité civile ou pénale peut-être enclenchée. Si une base de donnée leake en France la boite peut déjà être poursuivie pour négligence ou atteinte à la vie privée. Les outils sont déjà la. Pareil si c'est votre carte bleue. Pas la peine de rajouter une couche à un mille feuille déjà tellement indigeste.

Pour vous convaincre de la chienlit du truc je vous invite à consulter les sanctions prononcées par les parasites les fonctionnaires de la CNIL qui vont faire chier les petites boites à la demande de karen consommateurs pour des conneries (enfin certains sont légitimes) :
- Société de courtage en énergie, Minimisation des données, Information des personnes et transparence (prospection commerciale) : 20 000 euros.
- 4 000 euros pour un médecin qui refuse de perdre du temps avec la CNIL
- 5 000 euros pour une boulangerie ! Qui visiblement filmait un apprenti qui tapait dans les croissants le matin
- Que dire également de la délibération SAN 2024-014 ou cette brochette de planqués surpayés rédige des arrêts long comme ceux du conseil d'état pour taper sur une boite qui fait de la voyance en ligne... Voyez un peu ou va, entre autre, l'argent de vos impôts dans ce merveilleux pays ou on finance plus la gabegie que l'économie réelle.

Bref on va nulle part comme ça, sachant qu'en prenant l'avion vous pouvez monter une boite hors UE qui collecte les données des Français et les revendre à n'importe qui sans être inquiété. On marche sur la tête.
4  0 
Avatar de RenarddeFeu
Membre averti https://www.developpez.com
Le 30/10/2024 à 1:02
Genre on va tenir les développeurs d'openssl responsables si une faille est trouvée alors même que le projet est largement sous-financé et que les gros acteurs l'utilisent en connaissance de cause.

C'est contraire à ce qui se pratique dans l'automobile où au final le conducteur est seul responsable du préjudice qu'il cause à autrui.
3  0 
Avatar de
https://www.developpez.com
Le 28/10/2024 à 23:58
L'UE tue l'innovation, épisode 49463167 ...
4  2 
Avatar de MytheOuMytho
Membre à l'essai https://www.developpez.com
Le 30/10/2024 à 6:45
Après on se demande pourquoi les usa sont devant nous. On se tire une balle dans le pied avant même d'avoir commencé la course.
1  1 
Avatar de Jon Shannow
Membre extrêmement actif https://www.developpez.com
Le 30/10/2024 à 8:41
Citation Envoyé par RenarddeFeu Voir le message
Genre on va tenir les développeurs d'openssl responsables si une faille est trouvée alors même que le projet est largement sous-financé et que les gros acteurs l'utilisent en connaissance de cause.

C'est contraire à ce qui se pratique dans l'automobile où au final le conducteur est seul responsable du préjudice qu'il cause à autrui.
Là, c'est faux. Il y a déjà eu des cas, où le constructeur a été tenu responsable et le conducteur dédouané. Entre lors d'accidents du au système de régulation de vitesse qui ne fonctionnait pas correctement.
Je pense qu'il faut en effet responsabiliser les sociétés qui mettent sur le marché des solutions qui peuvent avoir de grosses conséquences.

Dans ce cas ou une IA peut faire un mauvais diagnostique, une mauvaise transcription qui met en danger la vie des patients, je pense que le fournisseur du logiciel, doit être tenu pour responsable.

De même, on parle de plus en plus des voitures autonomes. D'après vous, si une voiture autonome est responsable d'un accident, qui est condamnable ? Le propriétaire, qui lisait son journal, pendant que son véhicule autonome (je parle des futurs véhicules vantés par Musk, par exemple, sans volant et sans intervention possible par un humain) se prend les pieds dans le plat et provoque un accident, ou bien le fabricant qui n'a pas prévu le cas en question, ou dont le logiciel présente un bug ?

Comme dans tous les domaines, rien n'est blanc, rien n'est noir, tout est nuances de gris.

Si on prend un exemple d'une société fournissant un compilateur pour programmer. Si un utilisateur réalise un programme, que celui-ci bug et provoque des dégâts, mais qu'en fait, le problème ne vient pas du programme mais du compilateur. Qui est responsable ? D'après ce que je lit de vos remarques : personne, ou alors seulement l'utilisateur finale !

Il y a quelques années, sous MS-DOS il y avait une commande qui permettait de faire une sauvegarde sur disquette (ça remonte loin, je sais). Une autre commande permettait de faire une restauration.
Pendant des années, on a utiliser ce procéder pour faire des sauvegardes, et on demandait aux clients d'en faire régulièrement. Au final, on s'est un jour rendu compte que la commande de restauration ne fonctionnait pas ! Ça aurait pu être catastrophique. Mais qui est responsable dans ce cas ? L'utilisateur qui fait ce qu'on lui a demandé ? Nous, qui avons conseillé les outils que Microsoft nous distribuaient ? Microsoft ?

Alors ?
2  2 
Avatar de Jules34
Membre émérite https://www.developpez.com
Le 30/10/2024 à 11:07
Citation Envoyé par Jon Shannow Voir le message
Alors ?
Oui c'est bien question de détermination de la responsabilité mais tout l'attirail juridique est déjà la. Je te source :
Achat d'un produit : garantie légale des vices cachés. Pas besoin de nouveau texte.

Et ça fonctionne aussi entre pro de secteur différent.

On a aussi ce fantastique article du code civil qui fait tout le droit de la responsabilité depuis le code Napoléon :
Tout fait quelconque de l'homme, qui cause à autrui un dommage, oblige celui par la faute duquel il est arrivé à le réparer.
C'est du bla bla politicien et de cette foutue Europe tout ça. Les tribunaux Français sont déjà pas fichu (=n'ont pas la volonté) d'appliquer la loi tel que le parlement la vote.
0  0