Le RGPD est-il le nouveau régime de responsabilité du fait des objets connectés défectueux ?
Par Christine Gateau, associée, Hogan Lovells.
Les objets connectés génèrent une production massive de données. Face aux cyberattaques, la sécurité des objets connectés et le respect du droit à la protection des données à caractère personnel des utilisateurs sont des enjeux cruciaux. En cas de dommages causés par des failles de la cybersécurité, deux régimes de responsabilité distincts peuvent s’appliquer.
Les fabricants d’objets connectés peuvent être qualifiés de producteurs au sens de la Directive 85/374/CEE relative à la responsabilité du fait des produits défectueux et sont responsables des produits qu’ils mettent sur le marché. Les spécificités des objets connectés soulèvent des interrogations quant à l’applicabilité et l’extension éventuelle du régime de responsabilité du fait des produits défectueux aux nouvelles technologies numériques.
Dans le cadre de l’évaluation de la Directive 85/374/CEE, la Commission européenne publiera mi-2019 des orientations, notamment s’agissant de l’internet des objets. Il faut espérer que ces lignes directrices apporteront des précisions utiles sur l’application du concept de « produit » aux objets connectés qui se situent à la frontière des objets et des services, ces derniers étant exclus du champ d’application de la Directive. Le concept de « défaut » mériterait aussi d’être clarifié : un objet connecté défectueux pourrait-il se définir comme celui qui n’offre pas le niveau de cybersécurité auquel les consommateurs peuvent légitimement s’attendre ? Quid des objets connectés qui ont la capacité d’apprendre (machine learning) et dont le défaut résulte de cet apprentissage postérieurement à leur mise sur le marché ? Ce dernier pourrait alors invoquer des causes d’exonération prévues par l’article 1245-10 du Code civil – notamment, le risque de développement et l’inexistence du défaut lors de la mise en circulation.
Face aux difficultés d’application du régime de responsabilité de la Directive 85/374/CEE aux objets connectés, les utilisateurs pourront choisir d’agir sur le fondement du Règlement général sur la protection des données (RGPD) en cas de défaillance d’un objet connecté. En effet, les fabricants d’objets connectés qui traitent des données à caractère personnel peuvent être considérés comme responsables du traitement au sens du RGPD. En qualité de responsable du traitement et en application du principe de responsabilisation (accountability), le fabricant devra notamment prouver qu’il a mis en œuvre les mesures techniques et organisationnelles de sécurisation des données à caractère personnel traitées par l’objet connecté appropriées.
Le RGPD est un fondement séduisant pour les utilisateurs d’objets connectés car la charge de la preuve de la conformité du traitement pèse sur le responsable du traitement et il prévoit la réparation intégrale des dommages matériels et immatériels. Le RGPD a aussi multiplié les recours possibles, individuels ou collectifs, des personnes concernées par une violation des règles en matière de données à caractère personnel. Le Règlement comporte un renvoi exprès aux droits nationaux qui peuvent créer une action de groupe spéciale en matière de protection des données à caractère personnel. La loi du 20 juin 2018 a ainsi élargi l’action de groupe existante en droit français. Usant de la marge de manœuvre permise par le RGPD, l’article 43 ter modifié de la loi Informatique et Libertés étend l’objet de l’action de groupe en matière de données à caractère personnel à la réparation des préjudices matériels et moraux causés par la violation du RGPD, et non pas seulement de la loi française. En pratique, le RGPD pourrait ainsi devenir le nouveau régime de responsabilité du fait des objets connectés défectueux.