Expertises
Droit, technologies & prospectives
interview / Claire BERNIER, Vincent GEOFFRAY et Bruce BONNAURE
CONTREFAÇON DE LOGICIEL À L’ÈRE DE L’IA

Droit, technologies & prospectives
Tous les mois, toute l'actualité du numérique... Et tellement plus !
Nos derniers numéros



















































































Sommaire
Edito
Focus
En bref
L’information rapide sur le monde du numérique
Magazine
L’information légale et jurisprudentielle du numérique
Interview
Doctrines
La qualification juridique des DAO en droit français : analyse théorique et pratique (1ère partie)
Les hallucinations de l’IA générative – Obligations professionnelles et moyens de réduction
Mise en œuvre du RIA : le rôle-clé des autorités nationales
Constats de commissaires de justice sur internet : bonnes et mauvaises pratiques
Dora : clarification des obligations de surveillance des sous-traitants ultérieurs
Demandes de droits : outil de protection ou instrument de pression ?
Fonctions du DPO : l’entreprise avait tout faux
L'édito du mois
Le piège des tests génétiques récréatifs
Grâce à l’interdiction d’acheter des tests génétiques sur internet, acte passible de 3 750 € d’amende en vertu de l’article 226-28-1 du code pénal, les Français sont probablement beaucoup moins touchés par la faillite de la société américaine 23andMe, pionnière du séquençage génétique grand public. Le 23 mars dernier, l’ex-success story s’est placée sous la protection du chapitre 11 de la loi américaine sur les faillites, afin de lui permettre de fonctionner normalement, et de trouver un accord avec ses créanciers.
Dans la foulée, elle a proposé une vente aux enchères de ses actifs le 14 mai, incluant les données génétiques, suscitant ainsi la crainte de ses clients de voir leurs données personnelles et génétiques cédées au plus offrant. Cette société qui avait été valorisée à 6 milliards de dollars en 2021, ne valait plus que 20 millions de dollars dernièrement. Cela ne serait sans doute pas arrivé si elle avait adopté une politique sérieuse de protection et de sécurité des données sensibles de ses clients. 15 millions de personnes avaient confié leur identité génétique à 23andMe. Celle-ci ne se contentait pas de collecter des données purement génétiques via un prélèvement salivaire mais aussi un certain nombre de données de santé, à travers un questionnaire très précis et intrusif concernant la sexualité, l’apparence physique, les maladies, les allergies, etc. Au moment du lancement de l’offre à 99$, le coût du test pour l’entreprise était supérieur au prix demandé à ses clients. D’où l’idée de valoriser les résultats des tests et les données associées sur un second marché. La société proposait ainsi à ses clients de communiquer leurs données à leurs partenaires sous une forme non directement identifiante pour qu’ils les utilisent à des fins tant médicales que commerciales.
Mais en octobre 2023, 23andMe a subi un piratage informatique portant sur les données de 7 millions d’utilisateurs et notamment l’identité génétique complète de 14 000 clients. Mais les cybercriminels ont pu réidentifier un grand nombre de données en exploitant le fait que de nombreux utilisateurs utilisent les mêmes mots de passe sur plusieurs plateformes, et les ont croisés avec des données issues de fuites antérieures pour accéder aux comptes de 23andMe. Par ailleurs, les hackers ont également accédé aux données de milliers d’autres profils liés aux comptes piratés du fait que la plateforme permettait de relier ces données à celles de membres de leur famille.
Le 21 mars dernier, le procureur général de Californie lançait une alerte aux clients de 23andMe rappelant aux Californiens leur droit d’exiger la suppression de leurs données génétiques en vertu de la loi sur la protection des données génétiques (GIPA) et de la loi californienne sur la protection des données des consommateurs (CCPA) et la destruction de tout échantillon de matériel génétique détenu par l’entreprise et de révoquer le cas échéant l’autorisation d’utiliser ses données génétiques à des fins de recherche. Le 28 mars dernier, la Cnil, de son côté, publiait un communiqué dans lequel elle informe le public quant aux démarches à suivre sur le site de 23andMe pour supprimer ses données et son compte.
Mais il est déjà trop tard. La société a été fermée, rendant désormais cette démarche impossible ; l’accès aux serveurs a été bloqué, empêchant toute requête mais offrant ainsi à d’éventuels acquéreurs une base de données d’une grande valeur pour la recherche pharmaceutique, les assurances, etc.
Les données génétiques sont non seulement des données sensibles mais elles sont aussi des données collectives qui concernent toute une lignée. Et elles sont très convoitées. Les confier à une société privée, en plus basée aux Etats-Unis, relevait d’une grande insouciance, voire d’une complète inconscience. Malgré l’interdiction votée par la France (un des rares pays à l’avoir fait), des Français n’ont pas résisté à la curiosité de lever le voile sur leur origine. D’après le site Zataz, la base de données est apparue dans le darkweb, en février 2025, comportant 999 998 comptes dont ceux de 12 175 Français.
Le focus du mois
Meta peut s’entraîner dans l’UE
Le 27 mai, Meta va commencer à entraîner ses modèles d’IA avec les données publiques des utilisateurs européens de Facebook, Instagram et Threads en s’appuyant sur l’avis du CEPD sur les modèles d’IA. Pour Meta, le Comité a confirmé sa position sur l’intérêt légitime en tant que base légale du traitement.

Les systèmes d’intelligence artificielle générative ont un appétit inextinguible de données. Or, les données de qualité viennent à manquer, limitant ainsi la rapidité et l’efficacité de l’entraînement des modèles d’IA. Si c’est le cas des « pure players » de l’IA, les réseaux sociaux, quant à eux, disposent d’une manne de données récentes et gratuites, celles que leurs utilisateurs partagent. Ce n’est pas pour rien qu’Elon Musk a fusionné xAI, qui a développé le chatbot Grok, et X. Ce n’est pas non plus un hasard si OpenAI laisse entendre qu’elle envisage de créer un réseau social, dans le but de disposer de ses propres données pour entraîner ses IA en temps réel. Google, quant à lui, dispose d’un flux de contenus provenant de son moteur de recherche et de YouTube. Cependant, même pour les réseaux sociaux ce n’est pas aussi simple, surtout en Europe à cause du RGPD. Le 11 avril dernier, la Data Protection Commission (DPC) d’Irlande a annoncé l’ouverture d’une enquête sur le réseau social X, relative à l’entraînement de Grok avec les tweets des utilisateurs européens. Et en septembre dernier, la Cnil irlandaise avait lancé une enquête formelle sur Google, concernant l’élaboration du modèle de langage à partir de données d’utilisateurs européens. Quant à Meta, le groupe a annoncé, le 14 avril dernier, qu’il allait entraîner ses modèles d’IA à partir des contenus publics de ses utilisateurs européens grâce à « la garantie donnée par la DPC et du Comité européen de la protection des données » sur la base légale du traitement portant sur l’intérêt légitime ».
« Nous améliorons continuellement l’IA de Meta. Pour ce faire, nous souhaitons vous informer que nous utiliserons des informations publiques telles que les publications et les commentaires publics de comptes appartenant à des personnes âgées de 18 ans ou plus, ainsi que vos interactions avec les fonctionnalités d’IA de Meta. Nous utiliserons ces informations sur la base de nos intérêts légitimes de développement et d’amélioration des modèles d’IA générative pour l’IA de Meta. Vous avez le droit de vous opposer à l’utilisation de vos informations à ces fins. Si vous faites part de votre opposition, nous vous enverrons un e-mail confirmant que nous n’utiliserons pas vos interactions avec les fonctionnalités d’IA de Meta ou vos informations publiques des produits Meta… ». Telle est, par exemple, la mise à jour de la politique de confidentialité d’Instagram intervenue le 7 avril dernier. Comme les membres de Facebook ou de Threads, les « instagramers » ont jusqu’au 27 mai pour s’opposer à ce que leurs productions servent de matière à l’entraînement de l’IA de Meta. Selon le groupe de Mark Zuckerberg, le CEPD a confirmé son interprétation de l’article 6 du RGPD, validant son intérêt légitime comme base légale du traitement. Par ailleurs, il a simplifié la démarche d’opposition, ce qui correspond à une exigence des autorités européennes.
L’entraînement de l’IA de Meta aurait dû débuter en juin 2024. C’était sans compter sur Max Schrems et son association Noyb. L’ONG autrichienne et d’autres organisations ont déposé 11 plaintes demandant aux autorités de protection des données d’Autriche, Belgique, France, Allemagne, Grèce, Italie, Irlande, Pays-Bas, Norvège, Pologne et Espagne de prendre une décision urgente avant l’entrée en vigueur des changements, qui devaient avoir lieu le 26 juin. Les plaignants considéraient que le traitement de leurs données n’avait pas de base légale, remettant en cause la thèse de l’intérêt légitime défendue par Meta et approuvée par l’autorité irlandaise. Meta a été contraint de mettre en pause l’entraînement européen de son IA.
La DPC a donc sollicité une position harmonisée du CEPD qui a rendu son avis le 18 décembre 2024. Le Comité explique comment l’intérêt légitime peut être utilisé comme base légale pour développer ou utiliser des modèles d’IA à partir d’un test en trois étapes : identifier un intérêt légitime réel et pertinent, démontrer que ce traitement est nécessaire pour atteindre cet objectif et effectuer une mise en balance des intérêts entre les bénéfices pour le responsable de traitement et les droits des personnes concernées.
« Nous saluons l’avis rendu par le Comité européen de la protection des données en décembre dernier, qui a confirmé que notre approche initiale était conforme à nos obligations légales », a déclaré Meta dans son communiqué du 14 avril annonçant le début de l’entraînement de ses modèles d’IA en Europe. Meta considère qu’il a obtenu une « garantie » du CEPD. Or, l’avis du Comité n’est pas une décision mais une opinion servant de base de raisonnement. Meta doit désormais convaincre de son intérêt légitime à traiter ces données, en l’absence d’autres moyens pour atteindre ses objectifs et que ce traitement ne porte pas une atteinte disproportionnée au droit des personnes. Par ailleurs, Noyb et Max Schrems restent persuadés que le consentement des utilisateurs est la seule base légale d’un tel traitement. Mais pour l’instant, ils n’ont pas réagi à l’annonce de Meta.
L’entraînement des modèles d’IA à partir des contenus créés par les utilisateurs n’est pas non plus sans poser de problèmes par rapport au droit d’auteur. Certes, quand une personne ouvre un compte sur un réseau social du groupe Meta, elle approuve des conditions générales par lesquelles elle accorde à la plateforme « une licence non exclusive, gratuite, transférable, sous-licenciable et mondiale » sur ses contenus. Mais une telle licence illimitée dans le temps est contraire au code de la propriété intellectuelle. Ses articles L.131-1et L.131-3 interdisent en effet la cession globale des œuvres futures et prévoient que « la transmission des droits de l’auteur est subordonnée à la condition que chacun des droits cédés fasse l’objet d’une mention distincte dans l’acte de cession et que le domaine d’exploitation des droits cédés soit délimité quant à son étendue et à sa destination, quant au lieu et quant à la durée ». Et puis, il faut respecter les droits moraux du créateur. La clause peut aussi être attaquée sous l’angle du droit de la consommation. Mais ces contentieux sont lourds et longs. Le risque pris par Meta est donc minime.
Meta souhaite disposer des données des Européens pour que ses produits basés sur l’IA soient « entraînés sur des informations qui reflètent la diversité des cultures et des langues des communautés européennes qui les utiliseront ». Ce qui est en effet souhaitable. On peut cependant s’interroger sur la valeur d’une IA entraînée sur des contenus pas toujours fiables, voire des fake news.
L'invité du mois
Interview / Claire Bernier, Vincent Geoffray et Bruce Bonnaure
Contrefaçon de logiciel à l’ère de l’IA
Dans une interview croisée, Claire Bernier (avocate), Vincent Geoffray (responsable juridique et ingénieur en informatique) et Bruce Bonnaure (expert judiciaire) nous livrent leurs points de vue relatifs à l’impact de l’intelligence artificielle sur la protection des logiciels et sur les saisies-contrefaçons. Même si l’IA génère du code, la forme finale sera celle retenue par les développeurs. Le principe de l’originalité du logiciel n’est pas remis en cause. En revanche, la contrefaçon qui sera facilitée sera plus dure à caractériser. L’IA peut en effet favoriser la contrefaçon en la masquant mais elle peut aussi permettre de la détecter. D’où la nécessité d’établir de bonnes pratiques et de conserver tout ce qui a trait aux développements, y compris les prompts.

Sylvie Rozenfeld : Ces dernières années, les méthodes de programmation ont beaucoup évolué, notamment avec le recours à l’intelligence artificielle. En 2025, l’IA ne se contente plus de suggérer des bouts de code ou de compléter des fonctions : elle est capable de générer des applications fonctionnelles, à condition d’avoir un développeur expérimenté. Lors d’une matinale de l’AFDIT consacrée à la défense de l’investissement logiciel, Claire Bernier (ADSTO Avocats), Vincent Geoffray (responsable juridique adjoint Vinci Energie, ingénieur en informatique de formation) et Bruce Bonnaure (expert judiciaire, Expertis Lab), vous avez abordé l’évolution de la contrefaçon du logiciel avec le recours à l’IA pour la conception et le développement informatique et l’impact sur la saisie-contrefaçon. J’ai été très intéressée par les regards croisés d’une avocate, d’un juriste d’entreprise et d’un expert judiciaire et j’ai pensé qu’ils pourraient intéresser les lecteurs d’Expertises.
L’IA est-elle une aide à la contrefaçon ?
Bruce Bonnaure : D’un côté, l’IA peut permettre de générer du code en faisant en sorte de ne pas commettre de contrefaçon. On va lui demander de le faire en intégrant des filtres pour recourir au maximum à de l’open source, des bibliothèques existantes, etc. Il existe de bonnes pratiques pour éviter de copier un code existant protégé par un droit d’auteur. Il y a quelques années, j’avais été consulté par une société qui développait un système de recherche et qui m’avait justement demandé qu’elles étaient les bonnes pratiques à mettre en œuvre pour que le développeur se rapproche le moins possible de ce qui existait par ailleurs sur son marché. Dans les bonnes pratiques, il y a notamment la documentation et la traçabilité de tout ce que l’on fait, la justification des choix opérés sur les structures, les langages, les outils, etc. Quand on dispose de tous ces éléments dans un dossier technique même si le produit ressemble fonctionnellement à un autre, ça lui donne du corps.
D’un autre côté, l’IA peut également être utilisée pour détecter les contrefaçons, donc aussi pour permettre de s’en éloigner. Il existe notamment des outils pour déceler des similarités de codes. Il s’agit de demander à l’IA une analyse automatique des similarités et de coder différemment un logiciel. Ainsi, on peut volontairement changer le code pour écarter les similitudes. La structure de l’application informatique est également très importante car elle peut également dévoiler des similitudes. Certains outils utilisés par l’IA peuvent permettre d’apporter également des modifications structurelles susceptibles de masquer un acte de contrefaçon. En présence de deux séquences informatiques écrites dans deux langages distincts sur la base de deux structures apparemment différentes, on peut néanmoins observer, dans le bytecode, qui est la partie intermédiaire entre le code source et l’exécutable, que deux applications d’apparence différente ont les mêmes finalités et utilisent les mêmes mécanismes logiques. On peut ainsi détecter l’existence d’une ressemblance entre deux développements. Certes, l’IA fournit des moyens pour masquer une certaine forme de contrefaçon ou de plagiat mais on peut utiliser l’IA, à l’inverse, pour détecter que deux applications dont l’apparence est différente ont une logique commune et une filiation.
Claire Bernier : Lorsque l’on s’adresse à l’IA dans ce contexte, l’approche est différente entre demander à quelqu’un de développer du code et d’utiliser l’IA afin de vérifier qu’il n’y a pas de copie involontaire, bien que le développeur soit parti de zéro pour rédiger son code car c’est son « empreinte » qui est à l’origine de la rédaction du code, mais il est possible qu’il ait repris inconsciemment ou involontairement des partis de codes développés par le passé, et celle qui consiste à demander à l’IA de modifier toute partie de code qui aurait été volontairement copiée pour dissimuler cette reprise de code. Cette ligne entre les deux est très ténue et l’expert va avoir du mal à les distinguer. Pour résumer, ça va être différent entre ce prompt : « dis-moi si j’ai copié des éléments du code A pour arriver au code B » où le code B a été développé à partir de zéro, et celui-là : « Fais que le code B ne soit pas une copie du code A » où le code B a été développé, voire est une copie du code A dès l’origine. Donc, l’expert va devoir mettre en exergue un faisceau d’indices pour déterminer la démarche adoptée par le développeur dans la rédaction du code B. Au bout du bout et si l’on pousse ce raisonnement à l’extrême, dans les situations dans lesquelles l’IA a été sollicité…
Les doctrines du mois
La qualification juridique des DAO en droit français : analyse théorique et pratique (1ère partie)
La Decentralized Autonomous Organization (DAO, en français Organisation Autonome Décentralisée) est une forme d’organisation née de la technologie blockchain. La qualification juridique de la DAO en droit français demeure incertaine. À ce jour, elle est traitée comme un groupement de fait sans personnalité morale. La première partie dans ce numéro pose les termes de la problématique de la qualification en droit français et les obstacles d’une reconnaissance juridique de la DAO. La seconde partie qui paraîtra dans le numéro suivant portera sur les formes juridiques pour encadrer une DAO en France.
Les hallucinations de l’IA générative – Obligations professionnelles et moyens de réduction
L'intelligence artificielle générative, notamment via les transformeurs pré-entraînés (GPT), fait sensation avec des applications comme ChatGPT1. D'un usage facile, ce dernier combine un modèle de langage et un espace de dialogue, permettant aux utilisateurs de faire des demandes variées et d'obtenir en retour des réponses fluides ou des productions impressionnantes. Cependant, les GPT présentent un défaut préoccupant, les "hallucinations", où des informations plausibles mais incorrectes, sont générées, avec un risque important, notamment dans des domaines sensibles. L'auteur se propose d'aborder ces hallucinations au travers des raisons liées à leur apparition, mais aussi d'examiner les obligations professionnelles, à l'exemple des avocats, médecins et informaticiens, pour en éviter les conséquences, et les moyens techniques pour les limiter.
Mise en œuvre du RIA : le rôle-clé des autorités nationales
Au-delà d’introduire l’éthique dans le champ réglementaire, le Règlement européen sur l’intelligence artificielle (AI Act)1 permet aux Etats membres, au regard de leur organisation et spécificités, de désigner leurs autorités en charge du contrôle et de la supervision de l’application du texte. Ces autorités ont un rôle essentiel dans la régulation des différents secteurs d’activités et usages de l’IA ; et doivent être désignées selon le calendrier prévu par le Règlement.
Constats de commissaires de justice sur internet : bonnes et mauvaises pratiques
En l’absence de toute législation impérative sur le contenu du constat en ligne de commissaire de justice, deux décisions de justice récentes nous apportent un éclairage sur les critères d’appréciation de leur validité et de leur contenu.
Dora : clarification des obligations de surveillance des sous-traitants ultérieurs
Le 24 mars 2025 de nouvelles normes techniques de règlementation (les "Regulatory Technical Standards") relatives aux éléments qu'une entité financière doit déterminer et évaluer lorsqu’elle sous-traite des services TIC ont été adoptées.
Demandes de droits : outil de protection ou instrument de pression ?
Les droits des personnes concernées prévus par le RGPD sont de plus en plus invoqués, parfois de manière abusive ou détournée. Le règlement comporte des limitations que les autorités de contrôle et les tribunaux veillent à faire respecter.
Fonctions du DPO : l’entreprise avait tout faux
Comme chaque mois, Alexandre Fievée tente d’apporter des réponses aux questions que tout le monde se pose en matière de protection des données personnelles, en s’appuyant sur les décisions rendues par les différentes autorités de contrôle nationales au niveau européen et les juridictions européennes. Ce mois-ci, il se penche sur la question des exigences du RGPD concernant les fonctions du DPO.
Tous les mois, toute l'actualité du numérique... Et tellement plus !
FORMULES D'ABONNEMENT





