Les objets connectés sont partout aujourd’hui dans nos vies : nos montres, podomètres, téléphones, bracelets, ceintures, lunettes, systèmes de surveillance, robots de maintenance ou de production permettent ainsi des échanges de données via des applications web ou mobiles. Les choses, internet et la connectivité sont les 3 composants clés de l’IdO, c’est-à-dire Internet des objets qui attise toujours plus notre intérêt et dont l’utilisation génère des risques et des questions de responsabilités en cas de défaillance. Lesquels ? Comment engager juridiquement une responsabilité en cas de dommage ? Laquelle ? Regardons ensemble comment mieux comprendre le casse-tête de la responsabilité civile de nos objets connectés.
Responsabilité des « choses que l’on a sous sa garde »
L’article 1242 alinéa 1 du Code civil dispose : « On est responsable non seulement du dommage que l’on cause par son propre fait, mais encore de celui qui est causé par le fait des personnes dont on doit répondre, ou des choses que l’on a sous sa garde ». Selon cet article, la réponse serait simple : l’objet connecté, assimilé à une chose dont nous aurions la garde provoquerait l’engagement de notre responsabilité en cas de sinistre causé par l’objet connecté.
Toutefois ce schéma est-il pertinent pour cerner la responsabilité liée à des objets, non seulement dotés d’une certaine autonomie, mais dont le bon fonctionnement dépend de plusieurs acteurs ? Quelles sont les autres pistes ?
Responsabilité du concepteur de l’objet connecté
En prenant le débat dans l’autre sens, si l’on envisage qu’en tant qu’utilisateur d’un objet connecté, nous sommes dépossédés de notre pouvoir de contrôle et de direction, même partiellement, il est compliqué de nous tenir pour responsables de sa défaillance. Il faudrait ainsi se rapprocher de la distinction entre la garde de l’objet physique (la garde de la structure) et la garde du comportement pour savoir qui du concepteur du logiciel, du développeur de l’algorithme, ou de l’utilisateur (duquel l’objet aurait tiré son apprentissage) détiendrait effectivement la garde du comportement au moment du sinistre ?
Si par avance, on ne peut déterminer un garant de l’objet qui soit responsable de plein droit des dommages causés par celui-ci, on imagine aisément des contentieux de responsabilité longs et complexes…
Responsabilité des produits défectueux
Il reste encore une piste qui consiste à se fonder sur le régime spécial de la responsabilité du fait des produits défectueux, prévu aux articles 1245 et suivants du Code civil. Ceux-ci disposent en effet que la victime du dommage causé par un objet connecté serait fondée à agir contre le « producteur » sans s’interroger sur le véritable responsable du sinistre. La jurisprudence entend le terme « producteur » de manière extensive, c’est-à-dire aussi bien le fabricant du produit fini ou d’une partie composante que le producteur d’une matière première ou celui qui appose sa marque et même, s’il ne peut être identifié, le vendeur ou le fournisseur du produit défectueux. En revanche, la victime doit démontrer que le caractère défectueux du produit, soit « son incapacité à offrir la sécurité à laquelle on pouvait légitimement s’attendre », est à l’origine du dommage subi.
Quelles restrictions du champ d’application ?
L’application de ce régime spécial de la responsabilité du fait des produits défectueux dans le domaine des objets connectés pourrait tout de même s’avérer hasardeuse car, en pratique, le sinistre pourrait résulter non pas de l’objet lui-même, mais du service rendu par cet objet (l’utilisation d’un système de données non sécurisé, par exemple) et l’objet connecté évoluant au fil de l’utilisation qu’en fait son utilisateur, l’objet connecté pourrait aussi être rendu défectueux, par le comportement de celui-ci. Ce dernier cas de figure mettrait ainsi fin au recours au régime de la responsabilité du fait des produits défectueux. Dernier écueil : l’article 1245-10 écarte la responsabilité de plein droit du producteur, lorsque l’état des connaissances scientifiques et techniques au moment où le produit a été mis en circulation ne permettait pas de déceler le défaut du produit. Les fabricants des objets innovants pourraient donc facilement se prévaloir de cette exclusion dite du « risque de développement »…
Il faut reconnaître que si les mécanismes du droit de la responsabilité actuels peuvent répondre aux enjeux de responsabilité en cas de défaillances des objets connectés, leur mise en œuvre est extrêmement délicate. Il faut donc souhaiter qu’un régime spécifique de responsabilité propre se dessine avec des garanties d’assurances spécifiques pour permettre une plus grande clarté.
Comment l’entreprise peut-elle se protéger ?
Face à cet état du droit de la responsabilité civile, que prévoient les contrats d’assurance aujourd’hui ?
La question se pose principalement pour le volet « RC produits » des fabricants (ou des « distributeurs » comme évoqué ci-dessus).
La majorité des contrats du marché ne prévoient pas de clauses particulières consacrées aux objets connectés.
Les garanties du contrat sont donc censées s’appliquer… si la responsabilité du fabricant / distributeur est établie (ce qui renvoie à la problématique ci-dessus), et si le contrat ne mentionne pas d’exclusions particulières. A cet égard, on notera parmi les exclusions classiques des contrats RC, celle portant sur les dommages résultant des effets d’un virus informatique. Certains assureurs élargissent le champ de cette exclusion en traitant de façon spécifique les dommages relevant « d’événements Cyber » (atteinte aux données de tiers, défaillance de la sécurité d’un réseau relevant du SI de l’assuré…).
Ces exclusions, bien que pouvant être proches de l’univers des objets connectés, ne sont pas spécifiques à ces derniers. Sur ce sujet (virus, atteinte aux données de tiers, etc.), les contrats Cyber apportent une bonne complémentarité.
En conclusion, il n’y a pas à ce jour d’assurance Responsabilité Civile spécifique aux objets connectés.
Les solutions d’assurance qui peuvent être apportées relèvent (classiquement) de la bonne compréhension du domaine de fonctionnement des « objets » en question, et d’une bonne analyse des risques qui en découlent ; démarche nécessaire (et habituelle) pour l’assurance des risques d’entreprise que nous menons avec vous.
Comme toujours, notre rôle est de vous simplifier votre travail de recherche pour vous protéger, ainsi que votre entreprise. Pour tout savoir des risques que vous encourez et de la protection la plus adaptée à votre situation, contactez nos conseillers.
Chez Groupe ROUGE, nous sommes experts de l’assurance des dirigeants et sommes à votre écoute pour comprendre votre besoin et vous proposer les meilleures garanties pour effectuer votre mandat en toute sérénité.
Alain RABOUYT
01.53.04.22.78
E-mail : a.rabouyt@grouperouge.fr
Rosa Le Coquil
01.53.78.21.53
E-mail : r.lecoquil@grouperouge.fr