Expertises
Droit, technologies & prospectives

interview / Claire BERNIER, Vincent GEOFFRAY et Bruce BONNAURE

CONTREFAÇON DE LOGICIEL À L’ÈRE DE L’IA

Droit, technologies & prospectives

Tous les mois, toute l'actualité du numérique... Et tellement plus !

Nos derniers numéros

EXPERTISES N°512 - mai 2025 - CONTREFAÇON DE LOGICIEL À L’ÈRE DE L’IA / Claire BERNIER, Vincent GEOFFRAY et Bruce BONNAURE
N°512 – mai 2025
EXPERTISES N°511 - avril 2025 - Souveraineté numérique : idéal ou réalité ? / Philippe Latombe
N°511 – avril 2025
EXPERTISES N°510 - mars 2025 - LA LIBERTÉ D’EXPRESSION MENACÉE PAR LE RGPD ? / Alexandre FIÉVÉE
N°510 – mars 2025
EXPERTISES N°509 - février 2025 - RÉSOUDRE LES LITIGES DE CRYPTOMONNAIES / Christophe DUGUÉ
N°509 – février 2025
EXPERTISES N°508 - janvier 2025 - L’IAG pour les juristes, Oui mais avec précautions / Yannick Meneceur
N°508 – janvier 2025
EXPERTISES N°507 - décembre 2024 - LE RGPD, UNE AVENTURE LÉGISLATIVE / Jérôme DEROULEZ
N°507 – décembre 2024
EXPERTISES N°506 - novembre 2024 - L’IA POUR LA PRÉVENTION DES RISQUES IT / David FELDMAN
N°506 – novembre 2024
EXPERTISES N°505 - octobre 2024 - UNE IA DE CONFIANCE EST-ELLE POSSIBLE ? / Murielle POPA-FABRE
N°505 – octobre 2024
EXPERTISES N°504 - septembre 2024 - ACCULTURATION DES PME AU RGPD : VERS UNE CONFORMITÉ FACILITÉE / Sophie NERBONNE
N°504 – septembre 2024
EXPERTISES N°503 - juillet 2024 - RELATION CLIENT/FOURNISSEUR, UN DÉSÉQUILIBRE EN ÉVOLUTION / Stéphane LEMARCHAND
N°503 – juillet 2024
EXPERTISES N°502 - juin 2024 - Société à mission, un statut prisé par la Tech / Garance Mathias et François Gorriez
N°502 – juin 2024
EXPERTISES N°501 - mai 2024 - SAINT-GOBAIN : UNE GESTION AGILE DES FLUX TRANSFRONTIERES ET DES DONNEES / Charlène GABILLAT et Emma GOLDITÉ
N°501 – mai 2024
EXPERTISES N°500 - avril 2024 - DROIT DU NUMÉRIQUE : RÉTROSPECTIVE ET PERSPECTIVES / Alain BENSOUSSAN
N°500 – avril 2024
EXPERTISES N°499 - mars 2024 - Extra -                                                                                                                                                                                                                                         Territorialité: menaces et solution / Pierre DESMARAIS
N°499 – mars 2024
EXPERTISES N°498 - février 2024 - Rassurer les assureurs sur la Blockchain / Nicolas Hélénon, Delphine Mercelat, Emmanuel du Ranquet
N°498 – février 2024
EXPERTISES N°497 - janvier 2024 - FiDA, l’open finance qui fait peur à l’assurance / Anne-Sophie Morvan
N°497 – janvier 2024
EXPERTISES N°496 - décembre 2023 - Le droit, créateur d’un marché de la donnée / Marie-Hélène Tonnellier
N°496 – décembre 2023
EXPERTISES N°495 - novembre 2023 - L’Europe de la donnée, malgré les différences / Simon Chignard
N°495 – novembre 2023
EXPERTISES N°494 - octobre 2023 - Se défendre dans la jungle des noms de domaine wEB3 / Matthieu Quiniou
N°494 – octobre 2023
EXPERTISES N°493 - septembre 2023 - RGPD & Droit de la concurrence « Entente » mode d’emploi / Richard Milchior
N°493 – septembre 2023
EXPERTISES N°492 - juillet 2023 - DPO : un métier en souffrance / Bruno RASLE
N°492 – juillet 2023
EXPERTISES N°491 - juin 2023 - L’UE s’investit dans les crypto-actifs / Arnaud Touati
N°491 – juin 2023
EXPERTISES N°490 - mai 2023 - Transhumanisme : un changement de civilisation / Amandine Cayol, Emilie Gaillard et Coline Vuillermet
N°490 – mai 2023
EXPERTISES N°489 - avril 2023 - Anonymiser : une question de gestions de risques / Maryline Laurent
N°489 – avril 2023
EXPERTISES N°488 - mars 2023 - Actifs immatériels : Une valeur encore trop sous-estimée / Sylvie Gamet
N°488 – mars 2023
EXPERTISES N°487 - février 2023 - Flux transatlantique de données : Des progrès mais… / Bradley Joslove
N°487 – février 2023
EXPERTISES N°486 - janvier 2023 - L’intelligence juridique : pour un juriste stratège / Véronique Chapuis-Thuault
N°486 – janvier 2023
EXPERTISES N°485 - décembre 2022 - Les problématiques virtuelles des métavers / Caroline Laverdet
N°485 – décembre 2022
EXPERTISES N°484 - novembre 2022 - BIG DATA DEMATERIALISATION DU REEL / Antoinette Rouvroy
N°484 – novembre 2022
EXPERTISES N°483 - octobre 2022 - Intelligence artificielle : Vers une justice plus sécurisée / Thomas Cassuto
N°483 – octobre 2022
EXPERTISES N°482 - septembre 2022 - MiCA, un règlement qui manque de hauteur / Pierre Storrer
N°482 – septembre 2022
EXPERTISES N°481 - juillet 2022 - Néobanques, le far west bancaire / Aude Poulain de Saint Père
N°481 – juillet 2022
EXPERTISES N°480 - juin 2022 - Géopolitique du numérique et risque de fragmentation / HENRI VERDIDER
N°480 – juin 2022
EXPERTISES N°479 - mai 2022 - Ransomware : payez la rançon l'assurance rembourse / Valéria FAURE-MUNTIAN
N°479 – mai 2022
EXPERTISES N°478 - avril 2022 - RÉDUIRE LA POLLUTION DU NUMÉRIQUE : UNE LOI PIONNIÈRE / Patrick CHAIZE et Frédéric BORDAGE
N°478 – avril 2022
EXPERTISES N°477 - mars 2022 - LE CASSE-TETE DE LA FISCALITE DES CRYPTO-MONNAIES / Frédéric poilpré
N°477 – mars 2022
EXPERTISES N°476 - février 2022 - Véhicule connecté : l'enjeu des données / Romain Perray
N°476 – février 2022
EXPERTISES N°475 - janvier 2022 - DROIT DU LOGICIEL : ETAT DES LIEUX / Bernard LAMON
N°475 – janvier 2022
EXPERTISES N°474 - décembre 2021 - Open data judiciaire : Un lancement prudent / Estelle Jond-Necand
N°474 – décembre 2021
EXPERTISES N°473 - novembre 2021 - La data au cœur des investigations internes / Jean-Julien Lemonnier
N°473 – novembre 2021
EXPERTISES N°472 - octobre 2021 - ROMAIN DARRIERE / INFLUENCEURS VERS LA MATURITÉ
N°472 – octobre 2021
EXPERTISES N°471 - septembre 2021 - ENTENTES ALGORITHMIQUES / NATASHA TARDIF
N°471 – septembre 2021
EXPERTISES N°470 - juillet 2021 - Brevets IA : les écueils à éviter / Mathias Robert
N°470 – juillet 2021
EXPERTISES N°469 - juin 2021 - IA : POUR UN DROIT DE RUPTURE / ALAIN BENSOUSSAN
N°469 – juin 2021
EXPERTISES N°468 - mai 2021 - Néoassurance, un modèle qui émerge / Christophe Dandois
N°468 – mai 2021
EXPERTISES N°467 - mars 2021 - Humain / machine : la nouvelle division du travail juridique / Olivier CHADUTEAU
N°467 – mars 2021
EXPERTISES N°466 - mars 2021 - DSA/DMA : CHANGEMENT DANS LA CONTINUITÉ / ANNE COUSIN ET JEAN-MATHIEU COT
N°466 – mars 2021
EXPERTISES N°465 - février 2021 - CMP : UN PASSEUR DE CONSENTEMENT / Romain BESSUGES-MEUSY
N°465 – février 2021
EXPERTISES N°464 - janvier 2021 - L’expertise-conciliation : pacifier les litiges / Fabien CLEUET et François-Pierre LANI
N°464 – janvier 2021
EXPERTISES N°463 - décembre 2020 - Matching prédictif un recrutement biaisé / Stéphanie Lecerf
N°463 – décembre 2020
EXPERTISES N°462 - novembre 2020 - La révolution open banking / Thibault Verbiest
N°462 – novembre 2020
EXPERTISES N°461 - octobre 2020 - IA en procès / Yannick Meneceur
N°461 – octobre 2020
EXPERTISES N°460 - septembre 2020 - Smart city : intérêt général by design / Jacques Priol
N°460 – septembre 2020
EXPERTISES N°459 - juillet 2020 - Transmettre l'immatériel / David Ayache
N°459 – juillet 2020
EXPERTISES N°458 - juin 2020 - Les racines de notre dépendance technologique / Christian HARBULOT
N°458 – juin 2020
EXPERTISES N°457 - mai 2020 - Covid 19 & données personnelles<br>De la défiance à la confiance / Yann Padova” title=”EXPERTISES N°457 – mai 2020 – Covid 19 & données personnelles<br>De la défiance à la confiance / Yann Padova” description=”EXPERTISES N°457 – mai 2020-  Covid 19 & données personnelles<br>De la défiance à la confiance / Yann Padova”></div>
<div class=N°457 – mai 2020
EXPERTISES N°456 - avril 2020 - Pour l’ouverture<br>des données privées / Laurent Lafaye” title=”EXPERTISES N°456 – avril 2020 – Pour l’ouverture<br>des données privées / Laurent Lafaye” description=”EXPERTISES N°456 – avril 2020-  Pour l’ouverture<br>des données privées / Laurent Lafaye”></div>
<div class=N°456 – avril 2020
EXPERTISES N°455 - mars 2020 - Profilage :<br> pratiques & parades / Cédric Lauradoux” title=”EXPERTISES N°455 – mars 2020 – Profilage :<br> pratiques & parades / Cédric Lauradoux” description=”EXPERTISES N°455 – mars 2020-  Profilage :<br> pratiques & parades / Cédric Lauradoux”></div>
<div class=N°455 – mars 2020
EXPERTISES N°454 - février 2020 - La robustesse de<br>la PI face A l’IA / Franck Macrez” title=”EXPERTISES N°454 – février 2020 – La robustesse de<br>la PI face A l’IA / Franck Macrez” description=”EXPERTISES N°454 – février 2020-  La robustesse de<br>la PI face A l’IA / Franck Macrez”></div>
<div class=N°454 – février 2020
EXPERTISES N°453 - janvier 2020 - RGPD : une révolution dans la continuité / Ariane MOLE
N°453 – janvier 2020
EXPERTISES N°452 - décembre 2019 - le droit de<br>la compliance<br>pour réguler l’internet / Marie-Anne Frison-Roche” title=”EXPERTISES N°452 – décembre 2019 – le droit de<br>la compliance<br>pour réguler l’internet / Marie-Anne Frison-Roche” description=”EXPERTISES N°452 – décembre 2019-  le droit de<br>la compliance<br>pour réguler l’internet / Marie-Anne Frison-Roche”></div>
<div class=N°452 – décembre 2019
EXPERTISES N°451 - novembre 2019 - Data brokers :</br>le trou noir</br>des données personnelles / Antoine Dubus” title=”EXPERTISES N°451 – novembre 2019 – Data brokers :</br>le trou noir</br>des données personnelles / Antoine Dubus” description=”EXPERTISES N°451 – novembre 2019-  Data brokers :</br>le trou noir</br>des données personnelles / Antoine Dubus”></div>
<div class=N°451 – novembre 2019
EXPERTISES N°450 - octobre 2019 - Numérique :<br>le défi fiscal / Frédéric Douet” title=”EXPERTISES N°450 – octobre 2019 – Numérique :<br>le défi fiscal / Frédéric Douet” description=”EXPERTISES N°450 – octobre 2019-  Numérique :<br>le défi fiscal / Frédéric Douet”></div>
<div class=N°450 – octobre 2019
EXPERTISES N°449 - septembre 2019 - L'impérialisme<br>juridique / Olivier de Maison Rouge” title=”EXPERTISES N°449 – septembre 2019 – L’impérialisme<br>juridique / Olivier de Maison Rouge” description=”EXPERTISES N°449 – septembre 2019-  L’impérialisme<br>juridique / Olivier de Maison Rouge”></div>
<div class=N°449 – septembre 2019
EXPERTISES N°448 - juillet 2019 - DPO : un métier<br>qui s’installe / Paul Olivier Gibert” title=”EXPERTISES N°448 – juillet 2019 – DPO : un métier<br>qui s’installe / Paul Olivier Gibert” description=”EXPERTISES N°448 – juillet 2019-  DPO : un métier<br>qui s’installe / Paul Olivier Gibert”></div>
<div class=N°448 – juillet 2019
EXPERTISES N°447 - juin 2019 - Le RGPD : du droit sans vision stratégique / Julien Nocetti
N°447 – juin 2019
EXPERTISES N°446 - mai 2019 - IGN : la gratuitE des données en question / Marie Pisan
N°446 – mai 2019
EXPERTISES N°445 - avril 2019 - Nom de domaine un actif et des risques / Nathalie Dreyfus
N°445 – avril 2019
EXPERTISES N°444 - mars 2019 - Les logiciels libres, un modèle mature / Benjamin Jean
N°444 – mars 2019
EXPERTISES N°443 - février 2019 - Résister à la gouvernance algorithmique / François Pellegrini
N°443 – février 2019
EXPERTISES N°442 - janvier 2019 - Anticiper sa survie numérique au-delà de sa mort / Mathieu Fontaine
N°442 – janvier 2019
EXPERTISES N°441 - décembre 2018 - Intelligence artificielle et médecine quelle éthique pour demain ? / David Gruson
N°441 – décembre 2018
EXPERTISES N°440 - novembre 2018 - Blockchain AS A SERVICE Démocratisation de la blockchain ? / Marc-Antoine Ledieu
N°440 – novembre 2018
EXPERTISES N°439 - octobre 2018 - Nathalie Nevejans / Nathalie Nevejans
N°439 – octobre 2018
EXPERTISES N°438 - septembre 2018 - Pour la médiation judiciaire en  propriété  intellectuelle / Françoise Barutel Naulleau
N°438 – septembre 2018
EXPERTISES N°437 - juillet 2018 - Science-fiction : quand l’imaginaire devient source de droit / Fabrice Defferrard
N°437 – juillet 2018
EXPERTISES N°436 - juin 2018 - CONTRATS, Accès indirects & coûts cachés : SAP BRISE LA GLACE AVEC Ses utilisateurs / Gianmaria Perancin
N°436 – juin 2018
EXPERTISES N°435 - mai 2018 - L’innovation prédatrice Un nouveau défi pour le droit de la concurrence / Thibault Schrepel
N°435 – mai 2018
EXPERTISES N°434 - avril 2018 - LES données LA NOUVELLE INGENIéRIE  DU POUVOIR / Adrien Basdevant
N°434 – avril 2018
EXPERTISES N°433 - mars 2018 - L’open data de la jurisprudence : Le casse-tête de l’anonymisation / Loïc Cadiet
N°433 – mars 2018
EXPERTISES N°432 - février 2018 - RGPD : vers un futur standard global / Max Schrems
N°432 – février 2018
EXPERTISES N°431 - janvier 2018 - L’angoisse du RGPD la Cnil rassure / Jean Lessi
N°431 – janvier 2018
EXPERTISES des systèmes d’informationmai 2025 – N°512

L'édito du mois

Le piège des tests génétiques récréatifs

Grâce à l’interdiction d’acheter des tests génétiques sur internet, acte passible de 3 750 € d’amende en vertu de l’article 226-28-1 du code pénal, les Français sont probablement beaucoup moins touchés par la faillite de la société américaine 23andMe, pionnière du séquençage génétique grand public. Le 23 mars dernier, l’ex-success story s’est placée sous la protection du chapitre 11 de la loi américaine sur les faillites, afin de lui permettre de fonctionner normalement, et de trouver un accord avec ses créanciers.

Dans la foulée, elle a proposé une vente aux enchères de ses actifs le 14 mai, incluant les données génétiques, suscitant ainsi la crainte de ses clients de voir leurs données personnelles et génétiques cédées au plus offrant. Cette société qui avait été valorisée à 6 milliards de dollars en 2021, ne valait plus que 20 millions de dollars dernièrement. Cela ne serait sans doute pas arrivé si elle avait adopté une politique sérieuse de protection et de sécurité des données sensibles de ses clients. 15 millions de personnes avaient confié leur identité génétique à 23andMe. Celle-ci ne se contentait pas de collecter des données purement génétiques via un prélèvement salivaire mais aussi un certain nombre de données de santé, à travers un questionnaire très précis et intrusif concernant la sexualité, l’apparence physique, les maladies, les allergies, etc. Au moment du lancement de l’offre à 99$, le coût du test pour l’entreprise était supérieur au prix demandé à ses clients. D’où l’idée de valoriser les résultats des tests et les données associées sur un second marché. La société proposait ainsi à ses clients de communiquer leurs données à leurs partenaires sous une forme non directement identifiante pour qu’ils les utilisent à des fins tant médicales que commerciales.

Mais en octobre 2023, 23andMe a subi un piratage informatique portant sur les données de 7 millions d’utilisateurs et notamment l’identité génétique complète de 14 000 clients. Mais les cybercriminels ont pu réidentifier un grand nombre de données en exploitant le fait que de nombreux utilisateurs utilisent les mêmes mots de passe sur plusieurs plateformes, et les ont croisés avec des données issues de fuites antérieures pour accéder aux comptes de 23andMe. Par ailleurs, les hackers ont également accédé aux données de milliers d’autres profils liés aux comptes piratés du fait que la plateforme permettait de relier ces données à celles de membres de leur famille.

Le 21 mars dernier, le procureur général de Californie lançait une alerte aux clients de 23andMe rappelant aux Californiens leur droit d’exiger la suppression de leurs données génétiques en vertu de la loi sur la protection des données génétiques (GIPA) et de la loi californienne sur la protection des données des consommateurs (CCPA) et la destruction de tout échantillon de matériel génétique détenu par l’entreprise et de révoquer le cas échéant l’autorisation d’utiliser ses données génétiques à des fins de recherche. Le 28 mars dernier, la Cnil, de son côté, publiait un communiqué dans lequel elle informe le public quant aux démarches à suivre sur le site de 23andMe pour supprimer ses données et son compte.

Mais il est déjà trop tard. La société a été fermée, rendant désormais cette démarche impossible ; l’accès aux serveurs a été bloqué, empêchant toute requête mais offrant ainsi à d’éventuels acquéreurs une base de données d’une grande valeur pour la recherche pharmaceutique, les assurances, etc.

Les données génétiques sont non seulement des données sensibles mais elles sont aussi des données collectives qui concernent toute une lignée. Et elles sont très convoitées. Les confier à une société privée, en plus basée aux Etats-Unis, relevait d’une grande insouciance, voire d’une complète inconscience. Malgré l’interdiction votée par la France (un des rares pays à l’avoir fait), des Français n’ont pas résisté à la curiosité de lever le voile sur leur origine. D’après le site Zataz, la base de données est apparue dans le darkweb, en février 2025, comportant 999 998 comptes dont ceux de 12 175 Français.

Le focus du mois

RGPD

Meta peut s’entraîner dans l’UE

Le 27 mai, Meta va commencer à entraîner ses modèles d’IA avec les données publiques des utilisateurs européens de Facebook, Instagram et Threads en s’appuyant sur l’avis du CEPD sur les modèles d’IA. Pour Meta, le Comité a confirmé sa position sur l’intérêt légitime en tant que base légale du traitement.

Les systèmes d’intelligence artificielle générative ont un appétit inextinguible de données. Or, les données de qualité viennent à manquer, limitant ainsi la rapidité et l’efficacité de l’entraînement des modèles d’IA. Si c’est le cas des « pure players » de l’IA, les réseaux sociaux, quant à eux, disposent d’une manne de données récentes et gratuites, celles que leurs utilisateurs partagent. Ce n’est pas pour rien qu’Elon Musk a fusionné xAI, qui a développé le chatbot Grok, et X. Ce n’est pas non plus un hasard si OpenAI laisse entendre qu’elle envisage de créer un réseau social, dans le but de disposer de ses propres données pour entraîner ses IA en temps réel. Google, quant à lui, dispose d’un flux de contenus provenant de son moteur de recherche et de YouTube. Cependant, même pour les réseaux sociaux ce n’est pas aussi simple, surtout en Europe à cause du RGPD. Le 11 avril dernier, la Data Protection Commission (DPC) d’Irlande a annoncé l’ouverture d’une enquête sur le réseau social X, relative à l’entraînement de Grok avec les tweets des utilisateurs européens. Et en septembre dernier, la Cnil irlandaise avait lancé une enquête formelle sur Google, concernant l’élaboration du modèle de langage à partir de données d’utilisateurs européens. Quant à Meta, le groupe a annoncé, le 14 avril dernier, qu’il allait entraîner ses modèles d’IA à partir des contenus publics de ses utilisateurs européens grâce à « la garantie donnée par la DPC et du Comité européen de la protection des données » sur la base légale du traitement portant sur l’intérêt légitime ».
« Nous améliorons continuellement l’IA de Meta. Pour ce faire, nous souhaitons vous informer que nous utiliserons des informations publiques telles que les publications et les commentaires publics de comptes appartenant à des personnes âgées de 18 ans ou plus, ainsi que vos interactions avec les fonctionnalités d’IA de Meta. Nous utiliserons ces informations sur la base de nos intérêts légitimes de développement et d’amélioration des modèles d’IA générative pour l’IA de Meta. Vous avez le droit de vous opposer à l’utilisation de vos informations à ces fins. Si vous faites part de votre opposition, nous vous enverrons un e-mail confirmant que nous n’utiliserons pas vos interactions avec les fonctionnalités d’IA de Meta ou vos informations publiques des produits Meta… ». Telle est, par exemple, la mise à jour de la politique de confidentialité d’Instagram intervenue le 7 avril dernier. Comme les membres de Facebook ou de Threads, les « instagramers » ont jusqu’au 27 mai pour s’opposer à ce que leurs productions servent de matière à l’entraînement de l’IA de Meta. Selon le groupe de Mark Zuckerberg, le CEPD a confirmé son interprétation de l’article 6 du RGPD, validant son intérêt légitime comme base légale du traitement. Par ailleurs, il a simplifié la démarche d’opposition, ce qui correspond à une exigence des autorités européennes.
L’entraînement de l’IA de Meta aurait dû débuter en juin 2024. C’était sans compter sur Max Schrems et son association Noyb. L’ONG autrichienne et d’autres organisations ont déposé 11 plaintes demandant aux autorités de protection des données d’Autriche, Belgique, France, Allemagne, Grèce, Italie, Irlande, Pays-Bas, Norvège, Pologne et Espagne de prendre une décision urgente avant l’entrée en vigueur des changements, qui devaient avoir lieu le 26 juin. Les plaignants considéraient que le traitement de leurs données n’avait pas de base légale, remettant en cause la thèse de l’intérêt légitime défendue par Meta et approuvée par l’autorité irlandaise. Meta a été contraint de mettre en pause l’entraînement européen de son IA.
La DPC a donc sollicité une position harmonisée du CEPD qui a rendu son avis le 18 décembre 2024. Le Comité explique comment l’intérêt légitime peut être utilisé comme base légale pour développer ou utiliser des modèles d’IA à partir d’un test en trois étapes : identifier un intérêt légitime réel et pertinent, démontrer que ce traitement est nécessaire pour atteindre cet objectif et effectuer une mise en balance des intérêts entre les bénéfices pour le responsable de traitement et les droits des personnes concernées.
« Nous saluons l’avis rendu par le Comité européen de la protection des données en décembre dernier, qui a confirmé que notre approche initiale était conforme à nos obligations légales », a déclaré Meta dans son communiqué du 14 avril annonçant le début de l’entraînement de ses modèles d’IA en Europe. Meta considère qu’il a obtenu une « garantie » du CEPD. Or, l’avis du Comité n’est pas une décision mais une opinion servant de base de raisonnement. Meta doit désormais convaincre de son intérêt légitime à traiter ces données, en l’absence d’autres moyens pour atteindre ses objectifs et que ce traitement ne porte pas une atteinte disproportionnée au droit des personnes. Par ailleurs, Noyb et Max Schrems restent persuadés que le consentement des utilisateurs est la seule base légale d’un tel traitement. Mais pour l’instant, ils n’ont pas réagi à l’annonce de Meta.
L’entraînement des modèles d’IA à partir des contenus créés par les utilisateurs n’est pas non plus sans poser de problèmes par rapport au droit d’auteur. Certes, quand une personne ouvre un compte sur un réseau social du groupe Meta, elle approuve des conditions générales par lesquelles elle accorde à la plateforme « une licence non exclusive, gratuite, transférable, sous-licenciable et mondiale » sur ses contenus. Mais une telle licence illimitée dans le temps est contraire au code de la propriété intellectuelle. Ses articles L.131-1et L.131-3 interdisent en effet la cession globale des œuvres futures et prévoient que « la transmission des droits de l’auteur est subordonnée à la condition que chacun des droits cédés fasse l’objet d’une mention distincte dans l’acte de cession et que le domaine d’exploitation des droits cédés soit délimité quant à son étendue et à sa destination, quant au lieu et quant à la durée ». Et puis, il faut respecter les droits moraux du créateur. La clause peut aussi être attaquée sous l’angle du droit de la consommation. Mais ces contentieux sont lourds et longs. Le risque pris par Meta est donc minime.
Meta souhaite disposer des données des Européens pour que ses produits basés sur l’IA soient « entraînés sur des informations qui reflètent la diversité des cultures et des langues des communautés européennes qui les utiliseront ». Ce qui est en effet souhaitable. On peut cependant s’interroger sur la valeur d’une IA entraînée sur des contenus pas toujours fiables, voire des fake news.

par Sylvie Rozenfeld

L'invité du mois

Interview / Claire Bernier, Vincent Geoffray et Bruce Bonnaure

par Sylvie Rozenfeld

Contrefaçon de logiciel à l’ère de l’IA

Dans une interview croisée, Claire Bernier (avocate), Vincent Geoffray (responsable juridique et ingénieur en informatique) et Bruce Bonnaure (expert judiciaire) nous livrent leurs points de vue relatifs à l’impact de l’intelligence artificielle sur la protection des logiciels et sur les saisies-contrefaçons. Même si l’IA génère du code, la forme finale sera celle retenue par les développeurs. Le principe de l’originalité du logiciel n’est pas remis en cause. En revanche, la contrefaçon qui sera facilitée sera plus dure à caractériser. L’IA peut en effet favoriser la contrefaçon en la masquant mais elle peut aussi permettre de la détecter. D’où la nécessité d’établir de bonnes pratiques et de conserver tout ce qui a trait aux développements, y compris les prompts.

Sylvie Rozenfeld : Ces dernières années, les méthodes de programmation ont beaucoup évolué, notamment avec le recours à l’intelligence artificielle. En 2025, l’IA ne se contente plus de suggérer des bouts de code ou de compléter des fonctions : elle est capable de générer des applications fonctionnelles, à condition d’avoir un développeur expérimenté. Lors d’une matinale de l’AFDIT consacrée à la défense de l’investissement logiciel, Claire Bernier (ADSTO Avocats), Vincent Geoffray (responsable juridique adjoint Vinci Energie, ingénieur en informatique de formation) et Bruce Bonnaure (expert judiciaire, Expertis Lab), vous avez abordé l’évolution de la contrefaçon du logiciel avec le recours à l’IA pour la conception et le développement informatique et l’impact sur la saisie-contrefaçon. J’ai été très intéressée par les regards croisés d’une avocate, d’un juriste d’entreprise et d’un expert judiciaire et j’ai pensé qu’ils pourraient intéresser les lecteurs d’Expertises.

L’IA est-elle une aide à la contrefaçon ?

Bruce Bonnaure : D’un côté, l’IA peut permettre de générer du code en faisant en sorte de ne pas commettre de contrefaçon. On va lui demander de le faire en intégrant des filtres pour recourir au maximum à de l’open source, des bibliothèques existantes, etc. Il existe de bonnes pratiques pour éviter de copier un code existant protégé par un droit d’auteur. Il y a quelques années, j’avais été consulté par une société qui développait un système de recherche et qui m’avait justement demandé qu’elles étaient les bonnes pratiques à mettre en œuvre pour que le développeur se rapproche le moins possible de ce qui existait par ailleurs sur son marché. Dans les bonnes pratiques, il y a notamment la documentation et la traçabilité de tout ce que l’on fait, la justification des choix opérés sur les structures, les langages, les outils, etc. Quand on dispose de tous ces éléments dans un dossier technique même si le produit ressemble fonctionnellement à un autre, ça lui donne du corps.
D’un autre côté, l’IA peut également être utilisée pour détecter les contrefaçons, donc aussi pour permettre de s’en éloigner. Il existe notamment des outils pour déceler des similarités de codes. Il s’agit de demander à l’IA une analyse automatique des similarités et de coder différemment un logiciel. Ainsi, on peut volontairement changer le code pour écarter les similitudes. La structure de l’application informatique est également très importante car elle peut également dévoiler des similitudes. Certains outils utilisés par l’IA peuvent permettre d’apporter également des modifications structurelles susceptibles de masquer un acte de contrefaçon. En présence de deux séquences informatiques écrites dans deux langages distincts sur la base de deux structures apparemment différentes, on peut néanmoins observer, dans le bytecode, qui est la partie intermédiaire entre le code source et l’exécutable, que deux applications d’apparence différente ont les mêmes finalités et utilisent les mêmes mécanismes logiques. On peut ainsi détecter l’existence d’une ressemblance entre deux développements. Certes, l’IA fournit des moyens pour masquer une certaine forme de contrefaçon ou de plagiat mais on peut utiliser l’IA, à l’inverse, pour détecter que deux applications dont l’apparence est différente ont une logique commune et une filiation.

Claire Bernier : Lorsque l’on s’adresse à l’IA dans ce contexte, l’approche est différente entre demander à quelqu’un de développer du code et d’utiliser l’IA afin de vérifier qu’il n’y a pas de copie involontaire, bien que le développeur soit parti de zéro pour rédiger son code car c’est son « empreinte » qui est à l’origine de la rédaction du code, mais il est possible qu’il ait repris inconsciemment ou involontairement des partis de codes développés par le passé, et celle qui consiste à demander à l’IA de modifier toute partie de code qui aurait été volontairement copiée pour dissimuler cette reprise de code. Cette ligne entre les deux est très ténue et l’expert va avoir du mal à les distinguer. Pour résumer, ça va être différent entre ce prompt : « dis-moi si j’ai copié des éléments du code A pour arriver au code B » où le code B a été développé à partir de zéro, et celui-là : « Fais que le code B ne soit pas une copie du code A » où le code B a été développé, voire est une copie du code A dès l’origine. Donc, l’expert va devoir mettre en exergue un faisceau d’indices pour déterminer la démarche adoptée par le développeur dans la rédaction du code B. Au bout du bout et si l’on pousse ce raisonnement à l’extrême, dans les situations dans lesquelles l’IA a été sollicité…

Les doctrines du mois

Blockchain

La qualification juridique des DAO en droit français : analyse théorique et pratique (1ère partie)

Par Thibault Verbiest

La Decentralized Autonomous Organization (DAO, en français Organisation Autonome Décentralisée) est une forme d’organisation née de la technologie blockchain. La qualification juridique de la DAO en droit français demeure incertaine. À ce jour, elle est traitée comme un groupement de fait sans personnalité morale. La première partie dans ce numéro pose les termes de la problématique de la qualification en droit français et les obstacles d’une reconnaissance juridique de la DAO. La seconde partie qui paraîtra dans le numéro suivant portera sur les formes juridiques pour encadrer une DAO en France.

Intelligence artificielle

Les hallucinations de l’IA générative – Obligations professionnelles et moyens de réduction

Par Daniel GUINIER

L'intelligence artificielle générative, notamment via les transformeurs pré-entraînés (GPT), fait sensation avec des applications comme ChatGPT1. D'un usage facile, ce dernier combine un modèle de langage et un espace de dialogue, permettant aux utilisateurs de faire des demandes variées et d'obtenir en retour des réponses fluides ou des productions impressionnantes. Cependant, les GPT présentent un défaut préoccupant, les "hallucinations", où des informations plausibles mais incorrectes, sont générées, avec un risque important, notamment dans des domaines sensibles. L'auteur se propose d'aborder ces hallucinations au travers des raisons liées à leur apparition, mais aussi d'examiner les obligations professionnelles, à l'exemple des avocats, médecins et informaticiens, pour en éviter les conséquences, et les moyens techniques pour les limiter.

Intelligence artificielle

Mise en œuvre du RIA : le rôle-clé des autorités nationales

Par Garance Mathias et Eva Aspe

Au-delà d’introduire l’éthique dans le champ réglementaire, le Règlement européen sur l’intelligence artificielle (AI Act)1 permet aux Etats membres, au regard de leur organisation et spécificités, de désigner leurs autorités en charge du contrôle et de la supervision de l’application du texte. Ces autorités ont un rôle essentiel dans la régulation des différents secteurs d’activités et usages de l’IA ; et doivent être désignées selon le calendrier prévu par le Règlement.

Preuve

Constats de commissaires de justice sur internet : bonnes et mauvaises pratiques

Par Sylvain Joyeux et Corentin Pousset-Bougère

En l’absence de toute législation impérative sur le contenu du constat en ligne de commissaire de justice, deux décisions de justice récentes nous apportent un éclairage sur les critères d’appréciation de leur validité et de leur contenu.

Règlementation européenne

Dora : clarification des obligations de surveillance des sous-traitants ultérieurs

Par Vincent DENOYELLE et Camille LARREUR

Le 24 mars 2025 de nouvelles normes techniques de règlementation (les "Regulatory Technical Standards") relatives aux éléments qu'une entité financière doit déterminer et évaluer lorsqu’elle sous-traite des services TIC ont été adoptées.

RGPD

Demandes de droits : outil de protection ou instrument de pression ?

Par Alexandra ITEANU

Les droits des personnes concernées prévus par le RGPD sont de plus en plus invoqués, parfois de manière abusive ou détournée. Le règlement comporte des limitations que les autorités de contrôle et les tribunaux veillent à faire respecter.

RGPD

Fonctions du DPO : l’entreprise avait tout faux

Par Alexandre FIEVEE

Comme chaque mois, Alexandre Fievée tente d’apporter des réponses aux questions que tout le monde se pose en matière de protection des données personnelles, en s’appuyant sur les décisions rendues par les différentes autorités de contrôle nationales au niveau européen et les juridictions européennes. Ce mois-ci, il se penche sur la question des exigences du RGPD concernant les fonctions du DPO.

Expertises : Droit, technologies & prospectives

Tous les mois, toute l'actualité du numérique... Et tellement plus !

FORMULES D'ABONNEMENT

EXPERTISES N°497
EXPERTISES N°454
EXPERTISES N°442
EXPERTISES N°458
EXPERTISES N°510
EXPERTISES N°474