Curtea de Casație a Franței în fața IA

Propusă în tandem cu proiectul de directivă privind răspunderea în materie de inteligență artificială, Directiva (UE) nr. 2024/2853 privind răspunderea pentru produse cu defecte, adoptată la 23 octombrie 2024, înlocuiește Directiva nr. 85/74/CEE din 25 iulie 1985, în timp ce primul a fost retras la 10 februarie 2025 de Comisia Europeană, din rațiuni ținând de simplificarea legislativă și reducerea sarcinilor administrative, care grevează competiția economică mondială a UE. Ea va intra în aplicare la 9 decembrie 2026 și va trebui să fie transpusă în drepturile interne ale statelor membre UE tot până la acea dată. Actul legislativ privește produsele introduse pe piață după momentul respectiv, adică, având în vedere durata ciclurilor de elaborare, produse dezvoltate astăzi. Directiva organizează răspunderea operatorilor economici pentru daunele cauzate persoanelor fizice de produsele cu defecte. Textul a fost gândit pentru a se aplica și noilor tehnologii, adaptând, la specificitățile digitalului, noțiunile fundamentale de produs și de defect.

1. Extinderea răspunderii pentru produse cu defecte la softuri și la digital
​

1.1. Produsele vizate de directivă. În termenii Directivei nr. 85/374/CEE de apropiere a actelor cu putere de lege și a actelor normative ale statelor membre cu privire la răspunderea pentru produsele cu defecte, produs înseamnă „orice bun mobil, cu excepția produselor agricole primare și a vânatului, chiar în cazul în care sunt încorporate într-un alt bun mobil sau imobil”. Evaluarea aplicării acestui text de către Comisie, în 2018 arăta faptul că, în practică, 53% din plângerile aferente priveau materii prime (21%), produse farmaceutice (16%) și vehicule (15%). Doctrina și jurisprudența (practica) din statele membre au statuat că, în absența unei distincții între lucrurile corporale și incorporale, legea avea vocația să se aplice și softurilor. Aceeași analiză releva și că 18 state membre nu stabiliseră nici o formă de răspundere extracontractuală pentru a proteja consumatorii de daunele ce rezultă din defecțiunile softurilor.

Directiva (UE) nr. 2024/2853 integrează, în mod explicit, software-ul în câmpul său de aplicare, față de împrejurarea că în era digitală acesta „poate fi introdus pe piață ca produs de sine stătător și ulterior poate fi integrat în alte produse drept componentă, putând provoca prejudicii în momentul operării sale” (considerentul 13). Termenul de produs desemnează „orice bun mobil, chiar dacă este integrat într-un alt bun mobil sau imobil ori dacă este interconectat cu acesta; aceasta include energia electrică, fișierele digitale de producție, materia primă și software-ul” (art. 4.1.). Noțiunea de fabricant (care înlocuiește pe cea de producător utilizat anterior, deși în versiunea română s-a optat tot pentru producător) se referă la „dezvoltatorii sau producătorii de software, inclusiv furnizorii de sisteme de IA în înțelesul Regulamentului (UE) nr. 2024/1689 al Parlamentului European și al Consiliului, ar trebui să fie considerați fabricanți și tratați ca atare” (considerentul 13).

1.2. Conceptul de software încorporat sau interconectat.Domeniul de aplicare a directivei privește software-urile considerate ca produs în sine ori „autonom” (de exemplu, o aplicare teledescărcată asupra unui magazin de aplicații sau un soft instalat pe un calculator) al cărui defect ar fi susceptibil, în special echipamentul, să creeze o daună utilizatorului său. Ea ar fi indemnizabilă în sensul articolului 6 al Directivei (UE) nr. 2024/2853, cu condiția ca aplicația ori softul în cauză să nu fi fost integrate într-un produs, sau interconectat cu acesta de fabricant sau sub controlul său. Textul privește, de asemenea, softul ca o componentă al unui alt produs, în sensul art. 4 pct. 4 din directivă, adică înțeles ca orice element, fie material sau imaterial, orice materie primă sau orice serviciu conex, care e integrat într-un produs sau interconectat cu acesta. De menționat că termenul „integrat” utilizat în definiția de „component”, trebuie să fie considerat ca un simplu sinonim al celui de „încorporat”, care figurează în definiția de „produs”, în măsura în care versiunea engleză utilizează, indiferent de situație, termenul de „integrated”. Directiva citează în special ca exemple de servicii conexe: „furnizarea continuă de date privind traficul într-un sistem de navigație” (considerentul 17, exemplul 6, serviciu a priori interconectat cu produsul), sau un serviciu de control al temperaturii care monitorizează și reglează temperatura unui frigider inteligent (exemplul 7, serviciu a priori integrat în produs, considerentul 17). Textul art. 8 (1) paragraful 2 al directivei precizează că, atunci când softul e prevăzut ca o componentă, răspunderea producătorului (fabricantului) acoperă orice prejudiciu cauzat de o componentă defectă dacă aceasta a fost integrată într-un produs aflat sub controlul producătorului respectiv sau a fost interconectată cu acesta. Dimpotrivă, simplul fapt de a oferi posibilitatea tehnică a integrării sau a interconectării sau de a recomanda anumite mărci nu e suficient spre a crea un atare control (considerentul 18). În lipsa controlului fabricantului produsului, art. 8 (1) lit. b) enunță răspunderea producătorului unei componente defecte, în cazul în care aceasta a fost integrată într-un produs aflat sub controlul său sau interconectat cu aceasta și a cauzat defectarea produsului respectiv.

În fine, dacă nu ne găsim în nici una dintre aceste situații (softul nu a fost integrat drept componentă al unui alt produs de către fabricantul produsului ori de cel al componentei), softul responsabil al daunei va trebui să fie considerat nu ca o componentă, ci ca un produs defect în întregime.

1.3. Cazul software liber.Directiva (UE) nr. 2024/2853 exclude din domeniul său de aplicare [art. 2 (2)] software-urile libere și cu sursă deschisă, în condițiile în care sunt dezvoltate sau furnizate în afara unei activități comerciale. O atare opțiune se explică prin dorința de a nu împiedica inovația ori cercetarea și prin constatarea că aceste softuri nu sunt, prin definiție, introduse pe piață. De ce o atare constatare? Dacă revenim cu atenție la textul art. 2 se poate observa că directiva se aplică produselor introduse pe piață sau puse în funcțiune după 9 decembrie 2026.

În înțelesul actului legislativ introducerea pe piață e „punerea la dispoziție pentru prima oară a unui produs pe piața Uniunii” (art. 4 pct. 8) care reprezintă „orice furnizare a unui produs pentru distribuție, consum sau utilizare în cursul unei activități comerciale, contra cost sau gratuit”. La rândul său, „punerea în funcțiune” înseamnă utilizarea pentru prima dată a unui produs în Uniune în cursul unei activități comerciale, contra cost sau gratuit, în condițiile în care produsul respectiv nu a fost introdus pe piață înainte de prima sa utilizare (art. 4 pct. 9), astfel „cum ar fi cazul ascensoarelor, al mașinilor sau al dispozitivelor medicale” (considerentul 26). În realitate, nu e atât un obiect de „software liber” care e exclus ci, mai degrabă, un context, respectiv „furnizarea de software liber și cu sursă deschisă către organizațiile non-profit” a priori necomerciale în afara cazului ca el să fie „furnizat în schimbul unui preț sau al datelor cu caracter personal utilizate altfel decât exclusiv pentru îmbunătățirea securității, compatibilității sau interoperabilității software-ului și, prin urmare, este furnizat în cadrul unei activități comerciale” (considerentul 14).

Dacă respectivele softuri sunt integrate precum componente ale unui produs în cadrul unei activități comerciale, fabricantul (producătorul) ar putea să fie ținut ca răspunzător de defectuozitatea produsului în cauză (considerentul 15).

2. Caracterul defectuos din perspectiva digitalului
​

2.1. Dimensiunea securității cibernetice.Articolul 7 din directivă prevede elementele caracterului defectuos, plasate inclusiv în contextul digital. Mai întâi, se precizează că un produs e considerat defect „atunci când nu oferă siguranța la care o persoană are dreptul să se aștepte sau care e prevăzut în dreptul Uniunii sau dreptul intern”. În privința software, se impune a face apel la Regulamentul (UE) nr. 2024/2847 din 23 octombrie 2024 privind cerințele orizontale în materie de securitate cibernetică pentru produsele cu elemente digitale (Regulamentul privind reziliența cibernetică). Domeniul său de aplicare este deopotrivă apropiat și diferit de cel al directivei (UE) nr. 2024/2853. Referitor la primul aspect, e vorba de faptul că un produs cu elemente digitale e definit de regulament precum „un produs software sau hardware... pus pe piață în mod separat” și regăsim aici noțiunea de produs digital ori de componentă digitală. Un anumit număr de divergențe există, totuși, referitor la aceste noțiuni:

– dispozitivele medicale, în mod cert acoperite de directivă, sunt excluse din domeniul regulamentului, în măsura în care le sunt supuse unor exigențe de securitate specifice;

– în afară de aceasta, regulamentul presupune, în termenii art. 2 (1), ca utilizarea preconizată ori previzibilă în mod rezonabil a produsului să includă o conexiune de date, logică sau fizică, directă sau indirectă la un dispozitiv sau la o rețea, ceea ce nu e cerut de directivă;

– de altfel, potrivit art. 3 pct. 6 componenta trebuie, la rândul său, integrată într-un sistem informatic electronice (capabil să prelucreze, să stocheze sau să transmită date digitale) poate să fie acoperit (ceea ce nu e precizat în directivă, la câmpul mai întins, dar ar fi  în realitate în mod sistematic cazul unui soft).

Soluția de prelucrare a datelor la distanță a regulamentului pare, la rândul său, relativ similară serviciului conex al directivei, întrucât trebuie să fie necesară pentru cel puțin o funcționalitate a produsului. Cu titlu ilustrativ aceasta menționează o aplicație mobilă (produsul) care să necesite accesul la o bază de date furnizată de intermediarul unui serviciu (soluția) dezvoltat de fabricant. Se au în vedere, desigur, soluțiile de cloud, dar acestea nu sunt toate avute în vedere: directiva le vizează în măsura în care ele sunt necesare unei funcționalități dintr-un produs (de exemplu, dacă acesta permit controlul la distanță).

În concluzie, produsele digitale și cele materiale care comportă componente digitale acoperite de directivă în mod general defectuoase în caz de neconformitate cu regulamentul în măsura în care produsul e conectat. Referitor la soluțiile de prelucrare, ele nu vor trebui să fie defectuoase în caz de neconformitate cu regulamentul – vis-a-vis de fabricantul produsului – decât în măsura în care ele sunt dezvoltate sub răspunderea sa.

În concret, Regulamentul (UE) nr. 2024/2847 prevede exigențe esențiale în anexa sa nr. 1, relative la produs și la fabricant.

2.2. Alte precizări asupra noțiunii de defectuozitate.În afară de problema conformității cu textele aplicabile, art. 7 (2) al Directivei (UE) nr. 2024/2853 impune luarea în considerare a tuturor circumstanțelor, printre care:

– prezentarea și caracteristicile produsului;

– utilizarea previzibilă în mod rezonabil a produsului;

– efectul pe care îl are asupra produsului capacitatea de a continua să învețe sau să dobândească noi caracteristici;

– efectul produselor utilizate împreună cu produsul în cauză, inclusiv prin interconectare;

– momentul în care produsul a fost introdus pe piață, pus în funcțiune sau a ieșit de sub controlul producătorului (fabricantului);

– cerințele pertinente în materie de securitate (inclusiv securitatea cibernetică);

– orice rechemare a produsului sau orice altă intervenție relevantă din partea unei autorități sau a unui operator economic legate de securitate;

– nevoile specifice ale grupurilor de utilizatori finali;

– în cazul unui produs al cărui scop este tocmai prevenirea pagubelor, orice situație în care acesta nu și-l îndeplinește.

Printre aceste circumstanțe, unele sunt gândite ori își găsesc o interpretare particulară în contextul digitalului. Astfel, interconexiunea dobândește sensul său deplin în contextul produselor conectate (Internet of Things – IoT), în special în domeniul domoticii, dar, de asemenea, de exemplu, cel al dispozitivelor medicale conectate la softuri de telesupraveghere. Efectul capacității de învățare pare, la rândul lui, în mod intrinsec legat de inteligența artificială. La fel, noțiunea de „moment la care produsul a ieșit de sub controlul fabricantului” sugerează o raportare la soft, așa cum se subliniază în considerentul 50 al directivei.

2.3. Răspunderea fabricantului produsului sau componentei defectuoase.Așadar, directiva de față vizează organizarea regimului de răspundere a operatorilor în legătură cu daunele aduse persoanelor fizice, adică prejudiciile corporale sau psihologice și pagubele provocate bunurilor sau datelor în afara cadrului profesional. Din acest punct de vedere, domotica și televiziunile nu sunt cele mai bune cazuri de studiu, în timp ce autovehiculele, dispozitivele medicale, avioanele apar drept cele mai bune exemple. Să ne amintim, în special, că, în 2018, un soft firmware legat pacemaker-ului societății Abbot a trebuit să facă obiectul unei actualizări de securitate din cauza unei falii, ce permitea modificarea parametrilor pertinenți.

Pentru un produs digital sau integrat digital recunoscute ca defectuoase și care nu au implicat asemenea daune, chestiunea răspunderii este tratată prin prevederile art. 8 și 12 din directiva (UE) nr. 2024/2853. Ele prevăd astfel răspunderea a numeroși actori:

– în primul rând, a fabricantului produsului cu defect care a cauzat dauna, inclusiv pentru componentele integrate ori interconectate sub controlul său. Modificarea substanțială a produsului de un terț (inclusiv prin actualizare și modernizare), urmată de o introducere pe piață sau punere în funcțiune face din el un fabricant;

– în al doilea rând, fabricantul componentei care a cauzat defectul și s-a integrat sau interconectat sub controlul său;

– în al treilea rând și, după caz, importatorul, reprezentantul, prestatorul de servicii de executare a comenzilor sau distribuitorul produsului.

Acești operatori pot să fie ținuți răspunzători în mod solidar.

Totodată, art. 11 al actului legislativ instituie un anumit număr de exonerări, dintre care una a fost în mod specific adaptată digitalului. Este vorba de ipoteza în care e probabil ca defectul care a cauzat prejudiciul să nu fi existat la momentul introducerii pe piață, punerii în funcțiune sau, în cazul unui distribuitor, al punerii la dispoziție pe piață. Ea nu se aplică în mod explicit dacă defectul unui produs e cauzat de: un serviciu conex, de software, inclusiv actualizări sau îmbunătățiri ale sale, neefectuarea actualizărilor sau a îmbunătățirilor de software necesare pentru menținerea siguranței, o modificare substanțială a produsului, cu condiția să se afle sub controlul producătorului. Așadar, noțiunea de control e apreciată de o manieră particulară în materie digitală, în măsura în care fabricantul/dezvoltatorul este în general în măsură să efectueze actualizările și îmbunătățirile sau să adapteze produsul/serviciul său în mod direct în cazul unei furnizări software as a service. Din această cauză el rămâne, în general, responsabil de defectele apărute după introducerea pe piață ori după punerea în funcțiune.
​

Concluzii:

​Directiva (UE) nr. 2024/2853 relativă la răspunderea (din fapta) produselor cu defecte, aplicabilă produselor introduse pe piață începând din 9 decembrie 2026 vizează în mod direct și produsele de software, integrate ori interconectate unui soft sau unui serviciu digital.

Caracterul defectuos al unuia din aceste elemente de soft, inclusiv neconformitatea cu o normă de securitate, o luare în calcul necorespunzătoare a riscurilor ridicate de produsele interconectate, ori absența actualizării, necesară menținerii securității, ar putea antrena răspunderea fabricantului (producătorului) produsului care a provocat dauna, ca o componentă ce a cauzat defectul produsului.

Editorii trebuie să aibă în vedere aceste noi reguli, în special atunci când softurile pe care le furnizează sunt susceptibile să provoace daune persoanelor fizice (sectorul sănătate sau cel al industriei automobilelor, de exemplu) și se impun să asigure un management al calității și o documentație aferentă, pe măsura acestor mize.