L’Union Européenne met la pression sur les créateurs de logiciels

Fiabilité
À RETENIR

  • La directive européenne sur la responsabilité considère désormais les logiciels comme des produits, soumettant les développeurs à la responsabilité des défauts.
  • Les développeurs sont responsables des dommages causés par des défauts logiciels, notamment les vulnérabilités de sécurité et les violations de données.
  • Même les développeurs utilisant des bibliothèques open-source sont responsables des vulnérabilités de ces bibliothèques.
  • La nouvelle réglementation pourrait avoir un impact significatif sur l'industrie du logiciel : vers une attention accrue à la sécurité ?
  • Cette législation est-elle sensée ou s'agit-il d'une sur-réglementation ? Les experts donnent leur avis.

Le Parlement européen a publié assez discrètement le mois dernier une décision juridique qui a pourtant un impact direct sur les entreprises de logiciels et de technologie opérant dans la région.

L’UE a déclaré que les développeurs de logiciels et les entreprises technologiques doivent assumer une responsabilité directe pour les dommages causés par leurs produits.

En d’autres termes, les entreprises technologiques peuvent être directement poursuivies pour dommages et intérêts.

Quelles sont les conséquences pour les consommateurs et les entreprises technologiques ? C’est ce que nous allons savoir en donnant notamment la parole aux experts sur la question.

L’UE utilise la directive de 1985 pour rendre les entreprises technologiques responsables

À travers la loi de 1985 connue sous le nom de Directive sur la responsabilité du fait des produits 85/374/CEE, l’UE a publié un décret visant à protéger la région et ses citoyens des produits défectueux et des pratiques commerciales déloyales.

Par conséquence, ceux qui enfreignent la loi sont tenus responsables des dommages causés.

Dans les détails, cet arrêté de l’UE ajoute l’intelligence artificielle (IA) comme les outils tels qu’Apple Intelligence ou Gemini, les logiciels, les applications et les fichiers numériques à la liste des produits couverts par son interprétation de la Directive sur la responsabilité du fait des produits (DPR) de 1985.

En outre, ce décret établit également que les développeurs de produits open-source ne sont pas responsables.

Les acteurs du secteur du développement logiciel s’interrogent pour comprendre comment cela va changer le marché.

Jeff Williams, co-fondateur et CTO de Contrast Security, une société de sécurité API, souligne :

Je pense que la Directive sur la responsabilité du fait des produits est exceptionnellement claire sur le fait que les logiciels sont des produits et seront traités comme tels en termes de responsabilité pour les défauts.

En vertu de la loi, toute personne vendant des logiciels dans l’UE est responsable de tout défaut, y compris les failles de sécurité.

Bien que les développeurs de logiciels open-source ou non commerciaux ne soient pas concernés par cette législation, Williams a expliqué que les développeurs de logiciels incluant des bibliothèques open-source dans leurs produits payants ne bénéficieront pas de passe-droit.

De fait, ils seront aussi tenus responsables de toute vulnérabilité dans l’exécution du code open-source.

Williams estime qu’une intervention gouvernementale est nécessaire pour changer les défaillances du marché des logiciels qui dissuadent le développement d’un code sécurisé.

« Ils auraient pu opter pour un régime de transparence moins intrusif, mais le régime de responsabilité sans faute signifie que les entreprises devront améliorer considérablement les modalités de sécurité », a déclaré Williams.

Définir ce que signifie le terme ‘dommage’ dans les produits technologiques

Le texte de l’UE stipule que les fabricants (y compris les développeurs de logiciels et de systèmes d’IA) sont strictement responsables (responsabilité sans faute) de tout dommage causé par un produit défectueux.

Ce dommage peut inclure :

  • La mort ou des blessures corporelles (y compris les dommages psychologiques médicalement reconnus),
  • Des dommages ou la destruction de biens,
  • La destruction ou la corruption de données (comme la suppression de fichiers).

Kevin Surace, président et CTO d’Appvance, une société spécialisée dans la qualité des logiciels d’IA générative, a déclaré à Techopedia que le véritable problème provient de l’étendue des dommages autorisés, y compris les dommages entourant la santé mentale.

« Il est difficile pour un développeur d’imaginer toutes les utilisations d’un ensemble de codes ou d’applications », a déclaré Surace.

Est-ce qu’un utilisateur victime de dépression nerveuse devrait pouvoir tenir le développeur pour responsable ? Cela me semble être une surréglementation.

Il ajoute que des lois existent déjà pour poursuivre un fabricant ou un développeur de logiciels. Ces lois, a expliqué Surace, couvrent une variété de dommages en allant de la publicité mensongère aux dommages matériels littéraux.

Y a-t-il vraiment besoin de réglementer de telle manière ?

L’UE est-elle en train de légiférer ou de surréguler la technologie ?

L’UE est-elle en train de passer du statut de pionnier de la législation technologique – avec des lois imitées dans le monde entier comme le RGPD et l’AI Act –  à une surréglementation nuisant à l’innovation et à l’investissement dans la région ?

C’est ce que nous avons demandé à Williams de Contrast Security.

Nous ne savons pas comment les fournisseurs de logiciels du monde entier vont réagir », a déclaré l’expert.

Ils peuvent très bien décider de ne pas vendre de logiciels dans l’UE. Ils pourraient aussi choisir des’éloigner des pratiques de transparence, telles que les listes de composants logiciels (SBOM) afin de rendre l’analyse des vulnérabilités plus difficile.

Mais, selon moi, la conséquence la plus probable est que les entreprises devront simplement devenir bien meilleures en matière de logiciels sécurisés.

En accord avec la vision de l’UE, les leaders Tech appellent à plus de conseils et de clarté

directive responsabilités des produits
Quelle stratégie adopter pour les leaders Tech face à cette directive de l’UE ?

Les nouvelles lois ou amendements sont souvent contestés devant les tribunaux.

Lorsqu’une loi est appliquée et que des cas surgissent, les entreprises, en particulier les géants de la technologie comme Meta, Apple, Google et Microsoft, ont tendance à contester les interprétations des réglementations de l’UE.

Ces entreprises peuvent plaider en faveur de définitions qui correspondent à leurs intérêts commerciaux et à leurs modèles opérationnels.

Par conséquent, les définitions et la clarté des lois de l’UE sont devenues la clé.

Alistair Hinchliffe, avocat résident en protection des données et en vie privée chez GetTerms, une société qui offre des solutions de conformité simples et abordables aux entreprises, a également évoqué le sujet avec Techopedia.

Selon ce dernier, le nouveau texte de l’UE laisse de nombreuses questions ouvertes concernant la définition de ce qui peut être qualifié de défaut dans un logiciel.

Un bug mineur qui affecte les performances mais ne cause pas de dommages est-il considéré comme un défaut ? Des problèmes d’incompatibilité seraient-ils suffisants pour justifier une responsabilité ?

Hinchliffe a ajouté qu’en l’absence de définitions plus précises, les développeurs auront probablement du mal à déterminer la ligne de démarcation entre les défauts acceptables et les défauts juridiques.

Les développeurs ont besoin de plus de conseils ou de précédents judiciaires pour comprendre pleinement leurs obligations et leurs responsabilités potentielles, en particulier dans les cas où un dysfonctionnement logiciel ou une perte de données s’inscrit dans les gammes normales de bugs logiciels typiques d’un cycle de développement.

Conclusion

La technologie est une industrie comme aucune autre.

Elle bénéficie généralement d’un laissez-passer, intentionnellement mis en place pour favoriser l’innovation.

Toutefois, elle peut aussi engendré des problèmes. Par conséquent, les législateurs veulent instaurer plus de contrôle sur les produits logiciels pour garantir la sécurité du consommateur.

Certains disent que ces réglementations vont stimuler la sécurité et les performances – d’autres les qualifient de fardeau qui entrave le progrès.

Alors que les grandes entreprises technologiques continueront certainement à s’engager dans leur stratégie habituelle, en lançant des batailles juridiques de plusieurs années pour contester les décisions des tribunaux européens, d’autres soutiendront que le secteur technologique ne devrait pas bénéficier d’un traitement différent des autres industries.

FAQ

Est-ce que la Directive européenne sur la responsabilité du fait des produits et affecte-t-elle les développeurs de logiciels ?

Les développeurs sont-ils responsables des bibliothèques open-source utilisées dans leurs logiciels en vertu de la nouvelle loi européenne ?

Quels types de dommages sont couverts par cette directive pour les logiciels défectueux ?

Comment cette directive pourrait-elle avoir un impact sur les pratiques de sécurité des logiciels ?

Termes connexes

Articles Liés

Vincent Grethen
Responsable d'édition

Diplômé de l'Ecole de Journalisme de Louvain La Neuve en Belgique, c'est finalement le monde du contenu en ligne qui m'a permis d'assouvir ma passion pour l'écriture. Depuis plus de 10 ans, j'explore divers secteurs, notamment le bien-être, le médical ou encore le tourisme. Cette polyvalence est mon atout majeur pour capter l'attention des lecteurs et des lectrices. Aujourd'hui, ma plume évolue au rythme des innovations, au service des passionnés de technologie, toujours avec le même plaisir de jouer avec les mots.