library_books Articles menu_book Ouvrages event Événements collections_bookmark Collections info A propos search login
tune Recherche avancée
article Articles book Ouvrages event Événements collections_bookmark Collections info À propos favorite Nous soutenir
tune Recherche avancée login
Droits de l’homme, citoyenneté & IA
09 Jan 2026
Par Diane Galbois-Lehalle
Collections liées
folder IA: Quels droits de la responsabilité ? folder Intelligence artificielle et droit
Non catégorisé
Lors du colloque du 9 janvier 2026 sur le thème de « Fait(s) de l’IA : Quels droits de la responsabilité ? », Diane Galbois-Lehalle a abordé la notion de responsabilité par sa fonction, mais aussi son évolution au fil des révolutions technologiques, avant de présenter le cadre juridique de la responsabilité du fait de l’IA et les angles morts de la réglementation produit.

Diane Galbois-Lehalle est maître de conférences, titulaire de la Chaire numérique et citoyenneté et directrice du Master et du DU droit de l'intelligence artificielle à l'Institut catholique de Paris.

Étant civiliste de formation et ayant fait une thèse en droit des contrats, c'est assez naturellement que je me suis dirigée vers la responsabilité civile du fait de l'IA dans le cadre de mes enseignements.

J'ai été vraiment très intéressée par tous les propos qui ont précédé et je vais me permettre de rebondir sur certaines des choses. Mais pour commencer, puisque nous sommes dans le cadre d'un colloque intitulé “quels droits de la responsabilité?”, j'ai été frappée que la question n'ait pas été abordée plus clairement sous l’angle de la fonction de la responsabilité. On l'a évoquée à différentes reprises de manière implicite ; peut-être faudrait-il commencer par reprendre les fonctions traditionnelles de la responsabilité.

À quoi sert la responsabilité ?

Aujourd'hui, la responsabilité civile sert essentiellement à réparer - réparer un dommage, ce qui consiste à replacer, autant que faire se peut, la personne dans l'état dans lequel elle se serait trouvée si le dommage n'était pas survenu. Mais historiquement, la première fonction de la responsabilité, à l'époque très ancienne du droit romain où responsabilité civile et responsabilité pénale étaient mêlées, était une fonction davantage de punition. Cette fonction, on l'a beaucoup perdue en droit civil, et c’est désormais le droit pénal qui a l’apanage de la sanction. Or certains éléments en matière d'IA laissent à penser que, peut-être, il pourrait y avoir une résurgence de l'idée de punition. Une autre fonction de la responsabilité civile a émergé un petit peu plus tard : celle de la prévention des dommages. Elle n’est pas sans lien avec l'idée de punition - la menace de la sanction incite à un comportement vertueux.

D'ailleurs, chacun des quatre fondements proposés par le rapport du Conseil de l'Europe de 2019 qu'a évoqué Pierre-François Euphrasie renvoie à une fonction différente de la responsabilité:

  • Le modèle intentionnalité-culpabilité, comme l'a dit Pierre-François, renvoie à notre faute intentionnelle. C'est plutôt l'idée de punir, c'est ce qui reste encore de notre idée de punition dans notre droit de la responsabilité. On punit quelqu'un parce qu'il a commis intentionnellement une faute qui a causé un dommage.
  • A propos du modèle de risque-négligence, il a été très bien été rappelé qu’il n'est pas naturel en droit français de mêler le risque et la négligence, parce que la négligence est pour nous une faute non intentionnelle, là où le risque n'est pas lié à une faute, mais simplement un besoin de réparation. Mais le modèle de risque-négligence renvoie à cette idée de réparer le dommage subi par la victime.
  • Le modèle de la responsabilité absolue qui a été exposé par Selma Demir s’inscrit aussi dans la fonction de réparation.
  • Enfin le modèle de l'assurance obligatoire a été assez peu évoqué, et j’y reviendrai dans quelques instants.

Faute, risque, garantie, solidarité : on retrouve les quatre fondements classiques du droit de la responsabilité civile, tels qu'on les enseigne traditionnellement.

J'ai trouvé très intéressant que Selma Demir rappelle un fondement un peu plus original, celui de la garantie. L'idée de garantie vient de la théorie de Boris Stark(1), selon lequel la gravité de certains dommages est telle que la victime doit être garantie de recevoir une indemnisation, quel que soit le comportement de l'auteur. Cette thèse n'a pas complètement été consacrée par la jurisprudence, mais elle a pu inspirer certains développements, notamment la tendance judiciaire à vouloir trouver une faute en cas de dommage corporel, parce que le dommage corporel est tellement grave que la victime a besoin d'une réparation. Ou encore, évidemment, la loi sur les accidents de la circulation(2), où le conducteur ne peut pas s'exonérer, pas même en rapportant une exonération par un fait force majeure. D'ailleurs cette loi n’instaure pas vraiment un régime de responsabilité, mais un régime d'indemnisation : il ne s'agit pas d’identifier un responsable, mais un débiteur à l'obligation d'indemnisation. Et on ne parle pas non plus d'imputation, mais d'implication d'un véhicule dans l'accident, et par suite on remonte au conducteur ou gardien du véhicule.

Ce modèle de la responsabilité absolue - ou garantie - peut avoir toute sa pertinence en matière de responsabilité du fait de l'IA. C’est d'ailleurs un des modèles qui a été proposé par au moins deux auteurs :

  • d’une part, Samir Merabet, qui a été le premier docteur à consacrer sa thèse au droit de l'intelligence artificielle(3), avait évoqué l'idée d'une responsabilité “pour fait normal” - un fait normal mais dommageable, donc un fait causal : un fait qui n'est pas fautif, pas négligent. Simplement, ce fait cause un dommage, et il est estimé nécessaire de réparer ce dommage.
  • Timothy James, d’autre part, qui a soutenu sa thèse il y a à peine plus d'un an sur la responsabilité du fait de l'IA et qui développe l’idée d’un régime de responsabilité sans faute, du simple fait causal pour les systèmes d'IA à haut risque. Je précise simplement que Timothy James propose ce régime à la charge des exploitants, et non pas à la charge des producteurs de systèmes d'IA, et ce en s'inspirant des régimes de responsabilité à risque.

Qu'on adhère ou pas à ces idées, le fait est que l'intelligence artificielle semble réactiver cette volonté d'une responsabilité plus absolue.

Un mot sur les régimes d'assurance qui peuvent être des régimes autonomes ou qui peuvent être combinés avec un régime fondé sur la faute ou sur le risque, ou encore sur la garantie. Depuis le début, on parle de la responsabilité civile qui a pour fonction d'imposer une responsabilité morale et juridique, donc d'imposer à une personne d'assumer le risque qu'elle a créé par une activité ou par son fait. Mais avec l'assurance, on glisse vers une déresponsabilisation, puisque c'est l'assureur qui paie. Peut-être que si on allait vers un régime d'assurance comme ça a été proposé par certains auteurs pour l'intelligence artificielle, il faudrait imaginer quelque chose de complémentaire comme l'équivalent du permis à point pour responsabiliser davantage les personnes derrière l'IA.

Je ne reviendrai pas sur la question de la personnalité juridique de l'intelligence artificielle, question qui avait été évoquée par le Parlement européen en 2019 et qui a rapidement été écartée pour des raisons notamment symboliques.

La responsabilité civile à l'épreuve des révolutions technologiques

À mon sens, une des vraies questions par rapport au modèle et aux fondements de la responsabilité civile confrontée à l'intelligence artificielle, c'est de se demander si l'IA va nous obliger à inventer de nouveaux fondements de la responsabilité civile.

On dit souvent que l'IA est une révolution comparable à une révolution industrielle. Or que s’est-il passé au moment de la révolution industrielle du XIXe-XXe siècle ? Dans le Code civil, à l'époque, on avait 5 articles relatifs à la responsabilité civile (les articles 1382 et suivants). On les comptait sur les doigts d'une main littéralement et on était vraiment dans une logique de responsabilité pour faute, comme l'a rappelé Pierre-François Euphrasie. On s'en est progressivement détaché pour la responsabilité du fait des parents, par exemple mais, à l'origine, elle reposait sur l’idée d’une faute (de surveillance ou d’éducation) des parents. La faute irriguait tout le droit de la responsabilité civile.

A la fin du XIXe siècle, sont apparus de nouveaux outils, des machines, qui ont causé de nouveaux dommages - notamment à des ouvriers - quand on est passé à la mécanisation. Or on ne pouvait pas imputer ces dommages à une faute : il n'y avait pas forcément de faute dans la conception de la machine, pas de faute non plus dans la surveillance ou dans l'entretien de la machine. Simplement, une machine peut se gripper, bugger, et donc causer des dommages.

C’est alors qu’on a créé un nouveau fondement de la responsabilité civile. Ce nouveau fondement a été proposé par des auteurs, Saleilles et Josserand(4), et a été complètement adopté à la fois par la jurisprudence, avec l'arrêt Teffaine en 1896, et par la loi, avec une loi de 1898 sur la réparation des accidents du travail. Et de fait, le contentieux s'est tari parce que la plupart des accidents causés par des machines se produisaient dans le cadre du travail. Il faut revoir les Temps Modernes de Chaplin pour se remémorer la mécanisation des processus qui était à l’oeuvre. Face à une révolution technologique, on a donc créé ce nouveau fondement de responsabilité pour risque parce que la faute ne suffisait plus.

Au-delà de la faute, une responsabilité pour risque créé a donc pu émerger, qui a pris la

forme de la responsabilité du fait des choses, grâce à l'inventivité des juges qui se sont servis du premier alinéa de l'ancien article 1384 du code civil, qui n'était conçu par ses rédacteurs que comme un alinéa de transition. Transition entre, d’une part, les articles 1382 et 1383, relatifs à la faute intentionnelle et à la faute non intentionnelle, et, d’autre part, les alinéas 2 et suivants de l’ex-article 1384(5), qui couvraient certains cas précis de responsabilité du fait d'autrui : parents/enfants, commettant/préposés, instituteurs/élèves, et artisans/apprentis, ainsi que les articles 1385 et 1386 couvrant les faits spéciaux de responsabilité du fait des choses : fait des animaux et fait des bâtiments en ruines. Il faut se remettre dans le contexte de 1804 : une société plutôt agraire, où les principales choses causant des dommages, c'étaient des bâtiments - la France de propriétaires, c’est ce qu’on a dans le code Napoléon - et des animaux - des chevaux qui causent des accidents de la circulation, du bétail, etc. Le Code Napoléon prévoyait donc des cas précis de responsabilité du fait d'autrui ou du fait des choses.

L’alinéa 1er de l’article 1384, qui indique qu’ "On est responsable non seulement du dommage que l'on cause par son propre fait [articles 1382 et 1382], mais encore de celui qui est causé par le fait des personnes dont on doit répondre, ou des choses que l'on a sous sa garde [article 1384, al. 2 et s., article 1385, article 1386]", alinéa de transition, a été transformé par la jurisprudence de la fin du XIXe siècle en un alinéa normatif pour fonder la théorie du risque, et poser la responsabilité sans faute.

Aujourd'hui, avec l'IA, est-on face à une telle révolution qui, juridiquement, va entraîner un nouveau fondement de la responsabilité civile ? Faut-il réinventer la responsabilité civile à ce point ? Faut-il trouver un autre modèle que la faute ou le risque ? A mon sens, la faute et le risque sont les deux grands modèles. La garantie, c'est une forme de risque ; et l'assurance emprunte un peu au risque et à la garantie. Faut-il créer un nouveau modèle ? Je ne le crois pas. Je ne le crois pas parce que si le Code civil a pu affronter cette première révolution, il pourra, sans difficulté, affronter la révolution de l'IA. Et puis, je ne le crois pas parce qu'en fait, on a déjà toutes les clés dans le droit existant. Peut-être qu'il faudra adapter un petit peu, mais je pense que la faute et le risque peuvent suffire.

Cadre juridique de la responsabilité du fait de l’IA

En matière de responsabilité du fait de l'IA, le seul texte spécial dont on dispose, c'est la nouvelle directive pour la responsabilité du fait des produits défectueux.

Quelques rappels chronologiques au sujet du cadre réglementaire spécifique à l’intelligence artificielle. Le règlement sur l'IA trouve ses origines dans le livre blanc de la Commission européenne de 2020 ; sa première mouture date de la proposition de la Commission européenne du 21 avril 2021. Avril 2021… il y a quasiment 5 ans : on est avant la déferlante de l'IA générative. Donc, quand on commence à penser à la réglementation sur l'IA, on ne parle pas encore vraiment de l'IA générative. On pense à d’autres systèmes d'IA : IA de reconnaissance d'image, de traitement de l'information, de recommandation, etc. Je pense qu'il y a un fossé avec l'IA générative. Cette proposition de la Commission européenne du 21 avril 2021 a connu les tempêtes et les bouleversements que vous connaissez jusqu'à son adoption en juin 2024.

Entre-temps, le 28 septembre 2022, la Commission européenne publie deux propositions très exactement concomitantes. L'une - qui a abouti - a trait à une réforme de la directive de 1985 sur la responsabilité du fait des produits défectueux ; l'autre - qui a été abandonnée - est relative à la responsabilité civile en matière d'IA. Il est très intéressant, à mon sens, que ces deux propositions aient été publiées le même jour par la Commission européenne. Elles comportent des ressemblances et des divergences.

Le cœur de ces deux textes est de faciliter la charge de la preuve du demandeur à l'action en responsabilité. La nouvelle directive sur la responsabilité du fait des produits défectueux ne porte pas de grandes innovations. Simplement, il y est écrit noir sur blanc que la définition du produit englobe également les choses incorporelles - on avait des doutes avant, on se disait que si l'électricité était incluse, alors pourquoi pas des choses encore plus incorporelles... on avait de la jurisprudence sur de la fumée (incorporel ou corporel ?). Les débats sont taris, désormais il est expressément indiqué, notamment, que les logiciels sont des produits, et donc avec eux toute l'IA. Il y a également quelques modifications sur le dommage, avec l'intégration d'un nouveau dommage qui est la perte ou la corruption de données - ce qui est utile puisque maintenant le logiciel est effectivement intégré dans la directive produit. Enfin, quelques autres modifications cosmétiques pour prendre en compte cet élargissement textuel du champ d'application de la directive.

Quelle est la vraie nouveauté dans cette réforme de la directive produit ? Il y a deux nouveautés :

  • une obligation de dévoiler des éléments de preuve : le demandeur ou le futur demandeur à une action en responsabilité peut demander au juge d'imposer au défendeur ou au futur défendeur de dévoiler des éléments de preuve qu'il aurait en sa possession.
  • des mécanismes de présomption : présomption simple (réfragable) de lien de causalité entre le défaut et le dommage, et présomption simple de défaut dans certaines hypothèses.

Or, ces deux règles se retrouvent très exactement à l'identique dans la proposition de règlement - règlement, et non directive - sur la responsabilité civile en matière d'IA. Celle qui n'a pas abouti, qui a été abandonnée officiellement en février 2025, au prétexte, soi-disant, qu'on n'arrivait pas à trouver d'accord politique sur la question. Moi, cette explication ne me convainc pas : on a le même cœur de règle dans l'une et dans l'autre des propositions. Puisqu'on a accepté cet allègement du fardeau de la preuve à la charge du demandeur dans le cadre de la directive produit, comment peut-on dire qu’il n’y a pas d’accord politique ?

Cette proposition de règlement adaptant la responsabilité civile en matière d'IA n'avait pas vocation à créer un nouveau régime de responsabilité sui generis, elle n'avait pas vocation à créer un nouveau régime spécial de responsabilité du fait de l'IA. Ça avait été envisagé, mais encore plus tôt - il faut remonter à une résolution du 20 octobre 2020 du Parlement européen qui, dans ses toutes petites marges d'initiative législative au niveau européen, avait publié une recommandation à la Commission européenne, qui en réalité était un peu plus qu'une recommandation, puisqu'en annexe, il y avait carrément une proposition écrite de règlement sur la responsabilité civile du fait de l'IA. Avec cette proposition du Parlement, il s'agissait de créer un vrai régime de responsabilité nouveau pour les dommages causés par les systèmes d'IA à haut risque.

Mais avec la proposition du 28 septembre 2022 de directive sur la responsabilité civile en matière d'IA, réponse, semble-t-il, à la résolution du Parlement européen lui demandant de se saisir de la question, la Commission européenne n’entend pas créer un nouveau régime de responsabilité. Il s’agit d’adapter des règles de responsabilité pour faute des droits nationaux, essentiellement en ajoutant des éléments d'allègement de la charge de la preuve pour le demandeur. Et c'est ça qui a été repris dans la nouvelle directive produits défectueux.

Pourquoi est-ce intéressant ? Parce que la directive sur la responsabilité du fait des produits défectueux, comme son nom l'indique, est une réglementation “produit”. On vise le produit. On sait que le logiciel est un produit, mais on ôte tout doute qui pourrait persister. Cette réglementation produit fait aussi écho à une autre réglementation produit en matière d’IA, qui est le règlement IA.

Les angles morts de la réglementation produit

Le règlement IA, c'est tout ce qu'on veut sauf du beau Droit qui crée des droits au profit des utilisateurs. Il n'y a pas de droits pour les utilisateurs dans le règlement IA. Le RGPD), c'était une réglementation un peu “compliance”, mais il y avait quand même quelques droits - droit à l'oubli, droit à l'effacement, etc. Le RIA, c'est simplement une réglementation produit, une réglementation “compliance”, qui va jusqu'à vous dire “il y a telles obligations si vous êtes en système d’IA à haut risque, et d'ailleurs, pour prouver que vous vous conformez à ces obligations, on va créer des normes harmonisées”. Charge au CEN-CENELEC d’établir ces normes. Si vous obtenez votre tampon de la norme harmonisée, on considérera que vous avez bien répondu aux obligations posées pour les systèmes d'IA à haut risque. Donc c'est vraiment de la réglementation produit comme de la réglementation de médicaments ou de la réglementation d'un drone ou d'un ascenseur, etc.

Pour autant l'IA, c'est plus qu'un produit. D'abord, c'est tout un domaine technologique ; ensuite, avec l'IA générative, c'est un service multi-tâche auquel l'utilisateur peut faire dire ou faire faire à peu près ce qu'il veut. Donc je trouve qu'on devrait dépasser cette logique produit à la fois sur le plan de la responsabilité et sur le plan de la compliance. Et on le voit justement par rapport aux angles morts qui sont laissés par la nouvelle directive produit défectueux en termes de réparation.

La réglementation produit défectueux étant une directive européenne, qui entend harmoniser les législations nationales, il convient de faire un petit pas de côté et avoir une approche de droit comparé. En droit français, on a un des régimes de responsabilité civile les plus favorables à la victime, notamment par ce qu'on appelle notre clause générale de l'article 1382 (maintenant de l'article 1240 et 1242) : "Tout fait quelconque de l'homme, qui cause à autrui un dommage, oblige celui par la faute duquel il est arrivé à le réparer", et sans indiquer des intérêts spécialement protégés par la règle ou sans avoir une énumération de "torts" à l'anglaise ou comme en droit romain. Le droit allemand, qui est un peu entre notre droit continental et le droit de common law, a un régime de responsabilité générale mais qui protège certains intérêts qui sont listés, notamment la protection des droits fondamentaux, l'intégrité corporelle, etc. En droit français, nous n’avons pas ces restrictions. Nous protégeons très largement - en fonction des évolutions sociétales, le préjudice affectif pour la mort d'un animal de compagnie par exemple, ou encore le préjudice économique pur, qui prêtent beaucoup plus à débat à l’étranger.

La directive sur la responsabilité du fait des produits cantonne le champ des dommages réparables :

  • au préjudice de mort et de lésion corporelle (le directive de 2024 précise “y compris l'atteinte médicalement reconnue à la santé psychologique"),
  • au dommage causé à des biens ou la destruction des biens, à l'exception des biens à usage exclusivement professionnel, et à l'exception du produit lui-même,
  • à la destruction ou la corruption de données (ajout de 2024, découlant de l’extension de la directive aux logiciels et produits incorporels).

Qu'est-ce que ça laisse comme angle mort de dommages non réparables sur ce fondement ? Ça laisse comme angle mort la réparation des atteintes aux droits fondamentaux autres que la mort ou des lésions corporelles. Et donc, notamment, l'atteinte aux droits au procès équitable, si on parle de justice prédictive, ou encore l'atteinte au respect de la vie privée ou au droit à l'image, ce qui est quand même un gros sujet en matière d'IA et en matière de données. Et plus généralement, tous les droits fondamentaux. C'est ça qui, possiblement, aurait pu être couvert par l'autre proposition de directive du 28 septembre 2022. Et je pense que c'est là-dessus, en fait, qu'il n'y a pas eu d'accord politique. Ce n'était pas au sujet des présomptions puisque, les présomptions, on les a incorporées dans la directive produits.

Est-ce que la question de la réparation est le vrai, le seul problème qui se pose en matière de responsabilité du fait de l'IA ? Est-ce qu'on ne cherche pas à appréhender aussi la sanction, voire à discipliner les comportements par rapport à l'outil ? J'en reviens à ce que je disais en introduction sur les fonctions de la responsabilité : pas uniquement réparer, mais aussi punir et prévenir.

On dépasse un peu le paradigme de la responsabilité car il faut jongler avec d'autres régimes mais, si on voulait vraiment s'arc-bouter sur la réparation, peut-être aurait-il fallu prévoir dans ce régime une amende civile. Ça avait été proposé dans le projet de réforme de la responsabilité civile de mars 2017 qui ne deviendra vraisemblablement jamais rien. Ou peut-être aurait-il fallu prévoir une action de groupe ou d'autres moyens de réparation.

La question qui se pose à mon sens, est plutôt celle d’un grand vide en termes de réparation des atteintes aux droits fondamentaux. Le problème est d'autant plus prégnant que ça a été envisagé au cours de l'élaboration du règlement sur l'IA. Le RIA, on l'a rappelé, pose des obligations, donc ouvre la voie à de potentielles violations d'obligations préexistantes, autrement dit, à la caractérisation de fautes. Avant le RIA, il y avait déjà toute une liste de principes éthiques qui avaient été élaborés par des organisations internationales au fur et à mesure du temps(6), et y compris par ce qu’on appelle le HLEG, le High Level Expert Group de la Commission Européenne qui avait produit un rapport sur les principes éthiques en 2019. Ces principes éthiques incluaient d'ailleurs la responsabilité, mais également le contrôle humain, etc. Le Parlement européen, en cours d'élaboration du RIA, avait proposé de les ajouter dans un article du texte (art. 4a). Ceci aurait pu faire de la violation de ces principes éthiques un fondement de faute sur lequel, ensuite, on aurait pu aller chercher une responsabilité pour faute pour demander réparation des atteintes aux droits fondamentaux causées. Mais au moment du trilogue(7), on a sapé cet ajout pour le mettre uniquement dans les considérants, et en y retranchant la responsabilité.

Pour moi, c'est vraiment ça l'angle mort et ça me paraît d'autant plus préoccupant que l'actualité nous donne à penser que des violations de la vie privée ou du droit à l'image seront légion, pour faire des deep porn sexuels, par exemple.


(1) Boris Starck, 1909-1974, auteur notamment d’une thèse intitulée Essai d'une théorie générale de la responsabilité civile considérée en sa double fonction de garantie et de peine privée, publiée en 1947

(2) loi Badinter de 1985

(3) Vers un droit de l'intelligence artificielle, soutenue en 2018 à Aix-Marseille

(4) Raymond Saleilles et Louis Josserand, qui ont introduit le mouvement doctrinal de la “théorie du risque” à la fin du XIXe siècle

(5) articles 1242 et 1245 du Code Civil aujourd’hui

(6) c.f L’intelligence Artificielle en Procès, p.409, Yannick Meneceur, 2020

(7) Réunion entre le Parlement européen, le Conseil de l’Europe et la Commission européenne visant à négocier et trouver des compromis sur des textes législatifs