Archives par mot-clé : IA générative

Entraînement des IA avec les données personnelles de Facebook et d’Instagram : validation européenne ?

Publié le par

Une décision rendue le 23 mai 2025 par un tribunal de Cologne (OLG Köln), couplée aux échanges préalables avec la « Cnil » irlandaise (DPC) et à la mise en place des mesures proposées par cette dernière, entérine la possibilité pour Meta de lancer son projet d’entraînement des modèles d’IA.

Par Sandra Tubert, avocate associée, et Miguel Piveteau, élève avocat, Algo Avocats

Le groupe Meta Platforms utilise depuis le 27 mai 2025 les données partagées publiquement par les utilisateurs majeurs et les comptes institutionnels sur ses services Facebook et Instagram (1) : publications, photos, vidéos ou encore commentaires (exceptés les messages échangés entre utilisateurs et contenus privés), mais aussi les interactions des utilisateurs avec ses systèmes d’intelligence artificielle (IA) pour entraîner ses grands modèles de langage (LLM) comme Llama.

Décision d’un tribunal de Cologne
A la différence de X (ex-Twitter) (2), Meta a engagé un dialogue constructif avec l’autorité irlandaise de protection des données (DPC). En effet, avant que le grand public ne découvre ce nouveau projet fin mai 2024, Meta avait informé la DPC, au mois de mars 2024, de son souhait d’utiliser les contenus publics de ses utilisateurs européens de Facebook et d’Instagram pour l’entraînement de ses modèles d’IA (3). Meta avait finalement suspendu le projet, le 14 juin 2024 (4), après le dépôt de plusieurs plaintes par l’organisation autrichienne Nyob auprès de onze autorités de contrôle européennes (5) et d’échanges avec la DPC (6), laquelle avait émis des réserves concernant notamment (suite) la base légale et la transparence d’un tel traitement. Le 4 septembre 2024, la DPC avait alors demandé au Comité européen sur la protection des données (EDPB) de rendre un avis sur l’utilisation de données personnelles pour le développement et le déploiement de modèles d’IA (7). Tenant compte de cet avis du 17 décembre (8), Meta a réévalué certaines modalités de son projet (notamment le renforcement des mesures de filtrage pour réduire le risque que des données personnelles soient mémorisées par les modèles d’IA lors de la phase d’entraînement) et a fourni à la DPC une documentation actualisée dans l’optique de débuter l’entraînement de ses modèles d’IA le 27 mai 2025.
Après avoir examiné les propositions de Meta et recueilli les commentaires des autres autorités de contrôle européennes, la DPC a formulé un certain nombre de recommandations qui ont été appliquées par Meta, parmi lesquelles la simplification des formulaires d’opposition au traitement et leur accessibilité pendant plus d’un an, la fourniture d’une information claire sur les moyens permettant aux utilisateurs de contrôler les données utilisées (paramétrage des contenus en mode privé), et un délai plus long entre ces informations et le lancement du projet pour leur permettre réellement de s’y opposer (9). L’annonce de ce projet a suscité une levée de boucliers par plusieurs associations, telles que UFC-Que Choisir (10) en France ou Noyb en Autriche. Cette dernière a notamment adressé à l’entreprise une mise en demeure (11), se réservant la possibilité d’intenter une action de groupe au civil. En parallèle, une association de consommateurs allemande (VZNRW) a saisi en référé le tribunal régional supérieur de Cologne – Oberlandesgericht Köln (OLG Köln) – afin qu’il soit interdit à Meta de traiter les données personnelles partagées publiquement par les utilisateurs sur les services Facebook et Instagram afin de développer et améliorer ses IA. Dans une décision (12) rendue le 23 mai 2025, le tribunal rejette la demande de l’association (après un examen qu’il qualifie de sommaire de l’affaire, mais qui est pourtant très étayé), et ne remet pas en cause la légalité du projet de Meta. En effet, en s’appuyant sur une argumentation documentée, conforme à l’avis de l’EDPB et enrichie de l’avis circonstancié des autorités de contrôle des Länder du Bade-Wurtemberg et d’Hambourg, il a écarté, un à un, les griefs soulevés tenant à : la violation du Digital Markets Act (DMA) ; l’impossibilité pour Meta de fonder le traitement sur l’intérêt légitime ; et l’absence d’exception autorisant le traitement de données sensibles. L’OLG Köln a d’abord estimé que la constitution d’une base de données d’entraînement au moyen des données publiques issues des services Facebook et Instagram ne violait pas le DMA (13) – Meta étant désigné comme contrôleur d’accès par la Commission européenne pour ces services essentiels.

Gatekeeper : pas de violation du DMA
Le DMA interdit à tout contrôleur d’accès de combiner, sans consentement préalable de l’utilisateur, les données personnelles provenant d’un service essentiel, qu’il propose aux utilisateurs, avec celles provenant d’un autre service. Selon le tribunal, le fait que Meta introduise des données partiellement désidentifiées et fragmentées provenant de deux services de plateforme dans un ensemble non structuré de données d’entraînement ne constitue pas une combinaison de données, au sens du DMA, en l’absence de lien et mise en relation des données personnelles d’un utilisateur provenant d’un service à celles du même utilisateur provenant d’un autre service. L’OLG Köln valide ensuite le recours à l’intérêt légitime comme base légale de traitement, en réalisant une analyse complète, s’appuyant sur les différents critères exigés par l’EDPB. Le tribunal y reconnaît ainsi que l’intérêt poursuivi, à savoir proposer une IA générative optimisée en fonction des habitudes régionales, quoique commercial, est légitime, puis que le traitement envisagé par Meta s’avère nécessaire pour atteindre cet intérêt en l’absence d’un moyen moins intrusif.

Rapport de Meta pour octobre 2025
Pour démontrer cette nécessité, le tribunal de Cologne mobilise l’AI Act (14) qui reconnaît expressément que le développement et l’entraînement des modèles d’IA génératifs requièrent un accès à de grandes quantités de données (15). S’agissant des moyens moins intrusifs proposés notamment par l’association – à savoir le fait d’utiliser uniquement des données anonymisées ou synthétiques (données qui ne sont pas issues d’une observation réelle, mais qui sont créées artificiellement via des simulations), ou de restreindre l’entraînement aux seules données d’interaction avec les systèmes d’IA –, ils ne permettraient pas, selon l’OLG Köln, d’obtenir des résultats comparables.
Enfin, la mise en balance de l’intérêt légitime poursuivi par Meta avec les intérêts et droits des personnes concernées est jugée adéquate. Le tribunal allemand a identifié les conséquences négatives du traitement, notamment les atteintes aux droits des personnes de décider et contrôler l’usage de leurs données et au droit à l’effacement. Ces conséquences négatives sont toutefois tempérées en raison, d’une part, du caractère public des données traitées limitant les risques liés à une divulgation (puisque ces données sont déjà accessibles librement), et, d’autre part, des mesures de mitigation mises en place par Meta. Sont soulignées les mesures visant à réduire le caractère identifiant des données (incluant la tokenisation) et à les rassembler sous une forme non structurée. Sont également mises au crédit de Meta les possibilités offertes aux utilisateurs pour empêcher l’inclusion de leurs données dans la base d’entraînement : le retrait du statut « public » de leurs publications ou de leur compte ainsi que l’opposition au traitement spécifique des données pour entraîner les modèles d’IA par l’intermédiaire de deux formulaires disponibles en ligne. L’OLG Köln a estimé que l’opposition pouvait ainsi être exercée sans difficulté et de manière éclairée par l’utilisateur dans un délai suffisant (six semaines avant la mise en œuvre effective du traitement). La décision laisse toutefois en suspens la question du caractère effectif de cette possibilité d’opposition pour les tiers non-utilisateurs cités dans les publications ou commentaires. Concernant les attentes raisonnables des personnes concernées, le traitement des données publiées à partir du 26 juin 2024 est jugé prévisible pour les utilisateurs qui ont été informés de ce traitement par l’annonce du 10 juin 2024. S’agissant des données publiées antérieurement, leur traitement n’est, en revanche, pas jugé prévisible car sa finalité n’est pas d’améliorer les services existants de Meta mais de développer des IA utilisables de manière autonome et accessibles à tous. Cette absence de prévisibilité n’est toutefois pas vue comme une difficulté pour la juridiction qui justifie l’absence d’interdiction de traiter ces données au motif que les utilisateurs disposent d’un instrument d’opposition efficace. Enfin, le traitement des données sensibles des utilisateurs est autorisé car il porte sur des données manifestement rendues publiques par l’utilisateur, l’une des exceptions prévues à l’article 9 du RGPD. S’agissant des données sensibles de tiers partagées par les utilisateurs via des publications, le tribunal de Cologne reconnaît que l’exception précédente ne peut pas être mobilisée, mais estime – en s’appuyant notamment sur une jurisprudence de la Cour de Justice de l’UE de 2019 (qui n’aborde pourtant pas cette problématique précise (16)) et sur le fait qu’une application littérale de l’article 9 du RGPD ne permettrait pas d’atteindre les objectifs de l’AI Act – que Meta peut traiter ces données de manière incidente et résiduelle jusqu’à ce que l’interdiction de le faire soit sollicitée par le tiers concerné. Cette décision de l’OLG Köln, couplée aux échanges avec la DPC et à la mise en place des mesures proposées par cette dernière – enrichies de l’avis des autres autorités de l’UE –, entérinent donc la possibilité pour Meta de lancer son projet d’entraînement des modèles d’IA. Mais l’entreprise ne bénéficie pas d’un blanc-seing pour autant.
La DPC suit de près le déploiement du projet et attend un rapport complet de Meta pour le mois d’octobre 2025 contenant, entre autres, des développements sur l’efficacité et l’adéquation des mesures. En parallèle, les autorités de l’UE collaborent (17) pour évaluer plus largement la conformité des traitements envisagés par Meta, notamment en lien avec la phase de déploiement des systèmes d’IA qui pose d’autres questions au regard du RGPD. Meta n’est donc pas totalement à l’abri de l’engagement d’une procédure de sanction par la DPC si des manquements sont constatés. Enfin, bien que la Cnil ne se soit pas officiellement positionnée sur la licéité des pratiques de Meta, la récente mise à jour de ses fiches sur la mobilisation de l’intérêt légitime pour développer un système d’IA (18) témoigne d’une certaine tolérance concernant ce type de pratiques.

Position de la Cnil sur l’intérêt légitime
La Cnil, ayant pris en compte les retours du terrain, y a notamment précisé que l’intérêt commercial entourant les projets de développement de systèmes d’IA par les entreprises constituait un intérêt légitime à part entière. Elle a également admis que cette base légale pouvait être mobilisée par un réseau social qui collecte des données d’utilisateurs rendues librement accessibles et manifestement publiques sur son forum en ligne afin de développer un agent conversationnel. Cette prise en compte par la Cnil des réalités économiques et opérationnelles est bienvenue et rassurera les développeurs de systèmes d’IA qui envisagent d’utiliser ou de constituer de grandes bases de données pour entraîner leurs modèles. @

Titulaires de droit et entraînement des IA : entre droit d’auteur recomposé et procès en série

Publié le par

Pendant que les systèmes d’IA prolifèrent en s’entraînant sur de quantités de données multimédias, les procès se multiplient dans le monde entre auteurs de contenus protégés et IA génératives – oscillant entre piratage, fair use ou encore exception pour « fouille de textes et de données ».

Par Christiane Féral-Schuhl et Richard Willemant, avocats associés, cabinet Féral

C’est un sujet à donner des sueurs froides aux titulaires de droit d’auteur ! Avec l’entrée en vigueur du règlement européen du 13 juin 2024 sur l’intelligence artificielle (IA) – l’AI Act (1) – et l’articulation des nouveaux usages de modèles d’IA avec les principes juridiques établis, les juridictions du monde entier naviguent à vue, tiraillées entre l’impératif d’innovation et le respect du droit d’auteur.

Nécessaire autorisation des titulaires de droit
Les données seraient-elles véritablement « l’or noir » du XXIe siècle ? Leur collecte et leur utilisation à des fins d’entraînement des systèmes d’IA semblent confirmer leur valeur économique stratégique à l’ère du tout-numérique. Or, la collecte massive et automatisée (aussi appelée « moissonnage » ou « web scraping ») de données accessibles sur les réseaux sociaux – comme cela a été récemment annoncé par la société Meta Platforms concernant les utilisateurs d’Instagram et de Facebook – et plus globalement sur Internet, comporte le risque de traiter des données protégées. Et ce, à l’image de celles concernant des œuvres originales, pour lesquelles une autorisation du titulaire de droit est requise.
La question est de savoir dans quelles conditions le fournisseur de système d’IA peut avoir recours à des données d’entraînement sur lesquelles des titulaires détiennent des droits d’auteur. En France, la protection des œuvres est très claire : « Toute représentation ou reproduction intégrale ou partielle faite sans le consentement de l’auteur ou de ses ayants droit ou ayants cause est illicite » (2), dit le code de la propriété intellectuelle (CPI). En principe, toute utilisation non autorisée d’un contenu protégé par le droit d’auteur à des fins d’entraînement d’un système d’IA est donc illicite.
Ainsi, les procédures engagées contre des fournisseurs de tels systèmes d’IA (suite) , afin de faire reconnaître une violation de droits d’auteur, se multiplient. En mars 2025, le Syndicat national de l’édition (SNE), la Société des gens de lettres (SGDL) et le Syndicat national des auteurs et des compositeurs (Snac) ont agi à l’encontre de Meta Platforms car la société américaine aurait utilisé massivement des œuvres protégées sans autorisation pour entraîner son modèle d’IA (3). De l’autre côté du globe, les juges chinois ont reconnu une atteinte au droit d’auteur protégeant le personnage japonais « Ultraman » par un fournisseur de système d’IA qui permettait à ces utilisateurs de générer des illustrations très similaires au personnage protégé (4).
Aux Etats-Unis, un jugement sommaire (« summary judgment ») retient notre attention : Ross Intelligence, une entreprise développant un outil juridique basé sur l’IA, a souhaité utiliser le contenu de la base de données Westlaw, appartenant au groupe canadien d’agence de presse et d’édition Thomson Reuters, pour entraîner son modèle d’IA. N’ayant pas obtenu de licence, elle s’est alors tournée vers la société LegalEase afin d’acheter des « bulk memos », à savoir des compilations de questions-réponses juridiques s’inspirant du contenu de Westlaw. Ross Intelligence a ainsi pu commercialiser un système d’IA proposant des fonctionnalités très similaires à celles de Westlaw. Saisie par Thomson Reuters pour violation de son droit d’auteur, la justice a reconnu une reproduction substantielle des œuvres protégées.
Ross Intelligence a ensuite tenté, sans succès, d’invoquer l’exception de « fair use » (5), sa démonstration échouant en raison de l’effet concurrentiel sur le marché de son IA et de l’absence d’objectif véritablement distinct entre les deux solutions. Si cette décision reste pour l’instant provisoire, elle n’en est pas pour le moins éclairante dans un contexte où les prises de position du US Copyright Office (USCO), lequel semble privilégier la protection des titulaires de droit, exacerbent les tensions avec l’administration Trump, pro-innovation (6).

Fouille de textes et de données : une brèche
L’absence d’autorisation préalable cristallise donc les contentieux entre fournisseur de système d’IA et titulaire de droits, et ce, alors que l’utilisation d’œuvres protégées représente une forte valeur ajoutée lors de l’entraînement des grands modèles de langage (LLM), et en particulier pour les IA génératives, désormais perçues comme de véritables outils de substitution aux créateurs humains (7). Il existe toutefois dans l’Union européenne une exception à l’obligation d’obtenir l’autorisation préalable du titulaire de droits pour utiliser des données protégées. En application de la directive européenne « Droit d’auteur et droits voisins dans le marché unique numérique » du 17 avril 2019, dite directive « Copyright » (8), le droit français a introduit l’article L.122-5- 3 du CPI. Celui-ci autorise « des copies ou reproductions numériques d’œuvres auxquelles il a été accédé de manière licite […] en vue de fouilles de textes et de données menées à bien par toute personne, quelle que soit la finalité de la fouille […] ».

Fouille de textes et de données : une brèche
Concrètement, cette exception de fouilles de textes et de données – en anglais, Text and Data Mining (TDM) – garantit au fournisseur de système d’IA le droit de « moissonner » un grand volume de données librement accessibles afin d’entraîner son modèle d’IA. Cette exception a été reconnue en Allemagne dans une affaire opposant un photographe (Robert Kneschke) à une organisation à but non lucratif (LAION), connue pour fournir des jeux de données d’entraînement (9). Le litige est survenu après que le photographe eut découvert l’une de ses œuvres, disponible sur une plateforme en ligne, intégrée dans un jeu de données. En application de l’exception de fouilles de textes et de données, aucune violation du droit d’auteur n’a été retenue, malgré l’absence d’autorisation pour la reproduction de la photographie. Bien que fondée sur l’exception de fouilles de textes et de données à des fins de recherche scientifique, cette décision datée du 27 septembre 2024 (10) illustre la stratégie que pourrait adopter le fournisseur de système d’IA pour se défendre contre les revendications des titulaires de droits.
Or, il s’agit de trouver le juste équilibre entre, d’une part, la « protection des titulaires de droits, notamment les artistes », et, d’autre part, la liberté « d’exploration de textes et de données, en particulier par les développeurs d’IA » (11). Ce débat a encore récemment suscité d’intenses polémiques au Royaume-Uni, à la suite d’une consultation menée – de décembre 2024 à février 2025 (12) – par le gouvernement britannique qui a ouvert la voie à l’introduction dans la législation d’une exception similaire. Cependant, les titulaires de droits peuvent choisir de réserver l’exploitation de leurs œuvres protégées, afin d’empêcher leur utilisation au titre de l’exception de la fouille de textes et de données, sauf lorsque celle-ci est réalisée à des fins de recherche scientifique (13). Ce droit d’opposition – également appelé mécanisme d’« opt-out » – est encadré en France par le CPI (14). L’opposition n’a pas à être motivée et peut être exprimée par tout moyen. S’agissant de contenus mis à la disposition du public en ligne, elle peut (sans que cette liste soit limitative) se manifester par l’intégration de métadonnées lisibles par machine, ou encore par une mention dans les conditions générales d’utilisation d’un site Internet ou d’un service. Pour pouvoir bénéficier de l’exception, le fournisseur de système d’IA doit donc non seulement accéder licitement aux données, mais également s’assurer qu’aucune opposition n’a été exprimée. Dans le prolongement, on note que le respect des règles en matière de droit d’auteur par le fournisseur d’IA est désormais inscrit dans l’AI Act (15). En pratique, cela implique que, pour moissonner les données de sites Internet à des fins d’entraînement de modèles d’IA, le fournisseur ne doit pas contourner d’éventuels dispositifs de protection, tels qu’un accès restreint via un compte utilisateur, et doit vérifier, au moment de l’extraction, que ni les conditions générales d’utilisation ni les mentions légales ne contiennent de clause interdisant l’extraction des données. Il doit également s’assurer que les métadonnées du site en ligne ne traduisent pas une telle interdiction. Ainsi, lorsqu’un titulaire de droits s’est valablement opposé à l’extraction de ses contenus, le fournisseur d’IA ne peut procéder à leur utilisation sans avoir obtenu une autorisation expresse, par le biais d’un accord de licence ou de partenariat (16), à l’instar de l’accord entre la société OpenAI et les journaux Le Monde, Die Welt et El País (17).
Enfin, le fournisseur de système d’IA est désormais soumis à une obligation de transparence : afin de permettre aux titulaires de droits de s’assurer que les données utilisées pour l’entraînement des modèles IA ont été collectées dans le respect des règles de droits d’auteur, le fournisseur doit établir un « résumé suffisamment détaillé » des contenus utilisés pour l’entraînement. Ce résumé est destiné à être publié dans la politique de conformité, mais doit néanmoins veiller à préserver le secret des affaires ainsi que la confidentialité de certaines informations (18). Doit notamment être indiqués les URL des sites Internet sources, la date de moissonnage, ainsi que la nature et le volume des données exploitées. En revanche, les informations plus précises relatives aux modalités techniques d’utilisation des contenus, par exemple des procédés de filtrage, ne sont pas tenues d’être divulguées.

Multiplication des contentieux « IA »
Si les mécanismes actuels permettent, en principe, de garantir le respect des droits d’auteur dans un cadre juridique en constante évolution, la multiplication des contentieux visant les entreprises pionnières dans le domaine de l’IA met en lumière la complexité de concilier protection effective des droits d’auteur et valorisation économique des données. Une illustration vient de nous en être donnée par la Cour d’appel de Paris qui, le 7 mai 2025 (19), a sanctionné pour concurrence déloyale l’exploitant d’une plateforme d’IA juridique (Doctrine.fr éditée par Forseti) qui a constitué de manière illicite sa base de données juridiques. @

Comment les IA génératives doivent assurer la rémunération des auteurs et des ayants droit

Publié le par

En mai, l’US Copyright Office aux Etats-Unis, l’EUIPO en Europe et le CSPLA en France ont chacun publié un rapport où est abordée la manière de rémunérer les auteurs lorsque leur création est utilisée par les IA génératives : licences légales obligatoire, gestion collective, place de marché, …

Les ChatGPT, Claude, Perplexity, Meta Ai et bien d’autres intelligences génératives vont devoir mettre la main au portefeuille pour rémunérer équitablement les auteurs et les créateurs lorsqu’elles utilisent leurs œuvres. Trois organismes ont chacun publié leur rapport dans le courant du mois de mai 2025 : l’US Copyright Office (USCO) aux Etats-Unis le 9 mai, l’Office de l’Union européenne pour la propriété intellectuelle (EUIPO) en Europe le 12 mai et le Conseil supérieur de la propriété littéraire et artistique (CSPLA) en France le 16 mai.

Du fair use aux accords de licences
La question commune à ces trois rapports est de savoir comment les IA génératives doivent rémunérer les ayants droit. L’USCO, rattaché au Congrès américain, estime dans les conclusions de son rapport – intitulé « Copyright and Artificial Intelligence, Part 3: Generative AI Training » (1) – que la doctrine du fair use propre aux Etats-Unis – qui consacre un « usage raisonnable » sans devoir de rétribution ni autorisation des ayants droit – « peut jouer un rôle ». Mais cette « tolérance » a ses limites. « L’exploitation commerciale de vastes corpus d’œuvres protégées dans le but de générer du contenu expressif susceptible d’entrer en concurrence sur les marchés existants, notamment lorsqu’elle repose sur un accès illégal aux œuvres, dépasse les limites du fair use », considère le Copyright Office américain.
Et de constater, sans pour autant donner d’exemples chiffrés, que « des accords de licence pour l’entraînement de l’IA – individuels comme collectifs – sont en train d’émerger rapidement dans certains secteurs, bien que leur disponibilité demeure encore inégale ». Pour autant, il estime (suite) qu’« une intervention gouvernementale serait prématurée à ce stade », et qu’il faut « laisser les marchés de la licence continuer à se développer ». L’USCO rappelle qu’il est historiquement montré prudent à l’égard des licences légales obligatoires (compulsory licenses) qui, selon lui, doivent rester exceptionnelles et mises en œuvre qu’en cas de défaillance manifeste du marché. Reste que le rapport du Copyright Office encourageant des accords de licence individuels ou collectifs, n’a manifestement pas plus à Donald Trump puisqu’il a limogé – le lendemain de la publication de ce rapport (2) – sa présidente Shira Perlmutter (photo), en poste depuis octobre 2020. Alors que les procès se sont multipliés à l’encontre des sociétés comme OpenAI (ChatGPT), laquelle appelle avec xAI (Elon Musk, « l’ami » de Trump) à supprimer toute loi sur la propriété intellectuelle. De son côté, l’Office de l’Union européenne pour la propriété intellectuelle (EUIPO) – agence décentralisée du Conseil de l’UE – reconnaît l’importance des organismes de gestion collective dans la facilitation des licences entre les titulaires de droits et les développeurs d’IA. Cependant, il ne détaille pas de mécanismes spécifiques de rémunération ou de redistribution des revenus. Dans les conclusions de son rapport intitulé « The Development of Generative Artificial Intelligence from a Copyright Perspective » (3), l’EUIPO constate que « la plupart des développeurs de GenAI (4) s’approvisionnent en contenu accessible en ligne sans autorisation préalable des titulaires de droits d’auteur, bien qu’un marché de la licence directe commence à émerger lentement ».
Le rapport européen estime que « les organismes de gestion collective [des droits d’auteurs, OGC en français ou CMO (5) en anglais, ndlr] pourraient gérer des licences collectives étendues pour les usages liés à l’entraînement des modèles d’IA, incluant des œuvres de titulaires non-membres, sauf en cas d’opposition explicite ». Ces organismes, tels que la Gema en Allemagne ou la Sacem en France, pourraient, toujours selon l’EUIPO, garantir « une distribution transparente et équitable des revenus générés par les accords de licence avec les développeurs d’IA ». Certains OGC/CMO, comme PRS for Music au Royaume-Uni, participent d’ailleurs à l’initiative RightsAndAI où les titulaires de droits gèrent leur « réserves de droits » vis-à-vis des développeurs d’IA.

Rémunération proportionnelle versus forfaitaire
En France, dans son rapport « Rémunération des contenus culturels utilisés par les systèmes d’IA » (6) qui sera examiné le 23 juin, le CSPLA suggère – au législateur – la création d’une « place de marché » jouant le « rôle d’accélérateur » des négociations de licence et de rémunération. Celle-ci devrait être proportionnelle plutôt que forfaitaire, selon ce rapport, et en fonction du chiffre d’affaires réalisé par l’exploitant de l’œuvre. Pour le tarif des licences, la méthode « pay to train » pratiquée par l’audiovisuel et la photo est utilisée par OpenAI ou Google. La CSPLA appelle à « consacr[er] la gestion individuelle adossée, le cas échéant, à une gestion collective volontaire », afin de bien préserver le « monopole » de l’auteur sur son œuvre. @

Charles de Laubier

L’IA générative s’invite dans la production de films et séries, secouant la création dans le 7e Art

Publié le par

Le 78e Festival de Cannes se déroule du 13 au 24 mai 2025, avec la 2e édition de la « Compétition immersive » qui célèbre les œuvres de réalité virtuelle ou réalisées – tendance oblige – avec l’intelligence artificielle. Ce sont surtout les IA génératives qui s’apprêtent à révolutionner le 7e Art.

Le calme avant la tempête ? Le monde du cinéma n’échappera pas au tsunami de l’intelligence artificielle. Le Festival de Cannes, qui tient sa 78e édition sur la Croisette durant presque deux semaines (13-24 mai 2025), commence à prendre en compte les films réalisés en tout ou partie par des IA génératives. L’événement international du 7e Art, organisé chaque année par l’Association française du festival international du film (AFFIF), dont Thierry Frémaux (photo) est le délégué général depuis 18 ans, inclut la « Compétition immersive » pour la seconde année consécutive.

Trucages, effets spéciaux, IA : continuité ?
Cette année, 16 œuvres immersives venant de neuf pays sont présentées en sélection, dont 9 en compétition et 2 hors compétition. « Ensemble, ces seize propositions offrent une vision d’ensemble d’un langage en pleine mutation – allant de la réalité virtuelle à la réalité mixte, en passant par le mapping vidéo et l’intelligence artificielle. Conçues pour être vécues plutôt que regardées, ces œuvres nous plongent dans des mondes imaginaires où espace, narration et émotion s’entrelacent », a indiqué le Festival de Cannes le 30 avril dernier, à l’occasion des présentations de la sélection et du jury, lequel remettra « le Prix de la meilleure œuvre immersive » lors de la cérémonie de clôture de la compétition immersive prévue le 22 mai prochain (1).
Parmi les œuvres présentées, il y a « Beyond the Vivid Unknown », de John Fitzgerald et Godfrey Reggio, un film qui se distingue par son utilisation notable de l’IA générative. « L’œuvre utilise l’apprentissage automatique génératif et la vision par ordinateur en temps réel pour suivre et répondre à la présence du spectateur. Au fur et à mesure que les participants se déplacent dans l’espace, l’installation passe de paysages intacts à l’essor de l’humanité et au chaos de notre avenir proche, reflétant l’enchevêtrement de l’humanité avec la technologie et impliquant le spectateur dans le récit », expliquent les producteurs américains. Cette œuvre (suite) réimagine ainsi avec l’IA le film-documentaire emblématique de Reggio de 1982, « Koyaanisqatsi », faisant à la fois l’éloge et la critique de la technologie. « “Beyond The Vivid Unknown” marque le moment où la technologie cesse de refléter le monde et commence à le réécrire par l’action collective » (2), est-il expliqué. Il s’agit apparemment de la seule œuvre créée avec de l’IA qui s’est invitée au Festival de Cannes. Parmi les sociétés de production qui ont participé à sa réalisation, il y a notamment Onassis ONX (ex-ONX Studio, pour « Onassis eXtended realities ») que la Fondation Onassis – créée il y a 50 ans par le milliardaire Aristote Onassis, ancien armateur grec – définit comme « une plateforme mondiale pour l’art des nouveaux médias et la culture numérique, où les idées créatives s’entremêlent avec des technologies innovantes, ouvrant la voie à des expériences immersives ». Ce programme mondial soutient ainsi « la créativité dans des domaines tels que l’intelligence artificielle (IA), la réalité virtuelle (RV), l’informatique spatiale et les médias numériques » (3).
Au nom du Festival de Cannes, Thierry Frémaux – qui est par ailleurs directeur de l’Institut Lumière de Lyon – considère que l’IA s’inscrit seulement dans la continuité technologique des trucages et des effets spéciaux utilisés de longue date par le 7e Art. « On peut utiliser l’intelligence artificielle dans le cinéma, à condition que cela soit au service de la poésie. A condition que cela soit au service de la qualité artistique du film. Ça fait bien longtemps que les films sont truffés de trucages numériques, truffés d’effets spéciaux, y compris des films tout à fait réalistes », avait-il confié au média vidéo Brut le 19 mars dernier (4). Trois jours avant, dans La Tribune Dimanche du 16 mars, à la question « Le cinéma doit-il craindre alors l’intelligence artificielle ? », Thierry Frémaux répondait en ces termes : « Non, parce que le cinéma, qui soit dit en passant utilise l’IA depuis des années [vraiment ?, ndlr], ne s’y résumera jamais. Pas plus que ChatGPT ne saura faire surgir “A la recherche du temps perdu”, l’IA ne va pas inventer le monde d’Ozu ou celui de Jacques Demy. Il faut des créateurs. Mais l’intelligence artificielle n’est pas uniquement un épate-gogos : s’il faut être prévenu de ses dangers, elle peut se montrer précieuse » (5).

L’IA s’incruste au Marché du Film
Parallèlement au Festival de Cannes, se tient la 56e édition du Marché du Film, du 13 au 21 mai, où il sera aussi question d’intelligence artificielle parmi les quelques 15.000 participants attendus (4.000 films et projets sont présentés par 140 pays). Par exemple, le 19 mai, une conférence sur le thème « De nouvelles opportunités pour les films de science-fiction à l’ère de l’IA » est présentée par Dreamina AI (plateforme créée par CapCut de ByteDance), en association avec Winston Baker, société spécialisée dans la curation de contenu pour l’industrie du divertissement. Autre exemple de conférence abordant l’IA dans le cinéma : le 20 mai, sur le thème « Immersive Spotlights, Beyond the Vivid Unknown : l’IA en tant que collaboratrice, miroir et créatrice de mythes ». Les participants, dont Matt Tierney, producteur et conseiller en IA/Musique chez OnAi Technologies, partent du principe que « l’IA n’est plus seulement un outil, c’est un collaborateur, un environnement, une force qui remodèle la perception et la production : de “Beyond The Vivid Unknown” aux systèmes d’IA générative d’aujourd’hui, nous explorons comment la créativité change lorsque les machines apprennent, imaginent et agissent à nos côtés ».

Les scénaristes sur la sellette
Le 18 mai, il est aussi question d’IA dans le cadre de Cannes Next, une plateforme dédiée à l’innovation et à l’avenir du divertissement, intégrée au Marché du Film du Festival de Cannes, et sur le thème de « Réinventer la production : naviguer dans les innovations en matière d’IA, les entreprises commerciales émergentes et le paysage juridique ». Présentée par l’International Screen Institute, cette conférence considère que « l’innovation basée sur l’IA redéfinit l’avenir de la production audiovisuelle ». Enfin, le 16 mai, s’est tenue un table-ronde sur le thème de « L’objectif créatif : l’évolution du rôle de GenAI dans le cinéma à travers les continents et les festivals », en présence notamment de Matthieu Lorrain, responsable de la création Google DeepMind, et de Max Wiedemann, responsable de l’IA chez Mediawan.
Ainsi, l’IA générative s’impose de plus en plus dans la création cinématographique et audiovisuelle. Elle n’a pas attendu le tapis rouge de la Croisette pour contribuer à la réalisation de films et séries. C’est cas du film « Next Stop Paris », produit par TCLtv+ Studios et sorti à l’été 2024, une comédie romantique entièrement générée par intelligence artificielle, utilisant notamment Stable Diffusion, de la startup Stability AI, pour la création des images et l’amélioration de leur fluidité. En 2023, il y a eu « The Frost », un courtmétrage de science-fiction réalisé par Waymark et sorti en 2023. Ce film de 12 minutes a été entièrement généré grâce à des outils d’IA, notamment Dall·E 2 d’OpenAI pour la création des images et Creative Reality Studio de la start-up israélienne D-ID pour animer les visages et les mouvements des personnages (6). L’IA dans le 7e Art peut susciter et suscitera des réactions épidermiques comme ce fut le cas l’an dernier pour le film « The Last Screenwriter », réalisé par Peter Luisi. Une vive controverse avait éclaté sous prétexte que son scénario avait été entièrement écrit par ChatGPT, ce qui a provoqué des débats sur l’impact de l’IA dans l’industrie cinématographique. La première mondiale, qui avait été programmée le 23 juin 2024 au Prince Charles Cinema de Londres, a dû être annulée après une vague de protestations du public, qui s’inquiétait de l’utilisation de l’IA à la place d’un scénariste humain. Le film a finalement été rendu accessible gratuitement en ligne (7) le 5 juillet suivant, accompagné d’une documentation expliquant son processus de création. Citons encore le film « Uncanny Valley », dont la sortie est prévue en 2026. Il est réalisé par Natasha Lyonne, qui utilise l’IA Marey – développée par Moonvalley – pour générer des visuels et des éléments narratifs. Contrairement à d’autres modèles d’IA, Marey a été entraîné uniquement sur du contenu sous licence, ce qui garantit une approche plus éthique de la production.
De nombreuses autres créations à l’aide de l’IA ont été remarquées telles que le film coréen « One More Pumpkin » qui a été presque entièrement réalisé avec l’IA pour des scènes, des sons ou encore des personnages. Il a remporté des Prix au Festival du Film AI de Dubaï 2024. Pour l’été prochain, il faudra être attentif à la sortie prévue du film « The Woman with Red Hair », produit par Staircase Studios AI, fondé par Pouya Shahbazian. Réalisé par Brett Stuart, avec un scénario écrit par Michael Schatz, ce long-métrage combine l’IA générative avec le talent de professionnels du cinéma pour produire des films à moindre coût. Et avant que ne se lance ChatGPT fin novembre 2022, sortait quelques mois plus tôt le film futuriste « Salt » (8), réalisé par Fabian Stelzer à partir d’IA génératives telles que Dall-E 2, Stable Diffusion et Midjourney.
En France, fin mars, a été lancé The Media Company, un studio de production cinéma européen qui veut « réinventer la création et la production de films à l’ère de l’IA ». En sont associés le producteur français Didier Lupfer (ex-directeur général adjoint du groupe Canal+ et ex-président de StudioCanal), Edouard Boccon-Gibod (ex-secrétaire général d’EuropaCorp) et Tariq Krim (entrepreneur, ex-PDG fondateur de Netvibes). Ils ambitionnent d’« intégrer l’IA dans toutes les étapes de la production » (9). Plus récemment, le 2 mai, le producteur-distributeur français Zed a lancé la série documentaire « Knut, le Viking Empereur », réalisée par Fabrice Buysschaert avec l’IA.

Vers une charte éthique sur l’IA
« L’intelligence artificielle n’est pas une affaire de science-fiction. C’est un levier de transformation très concret pour écrire plus vite, produire plus intelligemment, anticiper mieux », a assuré pour sa part fin avril Alexia Laroche Joubert (photo ci-dessus), directrice générale de Banijay France (10), qui utilise Genario, « une IA pensée par un scénariste et pour les auteurs » (11). L’IA a permis par exemple de simuler un yacht dans « Deal or No Deal Island » ou de créer le trouble dans « Deep Fake Love ». Banijay indique collaborer par ailleurs avec la Human Technology Foundation afin d’approfondir les réflexions éthiques et de se doter d’« une charte pour encadrer nos usages avec exigence et responsabilité ». @

Charles de Laubier

Cyberattaques et IA fantômes : comment encadrer et gérer les risques qui menacent l’entreprise

Publié le par

L’intelligence artificielle générative est un moteur d’accélération des risques pour les entreprises. La révolution de l’IA peut alors tourner au cauchemar. Mais il n’y a pas de fatalité, pour peu que les dirigeants suivent les règlements, les recommandations et les guides de bonnes pratiques.

Par Antoine Gravereaux, avocat associé*, FTPA Avocats

L’intelligence artificielle générative transforme en profondeur les paradigmes de la cybersécurité. En s’appuyant sur des modèles entraînés à partir de volumes de données considérables, cette technologie offre des applications variées dans la défense contre les menaces ou la gestion des attaques cyber. Mais l’IA générative permet également le développement d’usages malveillants, donnant ainsi naissance à une nouvelle vague de cybermenaces. Dans ce contexte, les entreprises doivent concilier innovation et sécurité, tout en respectant un cadre réglementaire européen en pleine évolution.

Cybermenaces externes et internes
Grâce à ses capacités d’automatisation de traitement de données à grande échelle et d’apprentissage autonome, l’IA générative permet aujourd’hui de concevoir des attaques plus efficaces, ciblées et difficile à détecter. Dans le premier rapport international sur la sécurité de l’intelligence artificielle, intitulé « International AI Safety Report » (1) et publié en janvier 2025, les experts soulignent que les menaces cybernétiques se renforcent du fait que l’IA à usage général est favorisée par une exécution rapide, simultanée et à grande échelle d’opérations, tout en abaissant les coûts et les obstacles techniques. Parmi les pratiques, le phishing (hameçonnage) ne cesse de gagner en crédibilité, l’IA permettant de générer de façon automatique tous types de contenus, tels que des deepfakes (hypertrucages) personnalisés.
Les virus polymorphes sont capables de muter leur signature pour échapper aux détections. Ils ont la capacité de modifier leur empreinte numérique pour (suite)

ne pas être repérés par un antivirus. L’empoisonnement des données vient également altérer les prédictions d’un système d’intelligence artificielle s’appuyant sur le machine learning. Les ransomware (rançongiciels) tiennent également toujours une place importante dans l’univers des menaces, bien qu’en baisse depuis ces quatre dernières années. D’autres types d’attaques peuvent aussi permettre de s’emparer de données confidentielles, de perturber le processus de classification des données, ou d’effectuer une ingénierie inversée du modèle afin de le répliquer. Face à l’essor des cyberattaques amplifiées par l’IA générative, le modèle « Zero Trust » – autrement dit « ne faire aucune confiance, toujours vérifier » – s’impose comme une stratégie incontournable pour les entreprises. Ce cadre de sécurité repose sur une surveillance continue, une authentification renforcée et une segmentation stricte des réseaux. En intégrant des outils pilotés par l’IA, le Zero Trust (2) permet d’automatiser la détection des menaces, de prévenir l’exfiltration de données sensibles et de limiter la propagation des attaques au sein des systèmes. Cette approche proactive devient essentielle pour contrer les risques émergents tels que les malwares (logiciels malveillants) évolutifs ou les deepfakes utilisés dans des campagnes de phishing sophistiquées. En intégrant des outils alimentés par l’intelligence artificielle, les entreprises peuvent automatiser la détection des comportements anormaux et accélérer la réponse aux incidents, renforçant ainsi leur résilience face aux attaques générées par l’IA. Cependant, l’usage de l’IA générative par les développeurs informatiques est susceptible d’accroître le risque de failles de sécurité du logiciel et l’exploitation de vulnérabilités par les cyberattaquants des systèmes d’IA.
Selon le laboratoire d’innovation numérique de la Cnil (Linc), il existe trois grandes familles d’attaques de systèmes d’IA : les attaques par manipulation, qui ont pour objectif de contourner les résultats attendus ou d’induire des actions imprévues pour que le système d’IA effectue des tâches inattendues; les attaques par infection qui visent à compromettre la fiabilité des décisions produites par l’IA en compromettant les données utilisées pour l’entraînement du modèle, notamment par des attaques par empoisonnement via des logiciels malveillants ; les attaques par exfiltration qui ont pour objectif l’appropriation des données des systèmes d’IA, portant ainsi atteinte à la confidentialité des informations de l’entreprise et au respect de la vie privée des personnes concernées (3).

IA générative et système d’information
Ainsi, face à ces risques, les entreprises doivent adopter une approche raisonnée dans la mise en œuvre et le déploiement de systèmes d’IA afin de prévenir les atteintes à la sécurité de leurs systèmes d’informations, lesquels font un usage croissant de l’IA générative. Aussi, les entreprises doivent repenser leurs stratégies de cybersécurité. Dans ce contexte, la vérification continue des identités, le contrôle strict des accès et la segmentation fine des réseaux sont des pratiques de nature à limiter le risque. Il est ainsi stratégique pour toute organisation de sécuriser les actifs numériques selon cette approche « risque » dans un environnement marqué par des menaces toujours plus complexes. Le groupe d’experts de haut niveau sur l’IA – l’« AI HLEG » constitué par la Commission européenne en 2018 (4) – décrit sept principes éthiques destinés à rendre l’IA digne de confiance : action humaine et contrôle humain ; robustesse technique et sécurité ; respect de la vie privée et gouvernance des données ; transparence ; diversité, non-discrimination et équité ; bien-être sociétal et environnemental ; et responsabilité.

Encadrement normatif européen renforcé
Le règlement européen sur l’IA – l’AI Act entré en vigueur depuis le 1er août 2024 (5)  – établit des règles harmonisées pour la mise sur le marché et l’utilisation des systèmes d’IA dans l’Union européenne (UE), en mettant en place notamment une obligation de vigilance à la charge des fournisseurs et des déployeurs de systèmes d’IA, tout particulièrement pour les systèmes d’IA à haut risque. Les entreprises doivent ainsi classifier leurs systèmes d’IA et adapter leurs pratiques selon le niveau de risque. Concrètement, elles doivent procéder à une analyse interne en faisant une cartographie de leurs applications, une évaluation des risques spécifiques liés à l’IA envisagée, et des analyses d’impact. Il est nécessaire de mettre en place des mesures de transparence, particulièrement pour les systèmes d’IA générative utilisés pour générer justement ou manipuler des contenus, et de prévoir des explications sur les décisions fondées sur leur système d’IA à haut risque, du fait de leur impact sur les droits des utilisateurs.
En outre, l’AI Act impose que les systèmes d’IA soient encadrés par un processus de gestion des risques planifié, évolutif et mis à jour régulièrement, de la phase d’entraînement jusqu’à son déploiement. Cela vise à garantir une meilleure anticipation des menaces cyber et réduit les risques notamment via une conception sécurisée par défaut (security by design). Cette logique rejoint les exigences du règlement général sur la protection des données (RGPD), de la directive NIS2 en cours de transposition ou du règlement DORA applicable au secteur financier et de l’assurance (6).
Sur le plan humain, le règlement sur l’IA impose de former et de responsabiliser les personnes impliquées. Les entreprises doivent redoubler de vigilance dans la protection de leurs systèmes afin de lutter efficacement contre la compromission de leurs infrastructures d’hébergement de données ou de leur chaîne d’approvisionnement. Au stade de la prévention du risque, la mise en place d’une procédure destinée à évaluer et suivre la conformité en interne des systèmes d’IA est un enjeux clé pour les entreprises. La mise en place de politiques internes destinées à encadrer l’utilisation de l’IA par les salariés, ou encore le contrôle systématique de toute nouvelle application introduite sur le système d’information de l’entreprise, afin d’éradiquer le « shadow AI » (autrement dit l’IA fantôme), sont des facteurs de diminution des risques. La mise en œuvre concrète des exigences réglementaires implique pour les entreprises de prendre en compte les recommandations produites par les régulateurs, sources d’informations précieuses pour anticiper les risques. En France, l’Agence nationale de la sécurité des systèmes d’information (Anssi) a publié le 29 avril 2024 un guide de recommandations de sécurité pour les systèmes d’IA générative (7). Ce guide propose une série de mesures pour sécuriser ces systèmes tout au long de leur cycle de vie, depuis l’entraînement jusqu’à la production. On y trouve ainsi des recommandations générales visant à intégrer la sécurité dès la conception et dans toutes les phases du projet de développement d’un système d’IA, mais également en phases d’entraînement, de déploiement et de production. L’Anssi recommande par exemple de prévoir des audits de sécurité – avant déploiement en production ou encore journaliser – de l’ensemble des traitements réalisés au sein du système d’IA. En février 2025, lors du Sommet de l’IA à Paris, l’Anssi a publié le guide intitulé « Développer la confiance dans l’IA à travers une approche par les risques cyber » (8), où elle élabore des bonnes pratiques pour un déploiement sécurisé des systèmes d’IA, donnant ainsi des orientations à destination des développeurs, des fournisseurs et des décideurs. Outre la mise en place d’un processus de veille technologique et réglementaire, elle recommande de procéder à un contrôle strict des chaînes d’approvisionnement en cartographiant les composants logiciels, en vérifiant la fiabilité des fournisseurs, et en protégeant les données d’entraînement contre l’empoisonnement.
En matière de protection des données personnelles, la Cnil exige de décliner les principes du RGPD aux usages de l’IA. Elle a publié le 7 février 2025 plusieurs recommandations pour la mise en place d’un système d’IA (9), en donnant des bonnes pratiques visant notamment à l’information des personnes concernées qui voient leurs données intégrées dans une base de données d’apprentissage. En outre, la Cnil invite les fournisseurs à anonymiser les données d’entraînement ou, à défaut de pouvoir le faire, à s’assurer que le modèle d’IA est anonyme à l’issu de son entraînement.

Adopter une approche security by design
Lors du Forum InCyber, début avril 2025 à Lille, plusieurs bonnes pratiques ont été mises en avant pour encadrer les risques liés à l’intelligence artificielle. Parmi celles-ci, l’importance de la collaboration entre les acteurs publics et privés a été soulignée pour renforcer la résilience numérique. Le forum a également insisté sur la nécessité d’adopter une approche security by design, intégrant des mécanismes de sécurité dès la conception des systèmes d’IA. Enfin, la formation continue des professionnels et la sensibilisation des utilisateurs ont été identifiées comme des leviers essentiels pour prévenir les cybermenaces et garantir une utilisation éthique et sécurisée de l’intelligence artificielle. @

* Antoine Gravereaux est avocat associé chez FTPA Avocats,
au département « Technologies, Data & Cybersécurité ».