La nouvelle responsabilité du fait des produits de l’UE dès décembre 2026 : ce que les e-commerçants et fabricants doivent savoir
Le 9 décembre 2026, une nouvelle directive européenne sur la responsabilité du fait des produits remplace la loi allemande sur la responsabilité du fait des produits de 1989. C’est la première modernisation fondamentale depuis plus de 35 ans – et elle ne touche pas que les fabricants classiques. Quiconque importe des marchandises hors UE, utilise ou propose du fulfilment, vend des logiciels ou des appareils connectés : pour de nombreux e-commerçants, la situation en matière de responsabilité change sensiblement. Cet article explique ce qui est nouveau, qui est concerné et ce que vous devez vérifier avant la date butoir.

À partir de quand quoi s’applique
La directive (UE) 2024/2853 est entrée en vigueur le 8 décembre 2024. Les États membres doivent la transposer en droit national d’ici le 9 décembre 2026. En Allemagne, un projet gouvernemental existe (BT-Drs. 21/4297) pour remplacer la loi actuelle ; les débats parlementaires sont en cours.
Important en pratique : les nouvelles règles s’appliquent aux produits mis sur le marché ou mis en service après le 9 décembre 2026. Pour les produits antérieurs, l’ancien droit reste déterminant. Ce qui compte, c’est donc le moment où un produit donné arrive pour la première fois sur le marché.
Ce qui change
Les logiciels et l’IA comptent désormais comme produits
La nouveauté la plus importante est sans doute l’élargissement de la notion de produit. Jusqu’ici, la responsabilité du fait des produits s’attachait aux biens meubles. Désormais, les logiciels et les systèmes d’IA sont expressément couverts – que le logiciel soit installé sur un appareil, obtenu depuis le cloud ou exploité en software-as-a-service. Les firmwares, systèmes d’exploitation, applications et composants numériques intégrés aux appareils en relèvent aussi. Les fabricants peuvent ainsi être responsables sans faute des dommages causés par des produits numériques défectueux.
La notion de défaut se concentre sur la sécurité – y compris la cybersécurité
Le caractère défectueux d’un produit se mesurera désormais non plus principalement à son aptitude à l’usage, mais à la sécurité que l’on est en droit d’attendre. La nouveauté est que les exigences de cybersécurité en font expressément partie. Un produit peut donc être jugé défectueux du seul fait qu’une faille de sécurité est exploitée. Les exigences de cadres comme le Cyber Resilience Act peuvent ainsi devenir pertinentes pour la responsabilité.
Davantage d’acteurs peuvent être responsables – cela concerne directement les commerçants
C’est ici que cela devient concret pour le commerce. Le fabricant peut toujours être responsable. Si le fabricant est établi hors de l’UE, c’est l’importateur qui répond. La nouveauté est qu’en outre le mandataire UE du fabricant et le prestataire de fulfilment peuvent être tenus responsables. Est considéré comme prestataire de fulfilment quiconque fournit au moins deux services tels que l’entreposage, l’emballage ou l’expédition. Et, sous certaines conditions, les fournisseurs et les exploitants de plateformes en ligne peuvent aussi être responsables.
En pratique : quiconque importe des marchandises d’un pays hors UE et les revend peut se retrouver en première ligne en tant qu’importateur – même s’il n’a pas fabriqué le produit lui-même. Si le fabricant est introuvable, l’acteur suivant de la chaîne avance. Si vous vous approvisionnez de toute façon dans des pays tiers, il vaut la peine de regarder en parallèle les changements douaniers que nous avons décrits dans Droit de douane de 3 euros dès juillet 2026 – les deux sujets touchent le même groupe de commerçants.
La responsabilité est plus difficile à exclure
Le projet restreint les possibilités d’exonération. Pour les produits numériques, un fabricant ne peut pas invoquer que le défaut n’est apparu qu’après la mise sur le marché, tant qu’il garde le contrôle du produit – par exemple parce qu’il peut encore fournir des mises à jour ou des correctifs de sécurité. Tant que ce contrôle existe, l’exonération reste largement exclue.
Charge de la preuve : bien plus légère pour les victimes
Jusqu’ici, la personne lésée devait prouver le défaut, le dommage et le lien de causalité. Désormais, des allègements de preuve considérables s’appliquent. Les défendeurs doivent, sur demande, divulguer les informations pertinentes pour la sécurité si une demande plausible est exposée. Si une entreprise ne divulgue pas les preuves requises, un défaut du produit peut être présumé. Une présomption s’applique aussi si le dommage est survenu lors d’un usage normal à la suite d’un dysfonctionnement manifeste. Pour une technologie particulièrement complexe, un tribunal peut même retenir la responsabilité lorsque seule une probabilité suffisante de défaut ou de cause est exposée. Les secrets d’affaires doivent être protégés et la divulgation limitée à la mesure proportionnée.
Plus de plafond de responsabilité, dommages aux données indemnisables
Le plafond de responsabilité antérieur et la franchise sont supprimés. Les entreprises doivent donc, en principe, compter avec une responsabilité illimitée. En outre, pour la première fois, la destruction ou l’altération de données privées ainsi que les coûts de leur restauration deviennent indemnisables. Les risques numériques – par exemple dûs à une cybersécurité insuffisante – entrent ainsi expressément dans les dommages indemnisables.
À noter : la responsabilité sans faute vise avant tout la sphère du consommateur. Les personnes physiques peuvent agir ; les biens et données à usage purement professionnel restent exclus. Pour la sphère B2B, les règles générales de responsabilité continuent de s’appliquer en parallèle.
Qui est concrètement concerné ?
Trois configurations typiques du commerce en ligne :
Premièrement, le commerçant qui s’approvisionne en électronique ou en gadgets directement en Extrême-Orient et les vend sous son propre nom. Il peut être directement responsable en tant qu’importateur – une raison de plus de vérifier soigneusement fournisseurs et documentation produit.
Deuxièmement, le vendeur qui externalise sa logistique ou assure lui-même le fulfilment pour des tiers. Les prestataires de fulfilment entrent nouvellement dans le cercle des responsables possibles.
Troisièmement, quiconque vend ou développe des logiciels, applications ou produits connectés. Avec l’élargissement de la notion de produit, le logiciel lui-même devient un produit pertinent pour la responsabilité – y compris l’obligation de surveiller les failles de sécurité. Quiconque utilise l’IA devrait penser ce nouveau sujet de responsabilité avec les obligations de transparence que nous avons expliquées dans Marquage de l’IA dès août 2026.
Ce que vous devriez faire maintenant
Quatre étapes qui paient avant la date butoir :
- Clarifiez votre rôle dans la chaîne d’approvisionnement. Vérifiez si vous êtes fabricant, importateur, mandataire, prestataire de fulfilment ou fournisseur – votre risque de responsabilité en dépend.
- Renforcez la documentation fournisseurs et produits. Preuves de conformité, informations de sécurité et justificatifs d’approvisionnement doivent être complets et accessibles. Ils sont décisifs en cas de litige.
- Prenez la cybersécurité et les mises à jour au sérieux. Surtout pour les produits numériques et connectés, l’entretien après la vente devient pertinent pour la responsabilité.
- Vérifiez votre couverture d’assurance. Avec la suppression du plafond et l’élargissement des types de dommages, il vaut la peine d’examiner les polices de responsabilité produit existantes.
Nous avons traité des obligations connexes dans des articles dédiés : sur la sécurité des produits dans GPSR 2026 : comment les vendeurs Etsy et eBay évitent les suspensions d’annonces, sur l’emballage dans PPWR dès août 2026 et sur la protection de vos comptes dans Cybersécurité 2026 pour les indépendants.
La documentation, votre meilleure alliée
Un fil conducteur de la réforme est l’importance de dossiers propres. Les nouvelles obligations de divulgation et les règles de présomption tournent au fond autour d’une question : en cas de litige, pouvez-vous retracer et montrer d’où vient un produit, à qui il est allé, quelles informations de sécurité ont été fournies et quelles mises à jour ont été mises à disposition ? Qui peut le prouver intégralement est bien mieux placé – qui ne le peut pas risque qu’un défaut soit simplement présumé.
C’est exactement là qu’une base de données ordonnée aide. Dans PepperTools Cloud Office, vous tenez les données clients, fournisseurs et documents en un seul endroit : les documents entrants et sortants sont liés de manière traçable via le flux de documents, de sorte que le parcours de la commande à la facture se retrace sans rupture. Les documents créés sont en outre archivés de manière inaltérable et conforme à l’audit sur un stockage objet S3. Cela ne remplace pas une précaution juridique, mais crée la base traçable qui comptera davantage pour les chaînes d’approvisionnement à l’avenir – et dont vous avez de toute façon besoin pour la comptabilité et l’obligation de facturation électronique.
Questions fréquentes (FAQ)
À partir de quand s’applique la nouvelle responsabilité produit ? Aux produits mis sur le marché ou mis en service après le 9 décembre 2026. Pour les produits plus anciens, l’ancien droit reste déterminant.
Suis-je responsable en tant que commerçant, même si je ne fabrique rien ? C’est possible. Si vous importez d’un pays hors UE, vous pouvez être responsable en tant qu’importateur. Les prestataires de fulfilment et, dans certaines circonstances, les fournisseurs et exploitants de plateformes entrent aussi en ligne de compte.
Cela s’applique-t-il vraiment aussi aux logiciels ? Oui. Les logiciels et systèmes d’IA sont désormais expressément des produits – qu’ils soient installés, obtenus depuis le cloud ou exploités en SaaS.
Y a-t-il encore un plafond de responsabilité ? Non. Le plafond antérieur et la franchise sont supprimés selon le projet.
Qu’est-ce qui change pour la charge de la preuve ? Les victimes sont considérablement soulagées : par les obligations de divulgation des entreprises et les présomptions légales qui peuvent supposer un défaut du produit lorsque les preuves ne sont pas divulguées ou qu’un dysfonctionnement manifeste est présent.
Conclusion
La nouvelle responsabilité produit de l’UE élargit le cercle des responsables, intègre les logiciels et l’IA, durcit les exigences de cybersécurité et facilite l’action des victimes – tandis que le plafond de responsabilité disparaît. Pour les e-commerçants, la question centrale n’est pas “si” mais “en quel rôle” ils sont concernés. Qui connaît sa position dans la chaîne, tient sa documentation en ordre et prend la cybersécurité au sérieux peut aborder la date butoir de décembre 2026 bien préparé.
Sources
- EUR-Lex – Directive (UE) 2024/2853 sur la responsabilité du fait des produits défectueux
- Ministère fédéral allemand de la Justice – Loi de modernisation du droit de la responsabilité du fait des produits
- EY Law – Aperçu de la réforme des nouvelles règles de responsabilité du fait des produits
État : juin 2026. Cet article sert d’information générale et ne remplace pas un conseil juridique. La transposition allemande est encore en cours de procédure législative ; les détails peuvent changer. Pour votre cas concret, veuillez consulter un avocat.
Gerer les factures plus simplement
Easy Invoice regroupe devis, factures et gestion client dans le cloud.
Essayer Easy Invoice