TrustYourWebsite
RGPD et confidentialité

Directive Responsabilité Produits 2024/2853 (BE)

Steven | TrustYourWebsite · 15 mai 2026 · Dernière mise à jour : mai 2026

À partir du 9 décembre 2026, les logiciels et systèmes d'IA sont des "produits" au sens de la responsabilité sans faute européenne. Cet article explique ce que cela signifie pour une PME belge dont l'outil d'IA cause un dommage, ou dont le propre produit numérique en cause un.

Pour la Belgique, le cadre actuel de responsabilité du fait des produits défectueux découle de la loi du 25 février 1991 qui transposait la directive 85/374/CEE. Cette loi sera remplacée par la transposition belge de la directive (UE) 2024/2853 à l'échéance du 9 décembre 2026. Le Service public fédéral Économie (SPF Économie) a lancé une première consultation le 15 janvier 2026 sur l'avant-projet ; l'arrivée du texte définitif est attendue à l'automne 2026, soit après l'échéance européenne. Pendant cette période d'interprétation, les juges belges appliqueront la directive directement, comme le permet la jurisprudence belge sur l'effet utile des directives en matière de protection du consommateur.

Le contraste avec la France est procédural plutôt que substantiel. En France, la transposition relève des articles 1245 à 1245-17 du Code civil français. En Belgique, la matière relève principalement du Livre 5 du Code civil belge (Obligations) en combinaison avec le Livre VI du Code de droit économique (CDE) qui régit les pratiques de marché et la protection du consommateur. Le tribunal compétent est le tribunal de l'entreprise pour les litiges B2B, ou le tribunal de première instance pour les dommages corporels aux particuliers. La Cour de cassation belge a rendu en matière de responsabilité du fait des produits l'arrêt Cass. 19 juin 2009, C.07.0218.N, position qui sera remise à plat par la nouvelle directive.

Côté autorités, le panorama belge diffère également de l'écosystème français. La protection des données personnelles relève de l'Autorité de protection des données (APD), et non de la CNIL. Pour les actions collectives de consommateurs touchés par un produit défectueux, c'est Test-Achats qui intervient sous le régime de l'action en réparation collective du Livre XVII CDE, et non une association française du type UFC-Que Choisir. Cette action collective belge reste relativement rare en pratique : depuis l'introduction du dispositif en 2014, le nombre d'affaires portées devant les tribunaux belges reste en deçà d'une dizaine par an.

Une particularité belge supplémentaire : le numéro BCE (Banque-Carrefour des Entreprises) doit obligatoirement figurer sur votre site sous le Livre III CDE. Les juges belges retiennent l'existence d'un BCE visible sur le canal de vente comme indice de qualité de producteur ou de distributeur en responsabilité du fait des produits. Cet élément probatoire n'a pas d'équivalent direct en droit français où le SIRET et l'inscription au RCS jouent un rôle différent.

Chronologie de la directive responsabilité produits et état des transpositions par État membre au 15 mai 2026.Chronologie horizontale avec entrée en vigueur le 8 décembre 2024. Échéance de transposition et d'application au 9 décembre 2026 en vert. Vague de transposition en cours jusqu'en 2027 en orange. Sous la chronologie, États membres sous forme de pastilles. Vert pour l'Allemagne avec un projet de septembre 2025. Orange pour les Pays-Bas, l'Autriche, l'Irlande, la Belgique, l'Espagne et la Pologne à vérifier. Rouge pour la France et l'Italie où un retard significatif est attendu. Note de bas de page indiquant que le statut date du 15 mai 2026.Directive (UE) 2024/2853 : chronologie et état des transpositionsdéc 2024déc 2025déc 2026déc 2027Vague de transposition par les États membres (2025 à 2027)8 déc 2024Entrée envigueur9 déc 2026Échéance de transpositionDirective applicable aux nouveaux produitsÉtat des transpositions (au 15 mai 2026)Allemagneprojet, sept 2025Pays-Basà vérifierAutricheà vérifierIrlandeà vérifierBelgiquevérifierEspagneà vérifierPologneà vérifierFranceretard significatif attenduItalieaucun progrès publicLe 9 décembre 2026 est l'échéance européenneLa disponibilité réelle des recours dans votre juridiction dépend de la transposition nationale.La France et l'Italie sont largement attendues en retard. Re-vérifiez le statut.Statut au 15 mai 2026. Sources : directive (UE) 2024/2853, portail Marché unique de la Commission, suivis législatifs nationaux.Re-vérifiez avant de vous y fier.
Le 9 décembre 2026 est l'échéance européenne. La transposition nationale détermine si le recours est réellement disponible dans votre juridiction.

La version courte

La directive (UE) 2024/2853 abroge la directive de 1985 sur la responsabilité du fait des produits défectueux et la remplace par un régime qui traite les logiciels et les systèmes d'IA comme des produits. Les États membres doivent la transposer avant le 9 décembre 2026. À partir de cette date, elle s'applique aux produits mis sur le marché ou en service après le basculement. En Belgique, la directive de 1985 est aujourd'hui transposée au Livre XVII du Code de droit économique. Les produits antérieurs au 9 décembre 2026 restent sous ce régime.

Le changement principal : une personne physique lésée peut agir contre le fabricant d'un logiciel ou système d'IA défectueux sans avoir à prouver la faute. Elle doit toujours démontrer la défectuosité, le dommage et le lien de causalité, mais la charge probatoire est allégée par les obligations de divulgation de preuves et les présomptions réfragables. Les logiciels libres développés et fournis hors d'une activité commerciale sont exclus en vertu de l'article 2(2).

La plupart des PME belges sont concernées comme demandeurs potentiels, lorsqu'un outil d'IA défectueux cause un dommage à vous, à un salarié ou à un client. Un plus petit nombre, celles qui vendent des produits numériques tels que templates, plugins, SaaS ou services pilotés par IA, peut elle-même devenir fabricant. L'article pilier sur qui est responsable lorsque l'IA construit votre site en Belgique couvre le scénario pratique PME dont cet article est l'approfondissement.

Ce qui change vraiment le 9 décembre 2026

Le logiciel est désormais un "produit" (article 4)

L'article 4 étend le "produit" à tous les biens meubles, à l'électricité, aux fichiers de fabrication numérique, aux matières premières et aux logiciels. Le considérant 13 confirme que le logiciel est un produit quelle que soit la modalité de fourniture : téléchargement, intégration, SaaS ou cloud. Les systèmes d'IA tels que définis par le règlement IA entrent dans le champ. Le nouveau régime traite le logiciel directement.

Responsabilité sans faute pour la personne lésée (article 6)

Une personne physique lésée peut agir contre le fabricant sans démontrer la faute. Elle doit établir trois éléments : la défectuosité, le dommage et le lien de causalité. L'article 10 introduit des présomptions réfragables dans des cas définis, un allègement significatif face à des systèmes d'IA opaques.

Dommages couverts : décès, préjudice corporel y compris psychologique, dommages aux biens privés et destruction de données non professionnelles. Les pertes purement économiques et les dommages aux biens à usage professionnel restent hors champ.

Divulgation de preuves (article 9)

L'article 9 oblige les défendeurs dans les affaires technologiquement complexes à divulguer les preuves pertinentes sur ordonnance judiciaire, sous protection de la confidentialité. Cela répond au fait que les modèles d'IA propriétaires sont des boîtes noires. Un demandeur qui établit la plausibilité de sa demande peut obtenir la divulgation.

Liste élargie des opérateurs économiques responsables (article 8)

La responsabilité ne s'arrête pas au fabricant. Importateurs, mandataires, prestataires de fulfilment, distributeurs et, dans certains cas, plateformes en ligne peuvent également être responsables, surtout lorsqu'aucun fabricant établi dans l'UE ne peut être identifié. La directive maintient un recours ouvert même quand le développeur se trouve hors UE.

Quand les nouvelles règles s'appliquent à vous

Comparaison côte à côte des recours en responsabilité sans faute sous la DRP 2024/2853 et des recours contractuels contre votre prestataire.Comparaison en deux colonnes opposant le régime de responsabilité sans faute de la directive responsabilité produits 2024/2853 applicable au 9 décembre 2026 aux recours contractuels contre une agence ou un développeur. La colonne DRP montre que les personnes physiques lésées peuvent agir pour préjudice corporel et dommage aux biens privés contre les fabricants, importateurs et autres opérateurs économiques, avec allègement probatoire. Les pertes économiques pures et les biens professionnels sont exclus. La colonne contractuelle montre que le propriétaire du site peut agir contre son prestataire pour ce que prévoit le contrat. Les deux recours fonctionnent en parallèle.Deux recours distincts pour deux dommages distinctsResponsabilité sans faute (DRP 2024/2853)À partir du 9 décembre 2026Qui peut agirPersonnes physiques lésées.Charge de la preuveDéfectuosité plus dommage pluscausalité, allégée par l'art. 9.Dommages couvertsDécès, préjudice corporel,biens privés, destruction dedonnées non professionnelles.Contre quiFabricant, importateur, distributeur,mandataire, fulfilment, danscertains cas plateformes en ligne.ExcluPertes économiques pures, biensprofessionnels, produits pré-2026.Exception open sourceOui (art. 2(2), considérant 14).Recours contractuel contre l'agenceVoie existante, inchangéeQui peut agirPropriétaire du site (cocontractant).Charge de la preuveManquement contractuel, dommage,causalité. Règles standard.Dommages couvertsCe que le contrat couvre :coûts de remédiation,remboursement, dommages-intérêts.Contre quiVotre agence ou freelance.ExcluTout ce qui sort du contrat.Exception open sourceSans objet.Les deux voies fonctionnent en parallèle. Le même incident peut ouvrir les deux recours, aucun ou un seul.
Les deux voies de recours comptent. Aucune ne remplace la responsabilité du responsable de traitement RGPD vis-à-vis de l'APD.

En tant que demandeur. Si un outil d'IA défectueux cause un dommage à une personne physique, la DRP ouvre à cette personne un recours sans faute contre le fabricant. Les demandeurs réalistes sont des salariés, des clients ou des tiers atteints via votre site, pas la PME pour ses pertes commerciales. Un agent conversationnel d'IA qui nuit à un client, un assistant médical d'IA qui mal classe un symptôme, une faille dans un outil de code IA aux défauts de sécurité qui cause une perte de données privées : voilà les scénarios.

En tant que fabricant. Si vous vendez un produit numérique, vous pouvez entrer dans la définition de fabricant de l'article 4(11). Exemples : un plugin WordPress, un abonnement SaaS, un outil en ligne, un service piloté par IA. Vous pouvez aussi devenir fabricant par "modification substantielle" (article 4(18), article 8(2)). Pour la plupart des PME belges, ce scénario de défendeur est peu probable.

Ce qui est exclu

  • Les logiciels libres développés hors d'une activité commerciale sont exclus par l'article 2(2). Le considérant 14 dit que les logiciels libres fournis contre paiement ou en échange de données personnelles rentrent dans le champ. Un plugin amateur offert gratuitement reste hors champ. Un plugin "gratuit" qui exige une inscription par email peut ne pas l'être.
  • Les dommages aux biens à usage professionnel ne sont pas couverts. La DRP protège les biens privés.
  • Les pertes purement économiques ne sont pas couvertes. Manque à gagner, contrats perdus et atteinte à la réputation restent hors champ. Suivez ces voies par contrat ou droit national belge (responsabilité extra-contractuelle, articles 1382 et suivants de l'ancien Code civil).
  • Les produits mis sur le marché avant le 9 décembre 2026 restent sous le Livre XVII du Code de droit économique.
  • Les dommages liés aux accidents nucléaires couverts par les conventions internationales sont exclus à l'article 2(3).

Transposition par les États membres : la réalité du terrain

Chaque État membre doit transposer avant le 9 décembre 2026. Mi-mai 2026, la vague n'a pas culminé. L'Allemagne a publié un projet en septembre 2025 et est attendue à transposer dans les temps. La France est largement attendue en retard. L'Italie n'a montré aucun progrès public.

La position belge au moment de l'écriture : le SPF Économie et le SPF Justice préparent la transposition, vraisemblablement par modification du Livre XVII du Code de droit économique. Au 15 mai 2026, aucun avant-projet n'a été publié. Vérifiez auprès du portail Marché unique de la Commission et du Moniteur belge avant d'agir. Si votre juridiction n'a pas transposé au 9 décembre 2026, l'ancien régime de 1985 y reste pour le moment.

Comment cela diffère du règlement IA et du RGPD

La DRP, le règlement IA et le RGPD sont trois instruments distincts pour trois questions distinctes. Ils fonctionnent en parallèle.

Règlement IA. Le règlement (UE) 2024/1689 régit la mise sur le marché des systèmes d'IA dans l'UE : classification des risques, transparence, évaluation de conformité. Il ne crée pas en soi de responsabilité civile. Un manquement à l'article 50 ne génère pas automatiquement un recours DRP. L'article compagnon sur ce que le règlement IA demande aux éditeurs de sites couvre l'article 50 transparence, applicable au 2 août 2026, soit quatre mois avant la DRP.

RGPD. Le règlement (UE) 2016/679 régit le traitement des données personnelles. Le responsable de traitement est la personne qui détermine les finalités et les moyens. L'Autorité de protection des données sanctionne le responsable de traitement, pas l'outil d'IA. Rien de tout cela ne change le 9 décembre 2026. Le cadre de responsabilité RGPD du responsable de traitement se place à côté de la DRP, pas en dessous.

DRP. La directive (UE) 2024/2853 crée un recours civil pour les dommages causés par des produits défectueux. Un recours DRP se joue entre une personne physique lésée et un fabricant ou opérateur économique listé. Vous pouvez avoir un recours DRP sans manquement au règlement IA. Vous pouvez avoir un manquement au règlement IA sans recours DRP.

Ce que la DRP ne fait pas

La DRP ne crée pas de recours pour les pertes purement économiques. Si un outil d'IA défectueux vous fait perdre un contrat, c'est une affaire contractuelle ou de responsabilité civile classique. Elle ne s'applique pas rétroactivement.

Elle ne change pas qui est le responsable de traitement RGPD. L'APD continue de sanctionner l'exploitant du site. La vérification RGPD d'un site web belge reste pertinente pour les obligations qui pèsent sur vous, pas sur l'outil d'IA. Et elle ne remplace pas la directive sur la responsabilité de l'IA, formellement retirée en octobre 2025. La DRP est plus étroite que la proposition retirée.

Cinq enseignements pratiques pour votre entreprise

  1. Si vous vendez des produits numériques, documentez vos processus de sécurité. Sous l'article 9, un juge belge peut ordonner la divulgation de preuves internes. Tenez journaux de versions, comptes rendus de tests et piste d'audit.
  2. Si vous utilisez des outils d'IA pouvant causer un dommage à une personne physique, vérifiez vos clauses de garantie fournisseur. Votre fournisseur doit porter le risque, pas vous. Une clause d'indemnisation claire est le levier.
  3. Conservez les journaux de versions et de prompts pour les outils d'IA critiques. Assistants de code, agents conversationnels et systèmes de décision laissent peu de traces par défaut.
  4. Si vous maintenez un logiciel libre, ne supposez pas que l'exception d'activité non commerciale s'applique. Le critère dépend de votre modèle économique. Double licence, support payant et combinaison données-contre-service peuvent vous réintégrer dans le champ via le considérant 14.
  5. Les produits anciens ne sont pas couverts rétroactivement. Les produits mis sur le marché avant le 9 décembre 2026 restent sous le Livre XVII du Code de droit économique.

Notre audit de conformité gratuit vérifie RGPD, cookies, accessibilité et droits sur les images sur votre site. Il ne vérifie pas la conformité DRP directement : la DRP est un cadre de responsabilité civile, pas un ensemble de contrôles techniques. Ce qu'il fait, c'est confirmer que le site lui-même est sain sur les points machinaux.

Questions fréquentes

La nouvelle directive responsabilité produits s'applique-t-elle au Royaume-Uni ?

Non. Le Royaume-Uni n'est pas lié par la directive (UE) 2024/2853. La responsabilité produits britannique relève du Consumer Protection Act 1987 et du droit européen retenu. Une PME belge qui vend au Royaume-Uni n'est pas concernée pour cette activité, mais reste soumise à la DRP pour les ventes UE.

Quand la nouvelle directive entre-t-elle réellement en application en Belgique ?

À partir du 9 décembre 2026, pour les produits mis sur le marché ou en service après cette date, une fois la transposition belge entrée en vigueur. Le Livre XVII du Code de droit économique transposant la directive de 1985 continue de s'appliquer aux produits antérieurs.

Je maintiens un plugin open source gratuit. Suis-je fabricant ?

Si votre projet opère en dehors d'une activité commerciale, l'article 2(2) vous exclut. Si vous facturez du support, proposez une double licence commerciale ou acceptez des données personnelles en contrepartie du service, le considérant 14 dit que vous pouvez être réintégré dans le champ. Demandez un avis spécifique.

Une victime belge peut-elle attaquer OpenAI ou Anthropic ?

Potentiellement oui, à partir du 9 décembre 2026, mais uniquement pour les dommages aux personnes physiques, comme un préjudice corporel ou la destruction de données privées. Les pertes purement commerciales ne sont pas couvertes. Vous devez encore démontrer la défectuosité, le dommage et le lien de causalité.

Cela change-t-il mes obligations RGPD existantes ?

Non. L'Autorité de protection des données continue d'appliquer le RGPD au responsable de traitement de votre site. La DRP ouvre un nouveau pas de recours contre les fabricants d'IA pour les dommages aux personnes physiques. Elle ne remplace pas la sanction APD contre vous.

Pour aller plus loin

Cet article est une analyse technique, pas un avis juridique. L'auteur n'est pas votre avocat. Pour un avis contraignant, parlez-en à un avocat.

Partager cet article

Vérifiez votre site web maintenant

Analysez votre site web pour les problèmes de RGPD et confidentialité et plus de 30 autres vérifications.

Lancer le check gratuit

Guides pour votre site web

Exigences bannière cookies Belgique : règles APD 2026

Ce que votre bannière cookies doit contenir sous la loi du 13 juin 2005 et l'APD. Boutons égaux, texte trilingue, sans dark patterns, checklist incluse.

Site construit par IA en Belgique : qui paie devant l'APD ?

Votre prestataire a utilisé Cursor ou Lovable. Si le site enfreint le RGPD ou la loi cookies, l'APD vous sanctionne, pas OpenAI. Ce qui change en 2026.

Bannière cookies Belgique : règles et amendes APD

Ce que l'APD exige pour votre bannière cookies en Belgique. Dark patterns, bouton Tout refuser, décisions Roularta et Mediahuis. Vérification gratuite.

Obligations RGPD PME Belgique : checklist 2026

Obligations RGPD pour les PME belges en 2026 : checklist pratique des mentions obligatoires, des amendes de l’APD et un scan gratuit du site.

Audit RGPD site web Belgique : guide PME et APD

Comment auditer votre site web pour la conformité RGPD en Belgique. APD, loi 30 juillet 2018, TCF 2022, politique de confidentialité bilingue bruxelloise.