DSI – Ils seront bientôt des milliards, ces objets du quotidien connectés aux systèmes d’information des entreprises.
Pour les DSI, le premier des enjeux majeur est naturellement de disposer des technologies qui permettront de traiter les « big data » collectées, et de doter les objets de systèmes embarqués fiables et performants.
Si la gestion de ces technologies est au cœur des compétences de la DSI, leur encadrement juridique ne doit pas être négligé, car il est nécessaire, en particulier du point de vue des responsabilités.
Ainsi, en complément des questions classiques liées à la confidentialité des données personnelles, à la propriété des bases de données ou encore au consentement des utilisateurs, celle de la responsabilité technico-juridique des objets se pose, en particulier quand il s’agira de rédiger et de négocier les contrats relatifs aux technologies concernées. L’hypothèse est simple : c’est celle des dommages causés par les objets et de la réparation du préjudice qui en résulte. Elle est au centre de la gestion des risques de l’entreprise et de sa DSI.
Au plan juridique, le sujet peut être abordé autour des trois axes de réflexion suivants : celui de l’encadrement légal de la responsabilité, des mécanismes contractuels disponibles, et de l’externalisation du risque.
Le premier est caractérisé par la Directive 85/374/CEE qui, depuis le 25 juillet 1985, constitue au niveau européen le cadre juridique de la responsabilité du fait des produits défectueux. Le législateur français l’a adopté de son côté en 1998, au moyen des articles 1386-1 et suivants du Code civil, qui instituent un régime de responsabilité de plein droit des producteurs.
Que l’utilisateur du produit soit lié ou non au producteur par un contrat n’y change rien, c’est un mécanisme de responsabilité sans faute, et qui permet à la victime d’un dommage matériel ou corporel causé par un produit (et bien sur un « objet ») du fait d’un défaut de sécurité d’être indemnisée sans débat sur la portée des engagements du producteur. La mise sur marché des objets intelligents implique donc, du point de vue technique, d’anticiper les risques de dommages susceptibles d’être causés pour tenter de les réduire. Il ne faut cependant pas omettre les recours, du producteur (ou fabricant) de l’objet à l’encontre des fournisseurs des technologies impliquées. Ceci nous amène au second.
Le second axe de réflexion proposé porte sur la notion de responsabilité contractuelle. Sachant que le risque lié à l’objet connecté est bien réel, comment le partager avec ses fournisseurs ? Par un examen attentif du contrat, par exemple en identifiant clairement le fournisseur comme assujetti, pour la part qui le concerne, à la responsabilité du fait des produits défectueux, ou encore en anticipant les garanties techniques qui trouveront à s’appliquer comme la garantie de scalabilité ou de robustesse. L’important pour la DSI est d’anticiper les conditions notamment liées aux volumétries et de ne pas être démuni si l’objet mis sur le marché cause un dommage à son utilisateur du fait d’un composant, tel qu’une application informatique.
Le troisième consiste à transférer le risque à un tiers dont c’est le métier ; un assureur de responsabilité civile. Dans ce domaine, si le principe de la couverture du risque est en principe acquis au moyen des polices de responsabilité civile « après livraison », les difficultés peuvent en revanche porter sur les exclusions. Il faudra donc bien vérifier que l’intelligence des objets ne les rende pas imperméables à l’assurance !
Voici donc, comme toujours lorsque de nouvelles technologies sont mises en œuvre, du travail en plus pour les DSI !
Jean-François Forgeron
Lexing Droit informatique