Un objet connecté peut agir seul, déclencher une ouverture, couper un système, transmettre un ordre, voire prendre une décision automatisée à partir de capteurs et de règles internes. Mais cela ne signifie pas, juridiquement, qu’il devient une “personne”. Aujourd’hui, en droit positif européen, la logique dominante reste beaucoup plus classique : ce n’est pas l’objet qui répond, ce sont les acteurs humains ou économiques autour de lui — fabricant, éditeur logiciel, intégrateur, exploitant, propriétaire, mainteneur, parfois utilisateur.
La vraie difficulté ne tient donc pas à une prétendue “personnalité” de la machine. Elle tient à autre chose : quand un dispositif autonome prend une mauvaise décision, la chaîne de responsabilité se fragmente. Et plus cette chaîne est complexe, plus il devient difficile d’identifier qui a commis la faute, qui a mis un produit défectueux sur le marché, et qui contrôlait réellement le système au moment du dommage.
1) Un objet connecté n’est pas un sujet de droit
Un thermostat, une serrure intelligente, une caméra pilotée, un capteur industriel, un système domotique ou un automate connecté peuvent exécuter des actions avec un certain degré d’autonomie. Mais en l’état, cela ne leur donne pas une personnalité juridique comparable à celle d’une entreprise ou d’une personne physique. Le droit ne traite pas l’objet comme un débiteur autonome de réparation ; il traite l’objet comme un produit, un outil, ou un composant d’un service.
Autrement dit : si une porte connectée s’ouvre au mauvais moment, on ne va pas “poursuivre la porte”. On va chercher quel acteur humain ou économique est juridiquement rattaché à l’événement : celui qui l’a conçue, programmée, vendue, installée, maintenue, configurée ou exploitée.
2) La responsabilité se répartit selon plusieurs régimes, pas un seul
Le réflexe simpliste serait de chercher “le responsable” comme s’il n’y en avait qu’un. En pratique, plusieurs régimes peuvent se superposer.
Il y a d’abord la responsabilité du fait des produits défectueux. La directive européenne révisée sur la responsabilité du fait des produits défectueux couvre désormais les produits numériques, y compris les logiciels et certains services numériques qui affectent le fonctionnement d’un produit. Cela signifie qu’un dommage causé par un objet connecté défectueux peut engager la responsabilité du fabricant ou d’autres opérateurs économiques, sans qu’il soit nécessaire de prouver leur faute, à condition d’établir le défaut, le dommage et le lien causal.
À côté de cela, il y a la responsabilité pour faute : mauvaise installation, mauvaise configuration, défaut de maintenance, paramétrage absurde, absence de réaction à une alerte connue. Dans ce cas, ce n’est plus seulement la qualité intrinsèque du produit qui compte, mais le comportement de l’acteur qui l’a mis en service ou laissé dériver.
Enfin, il peut exister des dimensions contractuelles : entre fabricant et installateur, entre prestataire et client, entre propriétaire et exploitant. Ces contrats répartissent parfois les obligations, mais ils n’effacent pas automatiquement la responsabilité envers la victime.
3) Le vrai nœud : autonomie technique ne veut pas dire autonomie juridique
Un dispositif peut décider seul techniquement tout en restant entièrement dépendant juridiquement d’autrui. C’est le point que beaucoup ratent.
Exemple simple : une serrure connectée s’ouvre alors qu’elle ne devrait pas. Le problème peut venir :
- d’un capteur défectueux,
- d’une mise à jour logicielle ratée,
- d’une règle métier mal écrite,
- d’une mauvaise intégration avec un autre système,
- d’un compte administrateur mal protégé,
- ou d’un choix d’usage absurde imposé par l’exploitant.
Dans tous ces cas, “la machine a décidé” n’est pas une défense sérieuse. Juridiquement, cette phrase décrit un mécanisme ; elle ne désigne pas un responsable.
4) Qui peut être responsable en pratique ?
La réponse dépend du type de défaillance.
Si le problème vient d’un défaut du produit lui-même — matériel, logiciel, cybersécurité, absence de sûreté attendue, mise à jour défectueuse — la responsabilité peut remonter vers le fabricant, voire vers d’autres opérateurs de la chaîne (importateur, distributeur, plateforme, selon les cas). La directive européenne de 2024 élargit précisément le cadre pour mieux couvrir les produits numériques et les mises à jour.
Si le problème vient d’un mauvais paramétrage ou d’une intégration locale défaillante, la responsabilité peut peser sur l’installateur, l’intégrateur ou l’exploitant. Le produit n’est alors pas forcément “défectueux” au sens strict ; c’est son déploiement qui l’est devenu.
Si l’utilisateur a ignoré des alertes, laissé des accès ouverts, désactivé des sécurités ou utilisé le système hors de son cadre prévu, sa propre responsabilité peut aussi être engagée, au moins partiellement. Le droit ne protège pas indéfiniment contre un usage manifestement imprudent.
5) L’erreur la plus fréquente : croire que “l’IA” ou “l’autonomie” crée un vide juridique
Pendant un temps, certains ont cru que les systèmes autonomes allaient nécessiter un régime totalement nouveau, centré sur une responsabilité propre de l’IA. Mais au niveau européen, la proposition de directive spécifique sur la responsabilité liée à l’IA a finalement été retirée. Cela confirme une tendance assez claire : au lieu de créer une “personne électronique”, l’Union européenne s’oriente plutôt vers l’adaptation des régimes existants, notamment via la responsabilité du fait des produits défectueux et les règles classiques de faute.
C’est un signal important : le droit européen ne dit pas “la machine sera responsable”. Il dit plutôt : “les victimes doivent pouvoir être indemnisées malgré la complexité technique, en élargissant et modernisant la responsabilité des acteurs humains et économiques”.
6) Le vrai enjeu juridique : la traçabilité
Le problème pratique n’est pas tant l’absence de responsable que la difficulté à reconstituer l’événement. Un objet connecté autonome peut dépendre :
- d’un firmware,
- d’une application,
- d’un cloud,
- d’une API tierce,
- d’un capteur externe,
- d’une règle locale,
- d’une mise à jour distante.
Plus cette architecture est morcelée, plus la responsabilité devient une question de preuves : qui a changé quoi ? quand ? avec quelle version ? selon quel journal d’événements ?
Sans logs, sans documentation, sans chaîne de version claire, la “smart” technologie devient juridiquement opaque. Et une technologie opaque n’est pas plus libre ; elle est juste plus difficile à auditer.
Conclusion : non, l’objet n’est pas responsable — mais il peut rendre les humains plus difficiles à identifier
À ce stade, les objets connectés ne deviennent pas juridiquement responsables au sens fort. Ils ne paient pas, ne réparent pas, ne comparaissent pas. En revanche, leur autonomie technique peut diluer la lisibilité des responsabilités et compliquer la preuve.
La vraie question n’est donc pas “est-ce que l’objet peut être coupable ?”. La vraie question est : qui a conçu, déployé, maintenu ou laissé agir un système qui pouvait raisonnablement causer ce dommage ? C’est là que le droit cherche encore moins à inventer une personnalité des machines qu’à empêcher que la complexité serve d’alibi.
