Véhicule à délégation de conduite et risque automobile : une lecture juridique
Qu’ils soient liés au dessaisissement du conducteur ou à la transformation du véhicule en objet numérique, les systèmes de conduite déléguée introduisent des risques nouveaux qui suscitent nombre d’interrogations juridiques et normatives. Au regard des travaux menés sur le plan national et international, l’objectif de cette étude consiste à dresser un panorama des problématiques suscitées par cette innovation technique et observer les premières ébauches de réponses qui y sont apportées.
Les véhicules à délégation de conduite, que nous définirons ici comme des véhicules équipés de systèmes de conduite conçus pour se substituer, totalement ou partiellement, au conducteur humain pendant tout ou partie du trajet1, sont couramment présentés comme l’élément central des mobilités du futur en raison de leur double aptitude à satisfaire des impératifs climatiques et de sécurité. Ce discours produit et reproduit au fil des différents rapports publics et au titre des motivations des premières initiatives normatives qui y sont consacrées mériterait d’être soigneusement évalué. L’affirmation selon laquelle le véhicule à délégation de conduite serait un véhicule propre suppose en effet de lever un malentendu à propos de son bilan environnemental. Vraisemblablement positif si l’on considère sa contribution à la réduction de gaz polluants et sa consommation d’énergies fossiles – puisque ce type de véhicule sera généralement électrique – il l’est beaucoup moins si l’on envisage les autres aspects que sont la consommation de terres rares pour la production de ses composants, la gestion des déchets qu’il ne manquera pas de produire (batteries), et sa consommation importante d’énergie électrique2 – qu’il faut d’ailleurs envisager de manière globale en raison de la constitution prochaine d’un système de mobilité adossé au traitement et à la communication de données de plus en plus massives. De ce point de vue, le véhicule à délégation de conduite prolonge les ambiguïtés attribuées à la ville intelligente, qui confond numérique et durabilité : contradictions a priori insolubles en contemplation d’une notion – celle de développement durable – de laquelle il n’est, en principe, pas possible de déduire une hiérarchie de valeurs. On pourrait raisonner dans la même perspective critique à propos du risque automobile. Si les promesses vertigineuses portées par l’essor de ce type de véhicules3 peuvent se targuer des incontestables apports de la technique à la sécurité des transports4, leur introduction non seulement n’effacera pas, per se, les risques existants, mais en fera apparaître de nouveaux, dans un contexte technique où d’importantes problématiques demeurent irrésolues5 et un contexte social qui n’est pas encore prêt à les recevoir6. À l’intérieur de l’habitacle, où l’interaction homme-machine est encore mal assurée, comme à l’extérieur de celui-ci, où l’interaction avec les autres usagers de la route reste à évaluer, la conduite déléguée suscite des périls inédits. Quant au véhicule, objet communiquant, complexe, mêlant inextricablement composants logiciels et matériels, il est sujet à des menaces inconnues du monde analogique. Aussi, l’affirmation récurrente de la contribution de ce nouvel artefact à la sécurité routière, voire sa contribution à l’oblitération de tout risque automobile – l’horizon zéro victimes – ne peut-elle et ne doit-elle s’envisager que comme une affirmation au long cours, qui ne pourra prendre sérieusement forme qu’avec la transformation de l’ensemble du système de transport automobile et sa régulation autour de l’exploitation des données qu’il génère – dont les bases politiques et normatives commencent du reste à être jetées7.
En attendant le jour où le risque automobile sera transféré vers la machine et la sécurité routière portée par la technique et les normes techniques qui l’accompagnent – en raison même de sa complexité et de la disqualification de l’humain qui en résultera nécessairement –, la normativité juridique est appelée à jouer un rôle non négligeable afin de garantir les risques liés à cette transition et par là soutenir l’acceptabilité sociale des véhicules équipés de systèmes de conduite automatique. Car c’est bien de cette manière, réductrice et instrumentale, qu’est envisagée la contribution du droit à ce débat complexe sur l’introduction des véhicules à délégation de conduite. Dans cette perspective des « moyens à mettre en œuvre », l’ordre juridique se trouve naturellement interrogé tant sur son aptitude à réceptionner une telle évolution et ses conséquences que sur la configuration de ses éventuelles adaptations. En grossissant le trait, on pourrait dire que la réflexion sur l’application et l’interprétation des règles de droit au véhicule à délégation de conduite s’articulent autour des deux grands effets de l’automatisation. Le premier est lié au dessaisissement du conducteur, c’est-à-dire au transfert du contrôle dynamique du véhicule au système de conduite. Cette mutation implique que l’on s’interroge sur les conditions auxquelles ces véhicules seront autorisés à circuler et à cohabiter avec d’autres types de véhicules, aux activités accessoires que le conducteur pourra accomplir pendant le fonctionnement du système et aux conditions de la reprise en main, à la formation qu’il devra recevoir ou encore aux régimes de responsabilités qui pourraient être sollicités en cas d’accident. Le second porte sur la transformation du véhicule en objet numérique. Les systèmes de conduite automatique sont des unités connectées de collecte de production et de traitement des données, soit des systèmes complexes susceptibles de multiples défaillances et sujets aux intrusions. Cette situation soulève la question des conditions auxquelles la sécurité des systèmes d’information et la confidentialité des données pourront être garanties, et renouvelle la question de la sûreté des équipements et de leurs conditions d’homologation.
Étant donné que des discussions ou des réflexions approfondies ont déjà été rendues sur certains de ces aspects8, l’objectif de cette étude consiste à dresser un panorama de certaines d’entre elles en les actualisant au regard des divers travaux ou initiatives normatives qui constituent autant d’ébauches de réponses aux questions évoquées plus haut. Nous les aborderons autour des risques liés au dessaisissement du conducteur (I) et à la transformation du véhicule en objet numérique (II).
I – Les risques liés au dessaisissement du conducteur
Les deux grands corps de règles qui ont vocation à réguler l’activité du conducteur et en garantir les risques sont naturellement affectés par la redistribution des rôles au sein de l’habitacle (seul aspect qui sera ici étudié) : le partage de la conduite entre l’homme et l’automate n’est neutre ni du point de vue de la réglementation routière (A) ni du point de vue du droit de la responsabilité (B).
A – Les incidences du dessaisissement du conducteur sur la réglementation routière
La doctrine a déjà observé que la réglementation routière constitue l’un des principaux obstacles au déploiement des véhicules à délégation de conduite9. Prévue pour encadrer le comportement d’un individu sur lequel pèse, dans un rapport univoque à la machine, la responsabilité de la sécurité routière, elle ne peut que difficilement accueillir une innovation qui consiste à transférer tout ou partie du contrôle du véhicule, et du risque qui en résulte, à un système de conduite. Précisons : les textes nationaux et internationaux envisagent, en substance, la conduite comme une activité continue, qui requiert une « concentration permanente du conducteur »10 pour lui permettre « d’exécuter commodément et sans délai les manœuvres qui lui incombent »11, or avec les systèmes de conduite automatique (SCA), celle-ci change de nature et doit s’envisager comme une activité discontinue permettant, d’une part, l’abandon, fut-il temporaire, du contrôle du véhicule à l’automate et, d’autre part, l’accomplissement d’activités accessoires à la conduite qui, sans être toujours prohibées en l’état du droit, soulèvent d’évidents problèmes de sécurité publique dès lors qu’elles s’inscrivent dans la durée. La tension évidente entre les textes, leurs objectifs, et les effets de cette nouvelle réalité technique soulève donc de nombreuses incertitudes à propos de l’encadrement de cette interaction nouvelle entre l’homme et la machine. Ces difficultés s’articulent autour de trois questions : celle de la maîtrise du véhicule dans le contexte de la délégation ; celle des activités accessoires à la conduite et de leur régulation ; celle, enfin, de l’information du conducteur et de ses modalités de communication qui deviennent un élément structurant de l’interaction précitée, dont dépend la qualité de la conduite12. Nous les observerons au détour des conventions de Genève de 1949 et de Vienne de 1968 sur la circulation routière, en insistant sur les deux premières. Les discussions et productions normatives récentes issues des travaux du Forum mondial pour la sécurité routière (WP 1) et du Forum mondial pour l’harmonisation des réglementations sur les véhicules (WP 29) sur l’automatisation de la conduite appréhendent en effet certaines de ces problématiques et suggèrent une interprétation nouvelle, voire une reformulation des obligations du conducteur pour accompagner le déploiement des SCA13.
Quelles sont les obligations du conducteur pendant le fonctionnement du SCA ? Autrement dit, quel type de contrôle doit-il exercer, à ce moment, sur le véhicule ? Introduit en 2016 pour permettre la circulation de véhicules équipés de « systèmes embarqués ayant une incidence sur la conduite », c’est-à-dire de SCA requérant encore la présence humaine, l’article 8, paragraphe 5 bis, de la convention de Vienne n’apporte pas une réponse explicite à ces questions. Ne conciliant pas nettement l’introduction desdits systèmes avec les dispositions relatives au contrôle que le conducteur se doit d’exercer sur son véhicule et l’environnement de conduite, cet amendement ne fait que consacrer une exception autorisant leur circulation, sans modifier les obligations qui sont imposées à celui-ci au titre de ses articles 8, paragraphes 1, 5 et 13. Tant et si bien que le contrôle par l’homme semble devoir se superposer à celui exercé par l’automate pendant son fonctionnement. Opportune, car elle permet de maintenir la primauté et la responsabilité du conducteur dans une phase de transition socio-technique dont on ne peut pas mesurer tous les risques, cette solution ne devrait pas être lue de manière trop conservatrice, au risque de priver de toute utilité l’essor de ces systèmes. Afin de donner un sens à cette évolution, il faut donc redéfinir les obligations du conducteur pendant le fonctionnement du SCA et admettre l’infléchissement de la maîtrise du véhicule, qui doit être amputée de sa dimension matérielle pour se limiter à l’activité de surveillance de l’environnement de conduite et/ou du système, lorsque celui-ci est actif14. Quant au moment critique de la reprise en main, on l’accorde à la solution technique communément reconnue : l’individu retrouve matériellement la maîtrise à la double condition d’avoir été averti par le système et de bénéficier d’un délai suffisant pour réagir15. Ces éléments d’interprétation ne sont toutefois pas suffisants pour éclairer les zones d’ombre liées aux activités et obligations du conducteur pendant le fonctionnement du système. Jusqu’où peut-on aller dans l’abandon du contrôle et comment codifier le comportement du conducteur pendant ces périodes sans compromettre la sécurité routière ? Les travaux successifs tentent de définir cet équilibre délicat.
Ceux-ci font tout d’abord apparaître que, dans le contexte du partage du contrôle, la détermination des obligations du conducteur implique une redéfinition de la notion, juridiquement indéterminée, de maîtrise. Plastique, adaptable à une grande variété de situations, la question se pose cependant de savoir si elle permettrait d’appréhender avec toute la précision requise la distribution séquentielle du contrôle afin de spécifier, a priori, les obligations du conducteur – variables, qui plus est, suivant le degré d’automatisation. On peut le soutenir, même si la sécurité juridique appellerait une approche plus analytique du contrôle ; à tout dire une définition de son contenu. Et c’est cette orientation que donnent à observer les travaux des WP 1 et WP 29 : calés sur les prévisions de certaines nomenclatures techniques, ils ont introduit la notion de contrôle dynamique du véhicule. Reposant sur la modélisation de la conduite autour de trois activités – l’élaboration du trajet (stratégique), les manœuvres (tactiques) et la surveillance de l’environnement de conduite (opérationnel) –, elle permet tout d’abord d’articuler finement les différentes tâches incombant à l’individu ou la machine en fonction des situations de conduite16, et ensuite de cerner, plus directement, les obligations du conducteur. Définie comme « l’exécution de toutes les fonctions opérationnelles et tactiques en temps réel nécessaire au déplacement du véhicule » par la résolution du 3 octobre 2018 sur le déploiement des véhicules hautement et entièrement automatisés17, elle est aussi employée par la proposition d’amendement de l’article 8 de la convention de Vienne récemment déposée par la France. Ce texte, qui pourrait préfigurer les futures modifications du cadre réglementaire national, distingue clairement les activités et obligations du conducteur en fonction du degré d’automatisation de la machine18. Le conducteur d’un véhicule équipé d’un SCA prenant en charge « toutes les tâches de contrôle dynamique dans un domaine de conception prédéfini » se trouve ainsi « exempté de ses tâches » – c’est-à-dire, même de la surveillance de l’environnement de conduite ou du système – sauf lors de survenance de certains événements (reprise en main, réponse aux injonctions d’un agent de la circulation, défaillance du SCA). En outre, ce texte apporte une réponse à la lancinante question des activités accessoires à la conduite qui constitue l’autre versant du dessaisissement du conducteur.
En disposant que « le conducteur doit éviter toutes autres activités que la conduite », l’article 8, paragraphe 6, de la convention de Vienne n’exclut pas explicitement la faculté pour le conducteur d’entreprendre ponctuellement d’autres activités, à condition qu’elles puissent s’accorder au contrôle qu’il doit exercer sur le véhicule ; la même conclusion s’impose à la lecture de la formulation accueillante de l’article 10 de la convention de Genève qui dit que le « conducteur doit conduire de manière raisonnable et prudente ». Cela signifie que ces dispositions pourraient être lues comme autorisant l’individu à accomplir des activités étrangères à la conduite pendant que le contrôle dynamique du véhicule est laissé au SCA, ce qui renouvelle la problématique de la vigilance et l’attention au volant. Dès lors, comment réguler ces activités annexes, étant entendu que leur interdiction irait évidemment à l’encontre de la diffusion de cette nouvelle technique ? La question est pour le moins délicate, et il n’est pas sûr que le droit puisse à lui seul y répondre de manière satisfaisante, car, en définitive, il s’agit de s’assurer que le conducteur demeure suffisamment vigilant pour reprendre le véhicule en main dans de bonnes conditions. Pour l’instant, les différentes réflexions menées dans le cadre du WP 1 ont abouti à un projet de résolution19 qui a pour objet d’orienter les activités normatives des parties à la convention sur ce sujet. Il comporte deux types de recommandations, qui articulent spécifications techniques et obligations juridiques. Les premières sont liées aux fonctionnalités des SCA qui doivent être conçus de sorte à minimiser les risques liés aux activités annexes. Parmi les cinq recommandations, on retiendra tout d’abord que le changement du mode de conduite doit « laisser un délai suffisant au conducteur pour reprendre le contrôle », ensuite, qu’un système de « reconnaissance de la disponibilité du conducteur soit présent », et enfin, que le système ait la capacité d’effectuer automatiquement les manœuvres d’urgence. À défaut de présenter ces caractéristiques techniques, les activités secondaires ne devraient pas être autorisées. Les secondes sont liées au conducteur et à la nature des activités. Celles-ci ne doivent pas empêcher une reprise en main rapide et sûre, tout en étant compatibles avec les prescriptions d’emploi et fonctions des systèmes embarqués20, tandis que celui-là doit respecter la législation routière applicable dans le pays concerné et disposer des capacités, physiques et mentales, nécessaires pour s’acquitter de ses obligations.
B – Les incidences du dessaisissement du conducteur sur les responsabilités civile et pénale
Le dessaisissement du conducteur soulève la question de la répartition du risque automobile, donc de l’éventuel transfert des responsabilités civile et pénale vers d’autres parties prenantes telles que les constructeurs. Si l’équilibre de la loi n° 85-577 du 5 juillet 1985 ne devrait pas être affecté par cette transformation dans un premier temps, ce n’est pas le cas de la responsabilité pénale. À cet égard, la réglementation de l’expérimentation des véhicules à délégation de conduite donne d’ores et déjà un aperçu de ce que pourrait être la configuration d’un régime ajusté sur cette interaction inédite21.
Rien ne s’oppose, en l’état du droit, à l’application de la loi n° 85-677 du 5 juillet 1985 aux véhicules à délégation de conduite, les SCA n’ayant aucun effet sur les conditions de sa mise en œuvre – un véhicule terrestre à moteur, un accident et son implication dans l’accident. À ce titre, on relèvera que la réglementation relative à l’expérimentation des véhicules à délégation de conduite n’a pas non plus modifié ce régime, contrairement à la solution retenue en matière de responsabilité pénale. Cela ne signifie pas pour autant que des difficultés d’application n’existent pas : elles tiennent à la qualification de conducteur dans le contexte de la délégation de conduite. Débiteur de l’obligation d’indemniser les victimes, le conducteur, lorsqu’il est lui-même victime, ne bénéficie pas d’un droit à réparation équivalent à celui des victimes non-conductrices. Ce sont ainsi les questions liées à la détermination du débiteur de l’obligation d’indemniser et aux modalités d’indemnisation que l’essor de la conduite déléguée contribue à renouveler. La qualité de conducteur pouvant évidemment varier dans ce contexte, on se trouve donc reporté à la question de savoir si, pendant les périodes où le SCA est activé, l’individu pourrait se voir ainsi qualifié. Appréciation d’autant plus délicate que ni la loi ni la jurisprudence ne le définissent clairement.
Si l’on considère, à la suite de la doctrine, que le conducteur est la personne physique qui a la maîtrise matérielle, intellectuelle du véhicule, c’est encore la notion de contrôle du véhicule qu’il faudra solliciter pour décider de la qualification à appliquer. En rappelant qu’elle a un caractère fonctionnel dans le cadre de cette législation et que, par conséquent, elle ne recoupe pas complètement celle qui a été considérée plus haut, deux solutions sont ici envisageables. Suivant la première, la personne physique conserve une maîtrise intellectuelle sur le véhicule même si le système de délégation de conduite la dispense d’intervenir pour assurer la sécurité routière. Elle devrait être constamment dans un état de vigilance justifiant sa qualité de conducteur. La seconde, qui écarte définitivement le critère de la maîtrise intellectuelle, revient à distribuer la qualité de conducteur en fonction des cas d’usages du véhicule. La personne physique sera alternativement considérée comme conductrice et comme non-conductrice. Dans cette dernière hypothèse, ce sera le système de délégation de conduite qui sera réputé conducteur, c’est-à-dire une personne morale qu’il faudra bien identifier préalablement à la circulation des véhicules à délégation de conduite (dans le cas de l’ordonnance de 2016, titulaire de l’autorisation d’expérimentation).
En réécrivant l’article 2 de l’ordonnance n° 2016-1057 du 3 août 2016 relative à l’expérimentation des véhicules à délégation de conduite22, l’article 125 de la loi n° 2019-486 du 22 mai 2019, dite PACTE23, introduit une nouvelle exception au principe de responsabilité personnelle du conducteur défini par l’article L. 121-1 du Code de la route. Pendant les périodes où le SCA est en fonctionnement, l’individu au volant se trouve ainsi exonéré de sa responsabilité pénale24. Celle-ci retombe sur le titulaire de l’autorisation d’expérimentation, à deux conditions : le conducteur, qui doit d’abord avoir activé le système « conformément à ses conditions d’utilisation », doit être ensuite informé par l’automate, en temps réel, qu’il est « en état d’observer les conditions de circulation et d’exécuter sans délai toute manœuvre à ses lieux et place ». Les dispositions de l’article L. 121-1 du Code de la route sont à nouveau applicables dès lors que le conducteur a effectivement repris le contrôle du véhicule, après sollicitation du SCA, ou lorsqu’il « a ignoré la circonstance évidente que les conditions d’utilisation du système de délégation de conduite, définies pour l’expérimentation, n’étaient pas ou plus remplies ».
La nette économie de la distribution des responsabilités retenue par cette disposition comporte des angles morts. Elle a été critiquée par le Conseil d’État, qui reprochait au texte du projet de loi d’ignorer que le conducteur, même pendant le fonctionnement du système, n’était pas déchargé de la surveillance de l’environnement de conduite. La complexité des interactions, surtout au niveau d’automatisation les plus bas, et les dispositions conventionnelles précitées, qui n’exonèrent pas encore le conducteur des tâches opérationnelles, ont conduit la haute assemblée à opposer à cette ventilation séquentielle de la responsabilité, corrigée par la prise en compte de la carence manifeste du conducteur, une lecture conduisant à juxtaposer les responsabilités du titulaire de l’autorisation de circuler et du conducteur dans les hypothèses où il lui incombe, « après l’activation du système, de le désactiver et de reprendre le contrôle du véhicule ». Il n’a pas été suivi. Cette solution, en harmonie avec la proposition d’amendement déposée par la France plus haut évoquée, semble ainsi signifier, sans qu’on puisse le mesurer à ce stade, que les niveaux de vigilance, d’attention et de supervision du conducteur peuvent être très faibles lors du fonctionnement des SCA. L’exonération de la responsabilité pénale du conducteur serait donc la réponse cohérente à l’exonération de la majeure partie des activités opérationnelles pendant l’activation du système.
Ce choix consacre une exception au principe de responsabilité personnelle25. L’infraction n’étant pas rattachée à la personne qui y a participé ou l’aurait commise, il exerce une certaine pression sur le concept de responsabilité pénale et conduit à s’interroger sur sa compatibilité avec la jurisprudence du Conseil constitutionnel. La haute juridiction, qui fait découler le principe suivant lequel nul n’est responsable que de son propre fait des articles 8 et 9 de la déclaration des droits de l’Homme et du citoyen26, reconnaît cependant la validité des présomptions d’imputation en matière contraventionnelle27. De telles présomptions semblent permettre d’imputer le paiement des amendes aux titulaires de l’autorisation de circuler, à condition qu’il s’agisse de présomptions simples. Il n’est pas pourtant certain que ce soit le cas, le caractère strict de la distribution des responsabilités ne milite pas en ce sens. La question mériterait donc d’être sérieusement évaluée car, si les véhicules à délégation seront évidemment programmés dans le respect de la réglementation routière, la complexité des interactions dans et hors de l’habitacle rend probable la commission de telles infractions. L’imputation des délits d’atteinte involontaire à la vie ou à l’intégrité des personnes est encore plus délicate. L’article 125 de la loi PACTE dispose notamment que si la conduite du véhicule, dont le système de délégation de conduite a été activé et fonctionne, a provoqué un accident entraînant un dommage corporel, le titulaire de l’autorisation d’expérimentation « est pénalement responsable du délit d’atteinte involontaire à la vie ou à l’intégrité de la personne prévus par les articles 221-6-1, 222-19-1 et 222-20-1 du Code pénal lorsqu’il est établi une faute au sens de l’article 121-3 de ce code dans la mise en œuvre du système de délégation de conduite ». Autrement dit, le titulaire de l’autorisation d’expérimentation devrait être considéré comme un auteur indirect et il faudrait démontrer qu’il a commis une faute délibérée ou caractérisée. En bref, on peut s’interroger sur l’aptitude même du concept de responsabilité pénale à appréhender ce type de situation, au risque de le distordre.
II – La transformation du véhicule en objet numérique
De la confidentialité des données personnelles à la sûreté des équipements en passant par la mise à jour logicielle ou la cybersécurité, les véhicules autonomes connectés (VAC) suscitent des risques inédits, qui ne sont pas exactement appréhendés à ce jour par les normes techniques et les règles de droit28. Or il est essentiel qu’ils le soient, puisque ce sont ces normes qui porteront la sécurité routière dans le contexte de l’automatisation. La grande variété de problématiques techniques et juridiques, associées à l’automatisation et la numérisation des automobiles, ne pourra cependant pas être complètement présentée ici. Seules deux d’entre elles seront envisagées ; elles s’articulent autour de l’idée suivant laquelle le VAC est un « système de système, dont la majorité des composants seront des logiciels »29. Dès lors, il faudra garantir la sécurité du véhicule et la tolérance aux pannes des systèmes qui le composent, puis les protéger contre les cyberattaques. Nous examinerons donc la question de la sécurité du système de conduite (A), puis celle de ses systèmes d’information (B).
A – La sécurité du système de conduite
L’intégration de plus en plus poussée des systèmes électroniques du véhicule peut conduire à des dysfonctionnements délicats, voire impossibles à prévoir lors de la phase de développement, mais aussi à reproduire une fois la panne survenue. La complexité des situations de conduite renforce cette difficulté, une panne pouvant ne pas être reliée au système de conduite en tant que tel, mais à sa source d’alimentation ou tributaire d’un autre système électronique. La multiplication des risques et leur imprévisibilité obligent, d’une part, à prévoir des réglementations techniques adaptées aux SCA, et d’autre part, à repenser les méthodologies de leur homologation.
Si des standards industriels et des normes techniques garantissent la sécurité fonctionnelle et la fiabilité de leurs systèmes électrique et électronique programmable, il n’existe pas, à notre connaissance, de réglementation technique apte à accueillir les SCA30, dans toute leur complexité. D’importants travaux destinés à l’élaboration d’une telle réglementation sont néanmoins en cours. Du point de vue de l’Union européenne, on relèvera succinctement que le règlement (UE) n° 2019/2144 du 27 novembre 201931 pose le fondement juridique des futures normes techniques applicables « aux systèmes visant à remplacer le contrôle par le conducteur du véhicule, y compris la direction, l’accélération et le freinage »32 ainsi qu’à d’autres éléments équipant les VAC. Mais ce sont surtout les discussions menées dans le cadre du WP 29 dont il faut faire état. À travers les différentes productions de ce groupe de travail, particulièrement celles du groupe de travail des véhicules automatisés, autonomes et connectés nouvellement constitué, on peut déjà observer la définition d’un certain nombre de principes communs destinés à orienter l’élaboration du cadre normatif applicable aux véhicules à délégation de conduite et aux SCA – notamment un niveau de risque acceptable33 –, et des propositions visant l’adaptation des méthodologies de certification, car les procédés traditionnels de certification sont tout à fait inadaptés pour garantir un niveau de sécurité suffisant. « La complexité des systèmes et, par conséquent, le nombre de fonctions logicielles continueront d’augmenter avec les systèmes de conduite automatisés. Par rapport aux systèmes de commande électroniques complexes, le nombre de domaines de sécurité potentiellement concernés et celui des variantes de scénarios à envisager continueront d’augmenter et ne pourront être pleinement évalués au moyen d’un nombre limité d’essais effectués sur la piste et les bancs d’essais ». C’est la raison pour laquelle un nouveau concept de certification reposant sur le croisement des essais sur route, des épreuves de certification physique et de simulation a été proposé. La question de la sécurité des SCA se hisse alors à un niveau de criticité comparable à celui de l’aéronautique.
B – La sécurité des systèmes d’information
Unité de production, de traitement et de collecte de l’information, le VAC s’apparente à un objet cyber-physique. Parce qu’il évolue autant dans un espace physique que numérique, il est donc sujet au piratage informatique et aux cyberattaques, ce qui fait de l’intégrité des systèmes embarqués de traitement – logiciels, algorithmes – et de communications des données une question centrale – et particulièrement cruciale en termes d’acceptabilité sociale de cette technique34. En somme, ce sont les « composants électroniques et électriques » des véhicules routiers et de leurs fonctions qui se doivent d’être protégés à ce titre, mais il ne s’agit pas d’une démarche évidente car la sécurité de l’information est au moins autant une affaire organisationnelle que technique, or le secteur automobile est particulièrement morcelé. Plus aboutis que les précédents, les travaux du WP 29 apportent, ici encore, les premières réponses normatives à la question de la gestion des vulnérabilités des VAC. En effet, ceux-ci ont déjà permis l’adoption, en mars 2017, d’une directive35 (il s’agit d’un amendement à la résolution d’ensemble de 1958) sur la cybersécurité et la protection des données ainsi qu’à la rédaction de deux propositions de règlement ONU concernant respectivement la mise à jour logicielle36 et la cybersécurité37.
Instrument de droit souple destiné à orienter, dans l’attente de l’adoption des futurs règlements ONU, les pratiques des constructeurs et fournisseurs de composants installés sur les véhicules, la directive sur la cybersécurité comporte un certain nombre de prescriptions qui ont pour objet de préserver le véhicule d’interférences et de manipulations extérieures. Ses prescriptions s’articulent autour de trois types de dispositions. Celles qui, tout d’abord, concernent la protection des données personnelles, pour laquelle elle rappelle, en substance, les obligations applicables au traitement des données et leur confidentialité. Celles qui, ensuite, portent sur la sûreté fonctionnelle des composants et des communications à l’intérieur du véhicule. Si pour la sûreté desdits composants, la directive renvoie à l’application de standards, telle que la norme ISO 26262, elle comporte d’importantes précisions quant aux connexions et communications, qui ne « doivent pas avoir d’incidences sur les dispositifs et systèmes internes produisant les informations (…) nécessaires à la commande du véhicule », ou qui doivent être conçues de manière à éviter « la manipulation frauduleuse des logiciels de véhicules connectés ». Celles qui, enfin, sont relatives à la sécurité des mises à jour de logiciels ou à l’intégrité des communications internes, le but étant de les préserver avec des mesures de chiffrement ou d’authentification. Sur la base de cette directive, deux projets de règlement ont été adoptés par le groupe de travail sur les véhicules automatiques.
La proposition de recommandation sur la cybersécurité du 19 novembre 2018 approfondit ce discours en décrivant les menaces et en fixant les principes qui doivent être respectés pour « protéger ces données contre les accès, les modifications, ou les suppressions non autorisées, tant au moment de leur stockage qu’au moment de leur suppression ». Ce texte ne formule donc aucune prescription technique et n’impose aux constructeurs, en quelque sorte, qu’une obligation de résultats. Il leur appartient donc de définir les moyens à mettre en œuvre pour garantir la sécurité des systèmes d’information du véhicule au regard de certaines normes (ISO 21434) et des procédures et processus reconnus ; en effet, la formulation de telles obligations n’a pas paru opportune en raison de l’évolution rapide des technologies et des menaces dans ce domaine. Cela étant dit, ce ne sont pas les principes évoqués qui font l’objet de la certification, mais les « processus de gestion de la cybersécurité »38 qui placent le constructeur au centre de la définition des risques, des procédures et de mesures de gouvernance « ayant pour objet d’atténuer les cybermenaces et de protéger les véhicules des cyberattaques ». Le règlement crée ainsi, sous la responsabilité du constructeur, un cadre normatif qui vise à structurer une organisation de la production qui garantirait, sur tout le cycle de vie du véhicule, d’une part, la prise en compte de l’ensemble des menaces et, d’autre part, l’adoption de mesures appropriées destinées à « minimiser les risques à un niveau acceptable ». Il appartient donc aux constructeurs, en dernière instance, de prouver qu’ils ont bien mis en œuvre les mesures techniques et organisationnelles adéquates pour faire face auxdites menaces : en ce sens ils sont aussi responsables de l’application par leurs fournisseurs de leur propre système de gestion des vulnérabilités39. L’homologation en matière de cybersécurité acquiert par là une importance fondamentale puisqu’elle conditionne l’évaluation du type de véhicule aux fins d’homologation (art. 7.3.1)40
À côté de ces préoccupations générales, la mise à jour des logiciels équipant le véhicule, en raison de ses spécificités, a fait l’objet d’un projet de recommandation distinct. Ce texte, du 19 novembre 2018, a un double objet : il décrit les prescriptions applicables aux mises à jour logicielles afin d’assurer la sûreté et la sécurité de leur exécution ; il envisage l’articulation desdites mises à jour avec le cadre juridique général applicable aux homologations. Puisque celles-ci ont, potentiellement, la faculté de modifier les caractéristiques du véhicule, il devient essentiel de pouvoir s’assurer de sa conformité aux règlements techniques lorsqu’elles interviennent après l’homologation par type. La recommandation aménage de ce point de vue une procédure de mise à jour qui tient compte du moment de son intervention et de son incidence sur la conformité du véhicule. Sur le fond, on retrouve de multiples prescriptions sur des conditions dans lesquelles la mise à jour doit être appliquée pour limiter les risques qu’elle ferait courir au conducteur et à la sécurité routière. Le constructeur doit, par exemple, s’assurer que le véhicule ne puisse pas être conduit durant l’exécution de la mise à jour dès lors qu’elle présente un risque pour la sécurité, ou encore veiller à précisément informer l’utilisateur de la mise à jour avant qu’elle soit effectuée.
Notes de bas de pages
-
1.
V. A., 17 avr. 2018, relatif à l’expérimentation des véhicules à délégation de conduite sur la voie publique : JO n° 0103, 4 mai 2018, texte n° 3.
-
2.
Pitron G., « Un bilan litigieux », Le Monde diplomatique, août 2018, p. 11 ; v. également, du même auteur, « Voiture électrique, une aubaine pour la Chine », Le Monde diplomatique, août 2018, p. 10.
-
3.
La communication de la Commission européenne du 17 mai 2018 affirme ainsi que les « véhicules sans conducteurs pourraient améliorer grandement la sécurité routière car l’erreur humaine est estimée jouer un rôle dans 94 % des accidents » (« En route vers une mobilité automatisée : une stratégie de l’UE pour la mobilité du futur », COM, 283 final) – ajoutons que la défaillance mécanique n’est en cause que dans moins de 10 % des situations et, qui plus est, il s’agit le plus souvent de problèmes liés aux pneumatiques.
-
4.
V. en ce sens PE et Cons. UE, règl. n° 2019/2144, 27 nov. 2019, relatif aux prescriptions applicables à la réception par type des véhicules à moteur (…) : JOUE L 351/1, 16 déc. 2019, qui impose l’équipement de divers dispositifs techniques visant à améliorer la sécurité routière, comme le contrôle automatique de la trajectoire, le contrôle de la distraction au volant ou la surveillance de la vigilance.
-
5.
Orjuela R. et a., « Les véhicules autonomes et le risque technologique, d’où vient-on, où va-t-on ? », Riséo 2018-1, p. 19.
-
6.
Une récente étude révèle qu’en Californie, où l’expérimentation sur les routes est autorisée depuis 2014, il se produit un accident toutes les 178 reprises en main de véhicules équipés de systèmes de conduite automatique. La fréquence de ces accidents n’a décru qu’à la faveur d’un programme de formation spécifique de pilotes déjà expérimentés (Favaro F., Eurich S. et Nader N., « Autonomous vehicles’ disengagement : Trends, triggers & regulatory limitation, Accident », Analysis & Prevention, janv. 2018, n° 110, p. 136-148).
-
7.
V. Cons. UE, Conclusions du Conseil sur la mutation numérique des transports n° 15431/17, 5 déc. 2017 ; CEE-ONU, Comité des transports intérieur, Résolution ministérielle sur le renforcement de la coopération, de l’harmonisation et de l’intégration à l’ère de la numérisation et de l’automatisation des transports, adoptée le 22 juillet 2019, et le chapitre 2 du projet de loi d’orientation des mobilités.
-
8.
Andreu L. (dir.), Des voitures autonomes. Une offre de loi, 2018, Dalloz, Essais ; « Les véhicules autonomes », Riséo 2018-1.
-
9.
Seules les questions juridiques liées à l’interaction homme-machine seront abordées ici.
-
10.
Réponse du secrétaire d’État aux transports, publiée dans le JO Sénat, 3 juin 2010, p. 1402.
-
11.
C. route, art. R. 412-6. L’article 8, paragraphe 5, de la convention de Vienne de 1968 dit que « tout conducteur doit constamment avoir le contrôle de son véhicule » ; art. 13 : « Tout conducteur de véhicule doit rester, en toutes circonstances, maître de son véhicule, de façon à pouvoir se conformer aux exigences de la prudence et à être constamment en mesure d’effectuer toutes les manœuvres qui lui incombent ».
-
12.
Teresi L. et Rakotovahiny M. A., « Enjeux juridiques liés à l’information et la formation des conducteurs de véhicules à délégation de conduite », Contrats, conc. consom. janv. 2020, n° 4.
-
13.
Après de nombreuses discussions, il a été décidé d’élaborer une nouvelle convention internationale applicable aux véhicules à délégation de conduite qui viendrait compléter les conventions de 1949 et 1968 (v. ECE/Trans/WP.1/2020/2, 10 juill. 2020).
-
14.
À ce titre, les motifs accompagnant l’amendement rappellent que « l’obligation qu’a le conducteur de surveiller et de contrôler le fonctionnement d’un système embarqué est prise en compte par le principe directeur qui sous-tend toute la réglementation routière ».
-
15.
V. égal. ord. n° 2016-1057, 3 août 2016, relative à l’expérimentation de véhicules à délégation de conduite sur les voies publiques, art. 2-1, al. 2 : JO n° 0181, 5 août 2016, texte n° 8.
-
16.
Définissant très précisément la distribution des actions du conducteur et du système, v. Document de référence proposant des définitions de la conduite automatisée dans le cadre du WP 29 et des principes généraux pour l’élaboration d’un règlement ONU sur les véhicules automatisés (ECE/Trans/WP.29/1140).
-
17.
CEE-ONU, Résolution du Forum mondial sur la sécurité routière sur le déploiement de véhicules hautement et entièrement automatisés, 3 oct. 2018, ECE/Trans/WP.1/2018/165.
-
18.
CEE-ONU, FMSR, proposition d’amendement à l’article 8 de la convention de 1968 sur la circulation routière, 9 janv. 2019, ECE/Trans/WP.1/2019/1.
-
19.
CEE-ONU, FMSR, projet de résolution sur les activités autres que la conduite, 5 juill. 2019, ECE/Trans/WP1/2019/3.
-
20.
Qu’il faudra concilier avec la prohibition explicite de certaines activités, comme l’usage du téléphone portable dans le cadre des législations nationales.
-
21.
L’article 12 du projet de loi sur les mobilités habilite le gouvernement « à prendre par ordonnance (…), toute mesure relevant du domaine de la loi afin d’adapter la législation, notamment le Code de la route, au cas de la circulation sur la voie publique de véhicules terrestres à moteur dont les fonctions de conduite sont, dans des conditions, notamment de temps, de lieu, et de circulation prédéfinies, déléguées partiellement ou totalement à un système de conduite automatisé, notamment en définissant le régime de responsabilité applicable ».
-
22.
Ord. n° 2016-1057, 3 août 2016, relative à l’expérimentation de véhicules à délégation de conduite sur les voies publiques : JO n° 0181, 5 août 2016, texte n° 8.
-
23.
L. n° 2019-486, 22 mai 2019. La jurisprudence sur les régulateurs de vitesse ne peut pas être sollicitée dans la mesure où leur activation n’implique, en aucun cas, le dessaisissement du conducteur. La solution est identique pour tous les systèmes avancés d’aide à la conduite.
-
24.
Le conducteur se trouve exonéré des délits d’atteinte involontaire à la vie ou à l’intégrité de la personne prévus par les articles 221-6-1, 222-19-1 et 222-20-1 du Code pénal.
-
25.
Selon l’article 121-1 du Code pénal, « nul n’est responsable pénalement que de son propre fait ».
-
26.
Cons. const., 16 juin 1999, n° 99-411 DC, cons. 7.
-
27.
Cons. const., 16 juin 1999, n° 99-411 DC, cons. 5.
-
28.
À l’exception de la protection des données personnelles, v. CNIL, « Pack de conformité. Véhicules connectés et données personnelles », oct. 2017.
-
29.
INRIA, Livre blanc sur le véhicule autonome connecté, 22 mai 2018, p. 39.
-
30.
L’article 5.1.6.1 du règlement n° 79 de la Commission économique pour l’Europe des Nations-Unies vise bien la direction automatique des véhicules, il limite pourtant son usage à une vitesse inférieure ou égale à 10 km/h. Ces technologies ne sont d’ailleurs homologuées qu’au cas par cas sur la base de l’article 39 du nouveau règlement (UE) n° 2018/858 relatif à la réception et à la surveillance du marché des véhicules à moteur du 30 mai 2018.
-
31.
V. en ce sens PE et Cons. UE, règl. n° 2019/2144, 27 nov. 2019, relatif aux prescriptions applicables à la réception par type des véhicules à moteur (…).
-
32.
Proposition de règlement, 15 mai 2018, relatif aux prescriptions applicables à la réception par type de véhicule à moteur (…), (COM (2018) 286 final).
-
33.
Le véhicule automatisé ne doit ainsi présenter « aucun risque inacceptable », c’est-à-dire ne pas provoquer d’accident de la « route prévisibles et évitables ». Ce principe est en outre spécifié pour chacun des aspects ou composants du VAC (Forum mondial de l’harmonisation des règlements concernant les véhicules, 15 avr. 2019, Document cadre sur les véhicules automatisés/autonomes, ECE/trans/WP.29/2019/34).
-
34.
Rohfritsch S. et Bartho D., Rapport d’information sur l’automobile française dans une approche industrielle énergétique et fiscale, rapp. AN n° 4109, 12 oct. 2016.
-
35.
CEE-ONU, WP 29, Proposition de projet de directive sur la cybersécurité, 26 déc. 2016, ECE/Trans/WP.29/GRVA/2017/46.
-
36.
CEE-ONU, WP 29, Projet de recommandation sur la mise à jour de logiciels, 19 nov. 2018, ECE/Trans/WP.29/GRVA/2019/3.
-
37.
CEE-ONU, WP 29, Proposition de recommandation sur la cybersécurité, 19 nov. 2018, ECE/Trans/WP.29/GRVA/2019/2.
-
38.
Le système de gestion de la cybersécurité est défini comme « une approche systématique fondée sur les risques définissant les processus, les responsabilités et les mesures de gouvernance de l’organisation ayant pour objet d’atténuer les cybermenaces et de protéger les véhicules des cyberattaques ».
-
39.
La recommandation impose au constructeur qu’il rapporte trois sortes de preuves : 1) la manière dont le constructeur du véhicule a tenu compte des menaces et des vulnérabilités dans son appréciation du risque ; 2) les mesures prises pour minimiser les risques à un niveau acceptable (architecture du système, interaction du système avec d’autres systèmes, mesures d’atténuations) ; 3) la manière dont le constructeur a mis en œuvre les principes de cybersécurité, définis dans la recommandation.
-
40.
CEE-ONU, WP 29, Proposition de recommandation sur la cybersécurité, 19 nov. 2018, ECE/Trans/WP.29/GRVA/2019/2.