Fermer la publicité
Journal d'information juridique et d'annonces légales

L'avenir juridique des voitures autonomes

le - - Droit - Actualité du droit

L'avenir juridique des voitures autonomes
© Adobe Stock

L'émergence récente de la voiture autonome, et surtout l'autorisation de l'expérimentation de ces véhicules sur les voies publiques en France, donnent lieu à des problématiques nouvelles, d'autant plus alarmantes que certains experts prévoient une généralisation de leur usage à l'horizon 2040.

Deux risques majeurs méritent en effet d'être soulevés. Tout d'abord, si le développement de cette intelligence artificielle devrait à terme accroître la sécurité routière, les accidents de voitures autonomes causant des dommages corporels n'en seront pas pour autant inexistants. Sur qui reposera alors la responsabilité pénale liée à l'infraction ? La responsabilité du fait des choses n'existant pas en droit pénal, faudrait-il condamner le conducteur bien qu'il n'ait pas la maîtrise du véhicule ? Irait-on au contraire vers une dépénalisation de fait ? Le droit pénal nécessite une adaptation urgente de son régime de responsabilité. Le second risque concerne le droit des données. En effet, plus le niveau d'automatisation des véhicules est élevé, plus le traitement des données personnelles est conséquent et donc susceptible de failles. Une régulation renforcée tendant à protéger les données personnelles des utilisateurs de voiture autonome est alors essentielle.

Dans quelles mesures l'état du droit pénal et de la protection des données est-il suffisant pour pallier les risques que soulève l'usage de la voiture autonome ?

La responsabilité pénale : un régime juridique inapproprié et insuffisant aux voitures autonomes

Il existe en matière de circulation routière deux types d'infractions, les infractions de réglementation, correspondant essentiellement au non-respect du Code de la route, et les infractions relatives aux accidents de la route. Si le droit pénal paraît s'adapter correctement aux premières dans le cadre des véhicules autonomes, il semble insuffisant et inapproprié pour la seconde catégorie. En effet, lors d'un accident de la route causant la mort d'un individu ou le blessant, les infractions d'homicide ou de blessures involontaires sont imputées au conducteur du véhicule. L'article 121-3 du Code pénal précise que dans le cas d'homicide ou de blessures causées par imprudence, la responsabilité pénale varie selon la nature directe ou indirecte du lien de causalité entre la faute et le dommage. Ainsi, si le lien est direct, l'auteur est responsable de la totalité de sa négligence. En revanche, si le lien est indirect, une faute délibérée ou caractérisée doit être établie pour que l'auteur soit condamné. En général, lorsque survient un tel accident, le conducteur d'un véhicule classique est qualifié d'auteur direct. Un auteur indirect se définit par sa création ou sa contribution à la situation ayant permis la réalisation du dommage ou par le fait de n'avoir pas pris les mesures permettant de l'éviter[1]. Si l'on applique ce raisonnement au conducteur d'un véhicule autonome, celui-ci serait donc plus spontanément qualifié d'auteur indirect étant donné qu'il n'existe pas de lien direct entre la faute du conducteur et le dommage. Par ailleurs, aucune faute d'imprudence ou de négligence ne semble pouvoir lui être reprochée s'il ne maîtrisait pas le véhicule lors de l'accident, celui-ci étant contrôlé par l'intelligence artificielle du système de conduite autonome (SCA). L'opérateur du véhicule échapperait-il alors à toute sanction en raison de l'autonomie de sa voiture ? Aucune faute de négligence ne pourrait être avancée dès lors que la maîtrise du véhicule ne dépend plus du conducteur mais du SCA. Une dépénalisation de fait serait donc en jeu si l'opérateur de la voiture autonome n'a plus aucun contrôle lorsqu'il active le SCA. Des difficultés apparaissent alors quant à la qualification du débiteur de l'obligation d'indemniser les victimes. Un conducteur était en effet défini par la doctrine comme la personne physique ayant la maîtrise matérielle et intellectuelle du véhicule[2]. Par conséquent, le régime juridique applicable en matière de responsabilité pénale paraît insatisfaisant au regard des véhicules à délégation de conduite. Une responsabilité du fait des choses paraîtrait plus appropriée à ce cas particulier, cependant celle-ci n'existe pas en droit pénal.

Trois principales solutions ont semblé émerger de la doctrine. La première consiste en la création d'une responsabilité propre au véhicule autonome ; toutefois celle-ci remet en cause le principe de responsabilité du fait personnel. La deuxième hypothèse serait de juger que le conducteur, quand bien même son système de délégation de conduite serait activé, conserve la maîtrise intellectuelle et matérielle du véhicule, et est donc soumis à une obligation de prudence justifiant sa qualité de conducteur et donc de responsable pénalement en cas d'accident[3]. Enfin, la troisième possibilité envisagée distingue selon que le système de délégation de conduite est activé ou non. S'il est activé, l'opérateur n'est pas considéré comme le conducteur, et une personne morale devra être désignée comme conductrice préalablement, à la place du système de délégation de conduite. En revanche, s'il est désactivé l'opérateur retrouve sa qualité de conducteur.

Ces incertitudes quant à l'imputation de responsabilité applicable en matière de véhicules autonomes et les évolutions législatives rendues nécessaires ont donné lieu à de nouvelles réglementations ces dernières années, notamment à travers la loi Pacte.

Le gouvernement a tout d'abord été habilité, par la loi n° 2015-992 du 17 août 2015 relative à la transition énergétique pour la croissance verte, à prendre par voie d'ordonnances des mesures pour permettre la circulation en délégation totale ou partielle de conduite. Ensuite l'ordonnance n° 2016-1057 du 3 août 2016 a rendu possible l'expérimentation des véhicules autonomes sur les voies publiques.

Plus récemment, la loi PACTE (plan d'action pour la croissance et la transformation des entreprises), adoptée définitivement le 11 avril 2019 et promulguée le 22 mai 2019, a établi un cadre juridique pour l'expérimentation de véhicules autonomes, allant jusqu'au niveau 5 d'automatisation, c'est-à-dire le niveau maximal. En matière de responsabilité pénale en cas d'accidents, cette loi a modifié l'ordonnance du 3 août 2016 par son article 125. Une autorisation préalable est désormais nécessaire pour réaliser une expérimentation de véhicule autonome[4]. La responsabilité pénale en cas d'accident entraînant un dommage corporel repose alors sur le titulaire de cette autorisation d'expérimentation si deux conditions sont remplies : le système de conduite autonome doit avoir été activé par le conducteur et fonctionner conformément à ses conditions d'utilisation, et il doit être informé par l'intelligence artificielle que celle-ci est « en état d'observer les conditions de circulation et d'exécuter sans délai toute manœuvre à ses lieux et place »[5]. Il est alors responsable dans les conditions de l'article 121-3 du Code pénal, c'est-à-dire qu'une faute délibérée ou caractérisée sera requise afin d'engager sa responsabilité pénale. Si une personne morale détient l'autorisation, aucune faute d'une certaine gravité ne devra être démontrée, et elle portera nécessairement la responsabilité pénale. Dès que le conducteur a désactivé le système, il retrouve la maîtrise du véhicule et sa responsabilité pénale est susceptible d'être engagée. Cette dernière sera également engagée dès lors qu'il a « ignoré la circonstance évidente, que les conditions d'utilisation du système de délégation de conduite, définies pour l'expérimentation, n'étaient, pas ou plus remplies »[6]. Cette solution prévue par la loi PACTE a été vivement critiquée par le Conseil d'Etat, qui estimait que la loi déchargeait le conducteur de toute obligation de vigilance et d'attention lorsque le système est activé. Par ailleurs, cette réglementation paraît insatisfaisante au regard du droit pénal puisque l'infraction n'est plus attachée à la personne qui y a participé ou l'aurait commise. Cette règle constitue une situation inédite et une exception au principe de responsabilité du fait personnel. Enfin, cette loi ne prévoit que peu la responsabilité pénale de l'utilisateur d'un véhicule autonome puisqu'elle se limite au contexte de l'expérimentation.

Compte tenu de ces nouveaux enjeux, la loi du 24 décembre 2019 d'orientation des mobilités (LOM) a eu pour objectif, dans ses articles 31 et 32, de mettre en place un cadre juridique nécessaire au développement des véhicules autonomes. Ainsi, le gouvernement dispose de 24 mois pour décider des conditions de circulation ainsi que du régime applicable, notamment en matière pénale, à ce type de véhicules. C'est ainsi qu'a vu le jour, tout récemment, l'ordonnance du 14 avril 2021 qui fixe notamment les responsabilités du conducteur, du constructeur, des concepteurs de systèmes d'automatisation, en fonction des circonstances sur la route et de l'activation ou non du système de délégation de conduite. Elle confirme que le conducteur n'est pas pénalement responsable des infractions commises pendant la période d'action du système délégué. Elle mentionne toutefois que ce conducteur « doit se tenir constamment en état et en position de répondre à une demande de reprise en main du système de conduite automatisé »[7]. Elle ajoute par ailleurs que le constructeur est pénalement responsable lorsqu'une faute est établie alors que le système de conduite automatique fonctionne.

Afin d'établir cette responsabilité pénale du constructeur, il est indispensable de pouvoir accéder aux données du dispositif d'enregistrement des données du système de délégation de conduite. Si des évolutions en matière de droit pénal sont encore attendues pour adapter le régime de responsabilité aux véhicules autonomes, le droit de la protection des données personnelles mérite lui aussi d'être renforcé.

Les risques juridiques en matière de traitement des données personnelles

L'usage de la voiture 2.0 présente un réel défi en matière de protection des données. Plus la voiture atteint un niveau d'autonomie élevé, plus ses facultés de traitement des données sensibles de son utilisateurs augmentent. Ainsi, une voiture entièrement automatisée, de niveau 5, sera en mesure de géolocaliser en temps réel son utilisateur, opérer un traçage de ses habitudes de vie, voire même de détecter le nombre de passagers transportés[8]. Au regard de ces facultés, l'industrie automobile doit veiller à ne pas privilégier la course à l'innovation technologique au détriment de la protection des données personnelles de ses utilisateurs.

Le traitement des données par nos véhicules n'est pourtant pas nouveau. Sans atteindre le degré d'autonomie qui caractérise la voiture 2.0, la voiture actuelle collecte et stocke déjà nos données. Le GPS intégré à nos ordinateurs de bord enregistre nos trajets quotidiens, dès lors que ce dernier est allumé. De la même manière, le système à bord enregistre les données relatives à notre téléphone, dès l'instant où on le synchronise en Bluetooth au système pour diffuser de la musique ou passer des appels en mode mains-libres. Rien que l'équipement d'une voiture en capteurs de freinage suffit à lancer la collecte de données, nécessaire à la mise en garde du conducteur si un danger se présente. Une étape décisive sera toutefois franchie en permettant à la voiture autonome de ne plus se limiter à les stocker en interne mais à les transférer à des acteurs extérieurs[9].

En effet, c'est le traitement, par des outils d'intelligence artificielle, des données collectées par la voiture de son environnement externe et interne qui permet de l'automatiser. L'exploitation des données personnelles conditionne l'arrivée sur le marché de la voiture 2.0. Elle n'est plus une simple centrale de stockage de données personnelles. Elle les analyse et les transfère à d'autres acteurs. Parmi ces derniers, figure en tête l'ERD - système d'enregistreur de données des événements de la route - qui a vocation à mémoriser les dernières secondes précédant un accident afin de mieux comprendre, à son issue, les causes techniques l'ayant provoqué. La systématisation de son usage, accompagnée par son importante capacité de stockage des données fournies par le véhicule, pose la problématique de sa légalité : combien de temps les données collectées peuvent-elles être conservées de façon à respecter le principe de minimisation et de la finalité du traitement imposé par le RGPD ?

Le risque s'accentue au regard de la nature du traitement des données. Ce n'est plus uniquement la donnée personnelle de l'utilisateur qui va être exploitée (par exemple, sa localisation à un temps T) mais le flux continu des données échangées en temps réel entre la voiture autonome et son environnement. Flux d'autant plus important que la technologie des voitures autonomes permet à ces dernières d'être dotées de pas moins de 150 capteurs produisant 25 Go de données à l'heure - volume instantanément analysé par la soixantaine d'ordinateurs dont elle est équipée.

Il est donc important que la course à l'innovation technologique qui la caractérise, bien que n'ayant aujourd'hui quasiment plus de limite, soit bridée par de solides garde-fous juridiques, afin de concilier protection de son utilisateur et avancée technique. Sans ce partenariat, la protection de la vie privée des usagers peut être mise en danger à leur insu.

Les fondations d'un système juridique compétent pour réguler la voiture autonome sont déjà posées en France. À l'ère du digital, le potentiel de collecte des données est en effet vaste, les moyens de les violer sont accessibles et bon marché et les dommages potentiels sont élevés et imprévisibles.

Deux niveaux d'interventions ont progressivement émergé. A l'échelle communautaire, le traité de Lisbonne consacre, en décembre 2009, par son article 8, le droit à la protection des données personnelles. Additionnellement, ce dernier est intégré aux droits protégés par l'article 8 de la CEDH, qui garantit le droit au respect de la vie privée et familiale, du domicile et de la correspondance et fixe les conditions dans lesquelles des restrictions de ce droit sont autorisées. Le 4 mai 2016, deux nouveaux actes normatifs se sont ajoutés au paquet législatif sur la réforme de la protection des données :

le Règlement général de l'UE sur la protection des données (RGPD) 2016/679 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données d'une part, et
la Directive (UE) 2016/680 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités répressives compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données[10], d'autre part.

En France, la protection des données personnelles existe depuis la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (Loi Informatique et Libertés). Sa portée a été renforcée le 7 octobre 2016 par la Loi n°2016-1321 pour une République numérique, entrée en vigueur pour modifier les lois régissant divers aspects de l'économie numérique en France. Elle renforce les pouvoirs de la CNIL d'imposer des amendes administratives et reconnaît de nouveaux droits aux individus leur permettant de décider et de contrôler les utilisations qui sont faites de leurs données personnelles[11]. Cette loi est considérée comme une première étape vers la mise en œuvre du RGPD communautaire. Plus récemment, une seconde étape a été franchie en 2018, avec une nouvelle loi relative à la protection des données personnelles (la loi n°2018-493 promulguée le 20 juin 2018)[12]. Cette dernière renforce les pouvoirs de contrôle et de sanctions de la CNIL qui peuvent désormais atteindre un montant de 10 à 20 millions d'euros pour une personne physique ou de 2 à 4% du CA annuel mondial de l'entreprise en faute.

Depuis 2016, la CNIL s'intéresse à la problématique exclusive des véhicules connectés. Elle a publié dans le cadre de ses travaux, un “pack de conformité”[13] qu'elle offre comme une solution pour permettre aux professionnels du secteur de se conformer aux dispositions du RGPD. Le premier outil de ce pack est la responsabilisation de l'utilisation des données. Le concepteur du véhicule doit s'interroger sur le traitement qui va être fait des données de l'utilisateur. Pour l'y aider, le pack envisage trois scénarios :

  • les données du véhicule ne sont pas transmises au fournisseur de services (scénario 1 in → in)
  • les données du véhicule sont transmises au fournisseur de services, sans déclencher à distance d'action automatique dans le véhicule (scénario 2 in → out)
  • les données du véhicule sont transmises au fournisseur de services pour déclencher à distance une action automatique dans le véhicule (scénario 3 in → out → in)

A chaque scénario correspond un régime de traitement spécifique, au sein duquel la CNIL met en garde des éventuels dangers ou abus et dresse une liste de recommandations / bonnes pratiques adaptées au scénario retenu. Considérons par exemple le scénario 3. La CNIL détermine d'abord les finalités poursuivies par le traitement des données et en retient deux : la maintenance à distance et l'amélioration de l'expérience de conduite. Elle pose ensuite la base légale qui leur est applicable, en l'espèce l'exécution du contrat auquel la personne concernée a choisi de souscrire. Elle rappelle à ce stade la nature des données en droit d'être collectées, ici seules les données nécessaires à la finalité poursuivie par le traitement (établissement d'une liste non exhaustive). Elle formule enfin ses recommandations portant tant sur la durée de leur conservation que sur l'obligation d'information des personnes etc.

Pour conclure, rappelons l'importance d'un dialogue nourri entre les acteurs juridiques et les acteurs industriels en matière d'innovation technologique. Les avancées techniques rapprochent la voiture autonome de la réalité et l'éloigne du rêve. Le droit n'a pas encore pris toute la mesure de cette avancée. Il est urgent que des gardes fous adaptés soient mis en place - urgence à laquelle la CNIL a commencé à répondre, avec sa proposition d'un pack Conformité. Un pas supplémentaire pourrait toutefois, à notre sens, être franchi en donnant à l'usager un réel contrôle dans le traitement de ses données. C'est par exemple la proposition du think tank Génération Libre de Gaspard Koenig qui se propose de conférer un droit de propriété aux individus sur leurs données personnelles.

Chronique « Droit, Juriste et Pratique du Droit Augmentés »

Cette chronique a pour objectif, de traiter de questions d'actualité relatives à cette transformation. Dans un contexte où le digital, le big data et le data analytics, le machine learning et l'intelligence artificielle transforment en profondeur et durablement la pratique du droit, créant des « juristes augmentés » mais appelant aussi un « Droit augmenté » au regard des enjeux et des nouveaux business models portés par le digital.

Avec son Augmented Law Institute, l'EDHEC Business School dispose d'un atout majeur pour positionner les savoirs, les compétences et la fonction du juriste au centre des transformations de l'entreprise et de la société. Il se définit autour de 3 axes de développement stratégiques : son offre de formations hybrides, sa recherche utile à l'industrie du droit, sa plateforme de Legal Talent Management. https://www.edhec.edu/fr/ledhec-augmented-law-institute

[1] M. Benejat, Le droit pénal des véhicules autonomes : éléments d'actualité , DALLOZ, 16 avril 2019

[2] L. Teresi, , Véhicule à délégation de conduite et risque automobile : une lecture juridique, 2020, hal-02436006f

[3] M. Benejat, préc.

[4] Article 125 de la loi Pacte modifiant l'ordonnance n° 2016-1057 du 3 août 2016 dans son Art.1

[5] Article 125 de la loi PACTE modifiant l'ordonnance n° 2016-1057 du 3 août 2016 dans son Art.2-2

[6] Article 125 de la loi PACTE modifiant l'ordonnance n° 2016-1057 du 3 août 2016 dans son Art.2-1

[7] Ordonnance du 14 avril 2021 modifiant l'article L.123-1 du code de la route

[8] I. Malard, Véhicules autonomes : ce que prévoit la loi Pacte, L'argus de l'assurance 12 juin 2019

[9] L. Teresi, préc.

[10] M.-J. Loyer-Lemercier, Responsabilité extracontractuelle - Responsabilité du fait des choses - Droit et assurance : risques et enjeux des véhicules autonomes, BRDA 2/2019 (Chronique)

[11] Loi n° 2016-1321 du 7 octobre 2016 pour une République numérique, JORF n°0235 du 8 octobre 2016

[12] CNIL, Entrée en vigueur de la nouvelle loi Informatique et Libertés, 04 juillet 2018

[13] CNIL, Véhicules connectés : un pack de conformité pour une utilisation responsable des données, 17 octobre 2017




Ses derniers articles

Abonnez-vous à l'offre Papier + Numérique

Affiches Parisiennes Journal d'information juridique et d'annonces légales

  • ›   Pour plus de contenu, papier + web
  • ›   l’accès aux annonces légales,
  • ›   l’accès aux ventes aux enchères.
Je m'abonne

À lire également


Réagir à cet article

Message déjà envoyé Adresse e-mail non valide


Fermer
En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies et de technologies similaires par notre société ainsi que par des tiers, afin de réaliser des statistiques d'audiences et de vous proposer des services éditoriaux et la possibilité de partager des contenus sur des réseaux sociaux. En savoir plus / paramétrer