« Le moment est venu de légiférer, afin de garantir que l’UE offre un cadre de protection aux consommateurs et une sécurité juridique pour les entreprises » [1]

Le cadre juridique des objets connectés est particulièrement large et couvre l’ensemble des champs du droit, de la protection des données personnelles à la cybersécurité en passant par la responsabilité du fait des produits ou le droit de la consommation. Ce cadre doit aussi s’apprécier selon les secteurs d’activité concernés et au vu de leurs spécificités (santé connectée, assistants vocaux à usage professionnel, jouets…).

La question de la responsabilité des objets connectés est un des sujets récurrents, du fait de leur « autonomisation » grandissante et de l’explosion des usages liée aux mutations technologiques.

Se pose ainsi la question de savoir si le cadre législatif et réglementaire actuel est adapté ou non à cette question ou si des modifications sont nécessaires ou envisageables à terme.

Un cadre spécifique pour la responsabilité du fait d’un objet connecté ?

L’émergence d’objets connectés « intelligents » pouvant prendre des décisions de manière autonome et sans recourir à une intervention humaine est susceptible de remettre en cause les canons du droit des contrats et de poser une série de questions :

Au sujet de la licéité du contrat et du consentement des parties tout d’abord, alors qu’un objet connecté ou un robot connecté ne disposent pas de la personnalité juridique
Au regard de l’appréciation des responsabilités en cas de dommage et pour déterminer ou répartir l’étendue de la responsabilité encourue
Sur les conditions de la réparation du ou des dommages causés par un objet connecté.

En l’état du droit français, il n’existe pas de cadre juridique spécifique applicable à la responsabilité du fait des objets connectés ou de robots connectés, ce qui nécessite de renvoyer aux mécanismes de la responsabilité contractuelle et extracontractuelle applicables, par le biais notamment des dispositions sur les produits défectueux ou sur la garde de la chose.

De plus, il faut noter qu’aucun texte particulier sur la responsabilité du fait des objets connectés n’est envisagé à ce stade : à ce titre, le rapport parlementaire de Corinne Erhel et de Laure de la Raudière du 15 janvier 2017 ne propose pas d’intervention législative (la question du contrôle des objets connectés étant envisagée sous le seul angle de la protection des données[2]). Ce qui pourrait être interprété comme la preuve que le cadre juridique français ne constitue pas un frein au déploiement du marché des objets connectés aujourd’hui.

De la même façon, la résolution sur la régulation des objets connectés et du développement de l’internet des objets en Europe du Sénat en date du 22 mai 2018 soulignait d’abord la nécessité d’une politique industrielle européenne de soutien au développement de l’ioT, avant d’envisager certains aspects juridiques. A ce titre, seuls étaient évoqués le droit de la consommation et la protection des données comme points nécessitant un éventuel encadrement juridique.

Ainsi, la question de la responsabilité du fait d’un objet connecté pourrait échapper au seul prisme de la responsabilité civile et englober aussi les questions liées à la protection des données (et notamment aux responsabilités des responsables de traitement et sous-traitants) et au droit de la consommation.

La question des véhicules connectés et de leur responsabilité constitue ici un sujet autonome, du fait des perturbations probables du cadre applicable en France et de l’indemnisation des victimes : ces questions seront traitées dans le cadre de la fiche sur la mobilité connectée.

IoT et droit de la consommation

La question de la responsabilité du fait des objets connectés intéresse évidemment le droit de la consommation, comme cela a été signalé par les rapports parlementaires pré-cités.

A ce titre, il faut souligner que de nombreux outils existants permettent déjà de répondre à cet impératif de protection.

L’obligation d’information précontractuelle de droit commun - prévue à l’article 1112-1 du Code civil - impose en effet au professionnel de communiquer au consommateur une série d’informations et notamment sur les « caractéristiques essentielles du bien » visées à l’article L. 111-1, 1° du Code de la consommation. Pour l’association UFC Que choisir, tout traitement de données à caractère personnel lors de l’utilisation d’un objet connecté fait partie intégrante de son fonctionnement et constitue donc une caractéristique essentielle de ce type de produit. A ce titre, cette association a assigné la FNAC et AMAZON[3] pour au non-respect manifeste de leurs obligations d’informations précontractuelles en matière d’objets connectés et de conseil sur les fondements de pratiques commerciales trompeuses et en cessation d’agissements illicites.

Outre l’obligation précontractuelle d’information due par le vendeur, le consommateur a également la possibilité de se défendre sur le terrain des clauses abusives via les articles L.212-1 et L.212-2 du code de la consommation qui prévoient que toute clause déséquilibrante entre les droits et obligations des parties, dans un contrat entre un professionnel et un consommateur (ou non-professionnel) est nulle.

A titre d’exemple, des clauses par lesquelles le fabricant d’un objet connecté ne préciserait pas suffisamment les conditions de collecte et de traitement de données ou encore leurs finalités (concernant le dépôt de cookies ou encore la géolocalisation de l’utilisateur à des fins de publicité ciblée) pourraient constituer des clauses abusives au sens du droit de la consommation. Il en va de même de clauses par lesquelles le fabricant ne solliciterait pas le consentement de l’utilisateur de l’objet connecté concernant une analyse automatique de contenus pour proposer des fonctionnalités spécifiques à l’utilisateur. Enfin, l’acceptation de conditions générales d’utilisation qui prévoiraient un transfert de données personnelles à des tiers vers des pays hors U.E. ne saurait être présumée par l’utilisation de l’objet. L’utilisateur doit en effet être dûment informé et son consentement doit être expressément recueilli.

Autant de précautions contractuelles à ne pas négliger et qui doivent être considérées dans le cadre des objets connectés, ces derniers étant souvent commercialisés à l’international.

Par ailleurs, il faut aussi souligner que les dispositions de la directive relative à certains aspects concernant les contrats de fourniture de contenus numériques et de services numériques[4] entreront en application le 1er janvier 2022 (voir fiche pratique n°1) avec pour objectif d’harmoniser les droits de la consommation et de renforcer les obligations des professionnels. Ainsi que de permettre aux consommateurs de pouvoir demander que le service visé soit rétabli et si le fournisseur n’y procède pas, la réduction du prix ou la résiliation du contrat. Dispositions qui s’appliqueront bien évidemment aux objets connectés, même si ces derniers ne sont jamais directement évoqués par la directive.

Plus généralement, et c’est notamment rappelé par les considérants de la directive 2019/770 et son article 3, les dispositions du droit de la protection des données personnelles trouvent à s’appliquer aussi en matière d’objets connectés lorsque des consommateurs veulent exercer leur droit d’accès ou de rectification ou leur droit à la portabilité.

Enfin, doit être mentionné le système européen d’alerte rapide (RAPEX) pour les produits présentant un risque grave pour les consommateurs[5] permettant l’information de la Commission européenne via des alertes émanant d’autorités nationales de l’UE/EEE et concernant des produits dangereux découverts sur leur marché qui pourra être utilisé au titre des objets connectés. Ce système concerne tous les produits de consommation (à l’exception des produits alimentaires, pharmaceutiques et appareils médicaux qui bénéficient d’alertes spécifiques) et bien évidemment les objets connectés. Ainsi la DGCCRF a déjà alerté sur les risques à connaître en matière d’objets connectés[6] et la Commission européenne a pu émettre une notice RAPEX en 2019 concernant des montres connectées pour enfants posant de sérieux risques en termes de sécurité des données[7]. Cette notice témoigne de ce que les obligations liées aux objets connectés recoupent à la fois la protection des consommateurs, la responsabilité du fait des produits et la protection des données personnelles (appréhendée le plus souvent sous l’angle de la sécurité des données).

Le système RAPEX constitue ainsi un bon indicateur des difficultés relevées, à l’échelon national comme européen et des problématiques juridiques inhérentes.

Clauses abusives et IoT

Se pose également la question de la prise en compte des dispositions relatives aux clauses abusives au sens du droit français, que ce soit dans le droit commun des contrats, dans le droit commercial ou encore en droit de la consommation. En effet, ces dispositions peuvent devoir être prises en compte de façons très différentes lors de la fabrication et de la commercialisation d’un objet connecté. Et notamment lorsqu’un utilisateur conclut un contrat avec un fabricant d’objet connecté, lorsque cet utilisateur va utiliser des services proposés par l’objet connecté, en cas de survenance d’un dommage ou quand l’objet connecté effectuera des transactions ou des opérations pour le compte d’un utilisateur ou d’un consommateur.

Dans le cadre de l’internet des objets, il apparait que peuvent être réprimées les clauses contractuelles abusives de droit commun au sens de l’article 1171 du Code civil et dans le seul contexte des contrats d’adhésion : à savoir toute clause non négociable d'un contrat d’adhésion qui créé un déséquilibre significatif entre les droits et obligations des parties. Tel serait le cas d'un contrat de vente portant sur un produit connecté et pour lequel le vendeur se réserverait par exemple le droit de modifier unilatéralement les CGU ou de prévoir un consentement implicite au traitement des données personnelles par la simple poursuite de la navigation… Serait encore sanctionné le fait d’insérer une clause qui viderait de sa substance l’obligation essentielle du fabricant d’IoT - article 1170 du code civil - telle qu'une clause élusive de responsabilité en cas de faille concernant la sécurité des données.

Ces dispositions – très débattues – sont inspirées du droit spécial des clauses abusives en droit de la consommation (article L212-1 et s.).

Le droit commercial sanctionne également le fait, par une personne exerçant des activités de production, de distribution ou services, d'obtenir ou de tenter d'obtenir de l'autre partie un avantage sans contrepartie ou manifestement disproportionné au regard de la valeur de la contrepartie consentie ou encore de soumettre ou de tenter de soumettre l'autre partie à des obligations créant un déséquilibre significatif dans les droits et obligations des parties. Tel serait le cas lorsqu’un professionnel soumettrait un second professionnel à des clauses qui lui seraient particulièrement défavorables, par exemple lorsqu’un fournisseur de software empêcherait un fabricant d’objets connectés de demander la réparation technique d’un logiciel atteint d’un dysfonctionnement par ce fournisseur.

L’article L.442-1 du code de commerce a vu ses conditions d’applications élargies depuis l’ordonnance du 26 avril 2019[8], permettant ainsi à tout commerçant de se défendre si des clauses abusives venaient à être stipulées dans un contrat, notamment de fourniture de composantes ou de distribution d’IoT.

Vers un droit européen de la responsabilité du fait des objets connectés ?

Alors que la Commission européenne s’était interrogée dès 2016 sur l’opportunité d’un dispositif européen en matière de responsabilité du fait des objets connectés[9], le Parlement européen a marqué son ambition à ce sujet à travers le rapport Delvaux adopté le 27 janvier 2017. Si les travaux de la Commission évoquaient les enjeux de responsabilité sous l’angle de modifications éventuelles des directives « commerce électronique » et « des produits défectueux », le Parlement a au contraire formulé des recommandations claires en faveur de règles de droit civil sur la robotique[10] (tout en endossant par ailleurs une approche large des objets connectés et des robots).

Dans ce rapport, le Parlement a estimé que la responsabilité civile pour des dommages causés par des robots « autonomes » était une question cruciale qui appelait une réponse à l’échelle de l’Union européenne, via un paquet législatif spécifique combiné à des lignes directrices et des codes de conduite.

A ce titre, le Parlement a d’abord appelé à une évaluation approfondie des régimes de responsabilité à mettre en place, distinguant le « principe de responsabilité stricte » du « principe de responsabilité fondée sur le risque ». Point intéressant, ce rapport suggère de prendre en compte le niveau réel d’instructions donné au robot et son niveau d’autonomie, élément qui pourrait être particulièrement délicat à déterminer en pratique.

Ce rapport militait ainsi pour un régime d’assurance obligatoire prenant en compte toutes les responsabilités potentielles.

A signaler également, le Parlement européen a milité en faveur de la création à terme d’une personnalité juridique « spécifique » pour les robots, ces derniers pouvant être dans certains cas considérés comme des personnes électroniques prenant des décisions et interagissant de manière indépendante avec des tiers.

Ce rapport relevait par ailleurs la question particulière des véhicules autonomes et des accidents de la circulation (à travers les conventions internationales à faire évoluer).

Si ce rapport n’a pas encore donné lieu à une intervention législative spécifique et ne figure pas au programme de travail de la Commission[11], ces travaux n’en devraient pas moins se poursuivre dans les prochaines années et au moins dans le domaine des véhicules connectés. A ce titre, toute évolution de la législation dans ce domaine devra en tout état de cause prendre en compte la législation européenne en matière de responsabilité du fait des produits défectueux ou les règles applicables à la protection des consommateurs. Une telle incitation est d’ores et déjà prévue, à l’instar de l’article 11 de la directive 2010/40 sur les systèmes de transports intelligents consolidée[12] qui appelle à veiller à la conformité entre ces derniers systèmes et le droit de la responsabilité du fait des produits défectueux.

Ces travaux soulignent ainsi que si un futur droit européen de la responsabilité du fait des robots et des objets connectés devait voir le jour, celui-ci resterait largement marqué par la législation existante et probablement par une approche sectorielle (par exemple pour les véhicules connectés), en renvoyant à une date ultérieure le régime de responsabilité civile appelé par le Parlement.

Le document de travail de la Commission du 7 mai 2018[13] suite à la 5ème évaluation de la directive 85/374/CEE en matière de responsabilité du fait des produits défectueux est intéressant car il témoigne de son double souhait de prendre en compte les nouveaux développements technologiques dont l’IoT et de répondre à l’absence de législation spécifique pour ces nouveaux produits. Cette évaluation qui s’est inscrite dans le prolongement du rapport Delvaux traduit également le souhait de la Commission de mener une réflexion approfondie avant de réviser les textes en vigueur et cette directive en particulier.

Ces différents éléments traduisent ainsi la difficulté d’une appréhension d’ensemble du champ des objets connectés et de la difficulté de mettre en place des régimes juridiques cohérents. Les récents débats et travaux législatifs soulignent néanmoins la nécessité de confronter les outils juridiques existants aux questions posées par ces nouvelles technologies pour garantir à long terme une sécurité juridique renforcée.

Les objets connectés enpratique

• Réalisez un audit juridique de l’environnement de votre projet, dans toutes ses étapes (conception, partenariats, développement commercial, etc.)

• Dressez une cartographie de l’ensemble de vos partenaires et sous-traitants afin d’identifier toutes les problématiques juridiques et les zones de risque (sécurité des données, confidentialité, propriété intellectuelle, etc.)

• Documentez les usages liés à vos objets connectés et leurs conséquences au regard de votre responsabilité

• Veillez à mettre en place des mesures de sécurité adaptées et à les renouveler continuellement

• Veillez aux questions d’assurances en fonction du type d’objet connecté mis en place

[1] Mady Delvaux, auteure du rapport Delvaux concernant les règles de droit civil sur la robotique

[2] http://www.assemblee-nationale.fr/14/rap-info/i4362.asp#P586_152431

[3]https://www.quechoisir.org/action-ufc-que-choisir-objets-connectes-l-ufc-que-choisir-assigne-la-fnac-et-amazon-n50080/

[4] https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32019L0770

[5] http://solidarites-sante.gouv.fr/prevention-en-sante/risques-de-la-vie-courante/article/rappel-de-produits-systeme-europeen-rapex

[6] https://www.economie.gouv.fr/dgccrf/Publications/Vie-pratique/Fiches-pratiques/objets-connectes

[7] https://ec.europa.eu/consumers/consumers_safety/safety_products/rapex/alerts/?event=viewProduct&reference=A12/0157/19&lng=en

[8] https://www.legifrance.gouv.fr/affichTexteArticle.do;jsessionid=CF1C5F85FB8B3CC2B19862E3345DE8D8.tplgfr26s_1?cidTexte=JORFTEXT000038410002&idArticle=LEGIARTI000038410748&dateTexte=20200417&categorieLien=id#LEGIARTI000038410748

[9] https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:52016SC0110