Le Code de bonnes pratiques sur les IA à usage général est en vigueur ! (1/3 : droit d’auteur)
Depuis octobre dernier, institutions, experts, industriels et représentants de la société civile travaillent à l’élaboration du Code de bonnes practiques sur les IA à usage général, un instrument non contraignant juridiquement, mais conçu pour servir de référence à la fois technique, éthique et organisationnelle. Ce Code vise à faciliter la conformité avec les dispositions du Règlement sur l’IA (AI Act), en particulier les articles 53 à 55, et à instaurer une culture commune de prévention des risques systémiques associés aux GPAI. Il est entré en vigueur le 2 août 2025 .
Ce Code repose sur dix engagements majeurs qui couvrent l’ensemble du cycle de vie des modèles : de leur conception initiale à leur évaluation, leur surveillance post-commercialisation, leur sécurisation, et leur documentation.
L’objectif est double : permettre l’innovation dans un cadre de confiance, et anticiper les risques susceptibles d’affecter la santé, la sécurité, les droits fondamentaux, la démocratie ou l’environnement.
Le Code se divise en trois chapitres : sur les droits d’auteurs (“Copyright”), sur la transparence (“Transparency”) et sur la sécurité (“Safety and Security”).
1ère PARTIE : Les droits d’auteur
L'article 53(1)(c) de l’AI Act impose aux fournisseurs mettant sur le marché européen des modèles d’IA à usage général de se doter d’une politique de conformité au droit de l’Union en matière de droit d’auteur et de droits voisins.
Mais qu’est-ce que cela veut dire concrètement ?
Le Code de bonnes pratiques propose cinq mesures visant à structurer une politique de copyright cohérente, techniquement applicable et juridiquement robuste.
Exposons ces mesures avant d’aborder leur efficacité.
- 1. Chaque fournisseur de modèle doit rédiger, maintenir et appliquer une politique interne de conformité au droit d’auteur formalisée dans un document unique, incluant l’ensemble des engagements prévus et désignant explicitement des personnes ou entités internes responsables de la politique de copyright. Objectifs : gouvernance et traçabilité, pour limitation de l’utilisation d’œuvres protégées dans l’entraînement des modèles d’IA.
- 2. Dans la phase de collecte des données en ligne, notamment via le web crawling, les signataires s’engagent à ne reproduire ni extraire que des contenus rendus licitement accessibles au public. En outre, ils doivent exclure des opérations de crawling les sites identifiés par les juridictions ou autorités publiques européennes comme violant de manière répétée et systématique le droit d’auteur à des fins commerciales. Une liste de ces sites sera tenue à jour.
- 3. Pour détecter et respecter les réserves de droits exprimées par les titulaires, le COP impose aux signataires d’utiliser des outils techniques, notamment des webcrawlers, capables de lire et d’appliquer les instructions contenues dans les fichiers robots.txt et de reconnaître d’autres formes de réserves de droits lisibles par machine, qu’il s’agisse de métadonnées ou de balises intégrées aux contenus, dès lors qu’elles sont techniquement applicables et reconnues au sein des secteurs culturels concernés. En parallèle, les signataires doivent publier des informations sur leurs outils de crawling, permettre aux titulaires d’être informés automatiquement des mises à jour, et veiller à ce que le respect des réserves de droits n’affecte pas indûment l’indexation des contenus dans les moteurs de recherche, s’ils en exploitent. Ce sont des mesures lourdes techniquement mais qui cristallisent la nécessaire articulation entre régulation technique, reconnaissance des droits et transparence des pratiques.
- 4. Pour réduire les risques d’atteinte au droit d’auteur par les modèles eux-mêmes, une fois entraînés, es fournisseurs s’engagent à mettre en place des dispositifs techniques pour éviter que leurs modèles ne génèrent des sorties qui reproduiraient de manière illicite des contenus protégés présents dans les données d’entraînement. Ce volet renvoie à la problématique de la "mémorisation" des données, dans laquelle certains modèles peuvent, volontairement ou non, restituer des extraits protégés. En complément, les fournisseurs doivent intégrer une clause interdisant les usages violant le droit d’auteur dans leurs conditions générales, leur politique d’utilisation ou la documentation accompagnant le modèle. Attention, Cette exigence vaut dans toutes les situations, y compris pour les modèles distribués sous licence libre, que le modèle soit exploité directement par le fournisseur ou mis à disposition de tiers. Elle vise ainsi à responsabiliser l’ensemble de la chaîne de distribution et d’utilisation.
- 5. Pour renforcer les droits procéduraux des titulaires, le COP impose aux fournisseurs de désigner un point de contact électronique pour faciliter la communication avec les ayants droits affectés et de mettre en place un mécanisme de dépôt de plainte accessible et fonctionnel, permettant aux titulaires ou à leurs représentants - y compris les sociétés de gestion collective - de signaler toute violation présumée des engagements du Code de bonnes pratiques. Le texte précise que ce mécanisme ne se substitue pas aux recours juridictionnels. Il inscrit une logique de dialogue et de responsabilité dans la relation entre les développeurs de modèles d’IA et les titulaires de droits.
Que penser de tout cela ?
Il est indéniable que le Code de bonnes pratiques donne une clef de lecture claire de l’article 53(1)(c) du règlement AI Act. Mais il reste des interrogations sur l'effectivité, la précision juridique et la portée pratique de ces mesures.
- C’est inhérent à la nature volontaire du dispositif. . En l’absence de mécanisme de reddition de comptes ou de validation externe, le risque est que ces engagements demeurent à l’état déclaratif. Ce manque de transparence nuit à la crédibilité de l’ensemble du dispositif, particulièrement pour les ayants droit qui n’ont aucun moyen indépendant de vérifier l’effectivité des engagements pris.
- S’ajoute à cela une incertitude juridique importante autour de la notion de “contenu accessible de manière licite”. Le Code exige que les fournisseurs ne collectent que des contenus rendus accessibles légalement, mais sans définir précisément ce que cela recouvre. Or, de nombreux contenus présents en ligne peuvent être consultables sans autorisation explicite de l’auteur ou de l’éditeur, sans pour autant que cette accessibilité soit illicite au sens du droit d’auteur. De plus, le dispositif d’exclusion des sites identifiés comme contrefaisants repose sur des listes tenues par des autorités ou juridictions nationales dont on connait la réactivité... Rien ne garantit leur exhaustivité, leur harmonisation ou leur mise à jour régulière. En pratique, cela expose les fournisseurs à intégrer, même involontairement, des données provenant de sources illicites.
- L’efficacité réelle des réserves de droits exprimées par les ayants droit, elle repose essentiellement sur les fichiers robots.txt.. Or ce protocole est obsolète et peu efficace pour refuser l'utilisation de ces fichiers. En outre, les obligations des fournisseurs en la matière restent limitées à l’usage “raisonnable” de crawlers compatibles, sans obligation d’exhaustivité ni de rétrocompatibilité avec d'autres formats de balisage. Faute d’un standard technique juridiquement reconnu à l’échelle de l’Union, cette mesure risque de rester largement inopérante dans la pratique.
- La prévention des violations du droit d’auteur dans les contenus générés par les modèles fait elle aussi l’objet d’une formulation plus que prudente. La génération de contenus similaires à des œuvres existantes, sans reproduction littérale, ne relève pas toujours de la contrefaçon. En l’absence de définition des seuils de mémorisation ou de critères d’évaluation, la mesure repose sur une appréciation largement subjective.
- Enfin, le mécanisme de traitement des réclamations, s’il marque une avancée, reste encore trop peu encadré. Le Code ne fixe pas de procédure harmonisée, de délai impératif de réponse, ni d’obligation de transparence sur les suites données.
Appréciation globale : bien, mais peut mieux faire !
Le code de bonnes pratiques propose une vision éthique et une architecture technique lourde, mais encore trop incantatoire pour garantir, à ce stade, une protection effective des ayants droit dans le contexte de l’IA générative.
