Archives par mot-clé : Opt-out

Premier jugement historique en Europe condamnant OpenAI pour atteinte au droit d’auteur

Publié le par

Même si ce jugement historique du 11 novembre 2025 – prononcé par le tribunal de Munich contre de l’éditeur américain de ChatGPT accusé de contrefaçon musicale – est provisoire (OpenAI ayant fait appel), il sonne comme un avertissement planétaire à toutes les sociétés d’IA génératives.

Tobias Holzmüller (photo), le PDG de la Gema, qui est en Allemagne ce que la Sacem est en France, peut être fier du verdict historique obtenu en première instance du tribunal régional de Munich le 11 novembre 2025 : la manière dont OpenAI gère actuellement ChatGPT viole les lois européennes applicables sur le droit d’auteur. « Pour la première fois en Europe, l’argument en faveur de l’utilisation par les systèmes d’IA générative d’œuvres protégées par le droit d’auteur a été examiné juridiquement et statué en faveur des créateurs des œuvres », s’est félicitée la Société pour les droits d’exécution musicale et de reproduction mécanique (Gema).

Copyright : Internet n’est pas open bar
Cette décision judiciaire allemande – première de ce type dans l’Union européenne (UE) et au retentissement mondial – a clairement jugé que la licorne américaine OpenAI aurait dû acquérir les droits sur les paroles des paroliers et auteurs-compositeurs du répertoire de la Gema, avant de les utiliser pour entraîner ses modèles d’IA et de les exploiter avec son chatbot ChatGPT. De telles reproductions sans autorisations constituent aux yeux du tribunal de Munich des violations du droit d’auteur, et pour lesquelles OpenAI aurait dû obtenir une licence qui offre aux titulaires des droits une rémunération appropriée.
C’est la première fois dans l’UE qu’une décision clarifie aujourd’hui des questions juridiques-clés concernant la manière dont les nouvelles technologies interagissent avec le copyright européen. « Internet n’est pas une sorte de buffet en libre-service, et les réalisations créatives des êtres humains ne sont pas simplement des modèles à utiliser gratuitement. Aujourd’hui, nous avons établi un précédent qui protège et clarifie les droits des détenteurs de droits d’auteur créatifs : les opérateurs d’outils d’IA tels que ChatGPT doivent (suite) également se conformer à la loi sur le droit d’auteur. Aujourd’hui, nous avons défendu avec succès les moyens de subsistance des créateurs de musique », a déclaré Tobias Holzmüller. Et ce n’est pas faute pour la Gema de ne pas proposer un modèle de licence développé spécifiquement pour les fournisseurs de systèmes d’IA. Depuis septembre 2024, la « Sacem » allemande (basée à Berlin) propose ce type de licence IA comme « base juridique sûre » pour utiliser la musique afin de faire fonctionner et d’entraîner les modèles d’IA, « en garantissant que les créateurs de musique soient équitablement rémunérés, de manière à continuer d’encourager l’innovation musicale ». Or, jusqu’à présent, la Gema constate qu’OpenAI a montré « une réticence générale » à suivre tout modèle de licence quel qu’il soit. L’organisation berlinoise, qui lance ainsi un avertissement à toutes les sociétés d’IA dans le monde, a par ailleurs déposé plainte contre une autre entreprise américaine, Suno, qui, elle, fournit des contenus audios générés par une IA entraînée sur des enregistrements originaux d’œuvres du répertoire de la Gema. L’audience devrait avoir lieu le 26 janvier 2026. A noter que par ailleurs Suno a annoncé le 25 novembre 2025 un accord avec Warner Music (1). « La décision du tribunal régional de Munich montre que la manière dont les systèmes d’IA fonctionnent porte systématiquement atteinte aux droits des auteurs. Il y a un besoin urgent d’agir ici. Le modèle de licence de la Gema propose une solution, mais le cadre juridique doit également être amélioré en faveur des artistes créatifs, afin que l’acquisition des licences par les entreprises devienne la règle. Nous continuerons à travailler vers cet objectif », a prévenu Kai Welp, le directeur juridique de la société allemande de gestion collective des musiciens (2).
La justice allemande a clairement indiqué qu’OpenAI n’est pas une organisation de recherche bénéficiant de privilèges et que l’autorisation légale de ce que l’on appelle l’exploration de texte et de données – Text and Data Mining (TDM) – ne justifie en aucun cas le stockage et la production de paroles de chansons protégées par le droit d’auteur. Or la Gema a pu démontrer que ChatGPT reproduit des paroles protégées par le droit d’auteur, en réponse à de simples prompts. Le tribunal munichois a confirmé que cette utilisation suppose une obligation de délivrance de licences.

OpenAI Ireland Ltd et OpenAI LLC
Le groupe OpenAI a donc été condamné pour violation du droit d’auteur. La Gema représente les droits d’auteur détenus par plus de 100.000 membres – compositeurs, paroliers et éditeurs de musique – et plus de 2 millions de détenteurs de droits de propriété intellectuelle dans le monde. C’est l’une des plus grandes sociétés de gestion collective des droits d’auteur dans l’industrie musicale. La 42e chambre civile du tribunal régional de Munich lui a donné raison en confirmant l’essentiel de ses demandes de mesures injonctives, d’informations et de dommages-intérêts, contre deux sociétés du groupe OpenAI : la filiale européenne opératrice du chatbot ChatGPT, OpenAI Ireland Ltd (à Dublin), et la maison mère américaine – du moins l’entité commerciale à but lucratif OpenAI LLC (3) – basée en Californie (à San Francisco). La Gema a porté plainte contre ces deux sociétés du groupe d’IA génératives pour avoir mémorisé les paroles de la chanson dans des grands modèles de langage (LLM), permettant ainsi à ChatGPT de donner des réponses aux utilisateurs en grande partie fidèles aux paroles originales.

Pas de Text and Data Mining (TDM)
Les accusations de la Gema à l’encontre de la firme de Sam Altman (photo ci-contre) pour contrefaçon portent sur les paroles de neuf auteurs allemands célèbres : « Atemlos » de Kristina Bach, « 36 Grad » de Thomas Eckart, Inga Humpe, Peter Plate et Ulf Leo Sommer, « Bochum » et « Männer » de Herbert Grönemeyer, « Über den Wolken » de Reinhard Mey, « June » de Jan Vetter ainsi que « Es schneit », « In der Weihnachtsbäckerei » et « Wie schön, dass du geboren bist » de Rolf Zuckowski. OpenAI avait contesté les affirmations de la Gema, en prétendant qu’au contraire ses « modèles linguistiques » ne sauvegardaient pas ou ne copiaient pas de données d’entraînement spécifiques, mais reflétaient dans leurs paramètres ce qu’ils auraient appris sur la base de l’ensemble des données d’entraînement.
L’éditeur de ChatGPT estimait que les réponses du chatbot ne seraient générées qu’à la suite de saisies d’utilisateurs (prompts), et que par conséquence ce n’était pas OpenAI mais l’utilisateur en tant que producteur de la sortie qui serait responsable de celles-ci. De plus, dans tous les cas, OpenAI a invoqué les limites au droit d’auteur, en particulier l’exception pour ce que l’on appelle la fouille de textes et de données (TDM). Le jury allemand ne l’a pas entendu de cette oreille, et a décidé que « la mémorisation dans les modèles de langage et la reproduction des paroles des chansons dans les sorties du chatbot empiètent sur les droits d’exploitation du droit d’auteur. Celles-ci ne sont pas couvertes par les dispositions de restriction, en particulier la limitation de l’exploration de texte et de données ». Selon la 42e chambre civile, les paroles de la chanson en question étaient « reproductiblement » contenues dans les modèles linguistiques 4 (GPT 4) et 4o (GPT4Turbo) d’OpenAI. En effet, les données d’entraînement d’IA peuvent être contenues dans des modèles de langage et extraites en tant que résultats. C’est ce qu’on appelle la « mémorisation ». Une telle situation existe si les modèles de langage non seulement prennent des informations de l’ensemble de données d’entraînement pendant l’entraînement, mais trouvent également un transfert complet des données d’entraînement dans les paramètres spécifiés après l’entraînement. « Cette mémorisation a été établie en comparant les paroles des chansons contenues dans les données d’entraînement avec les reproductions dans les sorties. Compte tenu de la complexité et de la longueur des paroles, la coïncidence a été écartée comme cause de la reproduction des paroles. La mémorisation donnait une incarnation, comme condition préalable à la reproduction par droit d’auteur, des paroles contestées par des données dans les paramètres spécifiés du modèle. Les paroles des chansons en question étaient  »reproductiblement » définies dans les modèles », a expliqué le tribunal régional de Munich dans une communication (4) émise le 11 novembre 2025 dans la foulée du rendu de sa décision. A l’appui de son jugement, le jury s’est appuyé sur la directive européenne « Droit d’auteur et des droits voisins dans la société de l’information » de 2001 – ou DADVSI (5), parfois appelée « InfoSoc » – où il est précisé « par quelque moyen et sous quelque forme que ce soit » lorsqu’il est question de « reproduction directe ou indirecte, provisoire ou permanente » (6). Ce que l’Allemagne a, elle, transposé dans sa législation nationale dans sa loi sur le droit d’auteur dite « UrhG » (7). Aussi, selon la jurisprudence de la Cour de justice de l’Union européenne (CJUE), « une perceptibilité indirecte suffit à caractériser une reproduction dès lors que l’œuvre peut être perçue au moyen d’un dispositif technique ».
Et le tribunal insiste sur le fait que cette reproduction dans les modèles d’IA n’est pas couverte par les dispositions de limitation de l’exploration de texte et de données (TDM). Selon lui, la formation des IA extrait non seulement des informations des données d’entraînement, mais reproduit également des œuvres, ce qui ne constitue pas du TDM. « Le principe de l’exploration de texte et de données – ainsi que les dispositions de limitation associées selon lesquelles aucun intérêt d’exploitation n’est affecté par l’évaluation automatisée de la simple information elle-même – ne s’applique pas à [OpenAI]. Au contraire, les reproductions données dans le modèle empiètent sur le droit d’exploitation des titulaires de droits. […] Dans le cas des reproductions du modèle, l’exploitation de l’œuvre est définitivement compromise et les intérêts légitimes des titulaires des droits en sont violés », développe la décision judicaire.

En France, SACD et Scam réjouies
Autant l’homologue française de la Gema – la Société des auteurs, compositeurs et éditeurs de musique (Sacem) – n’a pas publié de communiqué sur cette première victoire européenne, autant la Société des auteurs et compositeurs dramatiques (SACD) et la Société civile des auteurs multimédia (Scam) ont fait communiqué commun (8) le 14 novembre 2025 pour se réjouir de cette décision historique et se dire « prêtes à négocier » des licences : « Cette décision crée un précédent essentiel que les services d’IA, qu’ils s’agissent des licornes européennes ou des multinationales américaines ou chinoises, ne peuvent ignorer : l’innovation ne peut se faire au détriment des créateurs et au mépris de leurs droits ». @

Charles de Laubier

Acteurs de l’IA, la Cnil vous adresse ses premières recommandations : à vous de jouer !

Publié le par
La Commission nationale de l’informatique et des libertés (Cnil) a publié le 8 avril 2024 sept premières fiches « pour un usage de l’IA respectueux des données personnelles ». D’autres sont à venir. Ces règles du jeu, complexes, sont les bienvenues pour être en phase avec le RGPD et l’AI Act. Par Anne-Marie Pecoraro*, avocate associée, UGGC Avocats L’intelligence artificielle (IA) conduit à questionner de manière plus exigeante et approfondie la protection des données personnelles. Les principes fondateurs du RGPD (1) doivent non seulement être pleinement rappelés et appliqués, mais ils doivent même l’être de manière plus dynamique et exigeante. Un exemple : des données qui auraient précédemment pu être considérées pseudonymisées ou même anonymisées, pourront faire l’objet de calculs et de recoupements massifs, qui pourraient aboutir à identifier à nouveau les personnes, grâce à l’utilisation de l’IA. Sept premières fiches pratiques L’entraînement des IA appelle des données personnelles comme l’image et la voix des personnes, d’une quantité sidérale sans précédent. Il appartient aux entreprises et organisations nationales et internationales de procéder à la mise en conformité avec l’AI Act, lequel a été adopté 13 mars 2024 par le Parlement européen (2). Parallèlement et le même jour en France, la commission de l’IA – installée depuis septembre 2023 auprès du Premier ministre – a remis au président de la République son rapport (3) qui recommande notamment un assouplissement des contraintes liées à l’utilisation, par l’IA, de données personnelles. Cette commission IA appelle à « transformer notre approche de la donnée personnelle pour protéger tout en facilitant l’innovation au service de nos besoins ». Le 8 avril 2024, c’était au tour de la Cnil de publier des fiches pratiques consacrées à la phase de développement des systèmes d’IA. L’autorité administrative indépendante accompagne les acteurs de l’IA depuis deux ans déjà, comme elle ne manque pas de le rappeler dans son dernier rapport annuel (4), à travers notamment la création d’un service dédié, la publication de ressources et webinaires, ainsi que l’établissement d’une feuille de route articulée autour de quatre piliers : appréhender, guider, fédérer et accompagner, auditer. Ces recommandations font suite à la consultation publique entreprise en octobre 2023, laquelle a réuni une quarantaine de contributions d’acteurs divers (5). Afin de présenter ces fiches pratiques (6), un webinaire a été organisé par la Cnil le 23 avril dernier. L’occasion pour celle-ci d’apporter ses derniers éclairages. Concernant le périmètre d’application, il convient premièrement de préciser que ces fiches pratiques n’ont vocation à s’intéresser qu’à la phase de développement de systèmes d’IA (conception de base de données, entraînement, apprentissage) impliquant un traitement de données personnelles pour les cas d’usage pour lesquels le RGPD est applicable (7). Celles-ci n’ont donc pas vocation à régir la phase dite de « déploiement » d’un système d’IA. Retenant la même définition des « systèmes d’IA » que l’AI Act, sont notamment concernés par ces recommandations : les systèmes fondés sur l’apprentissage automatique, ceux fondés sur la logique et les connaissances (moteurs d’inférence, bases de connaissance, systèmes experts, …), ou encore les systèmes hybrides. Afin d’aider les professionnels dans leur mise en conformité, la Cnil a défini, à travers sept fiches de recommandations, les bonnes pratiques à respecter sans que celles-ci soient toutefois contraignantes. Ces recommandations tiennent compte des dispositions de l’AI Act et ont vocation à les compléter. La Cnil profite de ces lignes directrices pour rappeler les principes fondamentaux (licéité, transparence, minimisation, exactitude, limitation de conservation des données, …) et obligations majeures découlant du RGPD inhérentes à tout traitement, en les précisant et les adaptant au mieux à l’objet traité : les systèmes d’IA. Si les recommandations qui suivent concernent majoritairement les responsables de traitement, les sous-traitants ne sont pas délaissés, repartant également avec leur lot de bonnes pratiques. Peuvent à ce titre être cités : un respect strict des instructions du responsable de traitement, la conclusion d’un contrat de sous-traitance conforme à la réglementation en matière de données personnelles ou encore, l’obligation de s’assurer de la sécurité des données sous-traitées (8). Apports majeurs des recommandations Prenez soin de définir une finalité déterminée, explicite et légitime pour le traitement projeté. Deux situations sont clairement distinguées par la Cnil, selon que l’usage opérationnel en phase de déploiement du système d’IA est d’ores et déjà identifié, ou non, dès la phase de développement. Dans la première hypothèse, il est considéré que la finalité en phase de développement suivra celle poursuivie en phase de déploiement. De sorte que si celle-ci est suffisamment déterminée, explicite et légitime, alors la finalité en phase de développement le sera également. Dans la seconde hypothèse, et notamment en présence de systèmes d’IA à usage général, la Cnil insiste sur la nécessité de prévoir une finalité « conforme et détaillée ». Elle livre des exemples de finalités qu’elle considère, ou non conformes, précisant à ce titre que le simple « développement d’une IA générative » n’est pas une finalité conforme car jugée trop large et imprécise. Finalité conforme et responsabilités précises La méthode à suivre est alors révélée : une finalité ne sera conforme que si elle se réfère « cumulativement au“type” du système développé et aux fonctionnalités et capacités techniquement envisageables » (9). Le secteur de la recherche n’est bien sûr pas oublié. Une tolérance dans le degré de précision de l’objectif ou encore dans la spécification des finalités est évoquée, sans laisser de côté les éventuelles dérogations ou aménagements applicables. Déterminez votre rôle et vos responsabilités : suis-je responsable de traitement, sous-traitant, ou encore responsableconjoint ? Le développement d’un système d’IA peut nécessiter l’intervention de plusieurs acteurs. Dès lors, identifier son rôle au sens du RGPD peut être parfois délicat et les éclairages de la Cnil sur la question sont les bienvenus. Pour rappel, le responsable de traitement est « la personne […] qui, seul ou conjointement détermine les objectifs et moyens du traitement » (10). Cette qualité emporte son lot d’obligations et de responsabilités, d’où la nécessité de la déterminer avec précision. Les acteurs pourront se référer à la fiche donnant des exemples d’analyse permettant d’identifier son rôle au cas par cas (11). Effectuez un traitement licite et respectueux des principes fondamentaux. Un rappel des principes à respecter pour tout traitement ne mange pas de pain mais épargne bien des soucis en cas de contrôle. La Cnil s’attarde notamment sur l’obligation de choisir, parmi celles prévues par le RGPD, la base légale la plus adéquate au traitement projeté. Pour le développement de systèmes d’IA, elle explore cinq bases légales envisageables (12) : le consentement, l’intérêt légitime, l’obligation légale, la mission d’intérêt public ou encore le contrat. En cas de réutilisation de données, des vérifications seront à mener et, là encore, les recommandations de la Cnil différent selon l’hypothèse rencontrée et notamment en fonction de la source desdites données (données publiquement accessibles ou collectées par des tiers, …). A titre d’exemple, pour une réutilisation de données collectées par le fournisseur lui-même pour une finalité initiale différente, la Cnil impose, sous certaines conditions, un « test de comptabilité » (13) permettant de s’assurer que la finalité poursuivie est compatible avec la finalité initiale, et rappelle les obligations de fonder son traitement ultérieur sur une base légale valable sans oublier la nécessité d’informer les personnes concernées. Par ailleurs, la Cnil révèle les cas possibles de réutilisation de données collectées par des tiers, ainsi que les obligations qui incombent au tiers et ainsi qu’au réutilisateur de ces données. Respectez les principes fondamentaux. Le gendarme des données insiste également sur la nécessité de respecter les principes fondamentaux. Ce respect doit s’imposer à tout stade du développement d’un système d’IA, dès sa conception « privacy by design » (14), mais également lors de la collecte et de la gestion des données (15). La Cnil s’attarde particulièrement sur le principe de minimisation, lequel impose de ne traiter que les données « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités » (16) déterminées. Si la Cnil s’attache à soutenir que le respect de ce principe « n’empêche pas l’utilisation de larges bases de données » (17) et notamment de données publiquement accessibles (18), il implique nécessairement pour un responsable de traitement de repenser l’entraînement et la conception de ses systèmes d’IA en se posant concrètement les questions suivantes : « Les données utilisées et/ou collectées sont-elles vraiment utiles au développement du système souhaité ? Ma sélection est-elle pertinente ? Pourrais-je mettre en place une méthode à suivre plus respectueuse des droits et libertés des personnes concernées ? Si oui, par quels moyens techniques ? ». A titre de bonnes pratiques, la Cnil recommande d’ailleurs d’associer au développement du projet un comité éthique et de mener une étude pilote afin de s’assurer de la pertinence de ses choix en matière de conception d’un système d’IA (19). Par ailleurs et conformément au principe de limitation des données de conservation (20), les durées de conservation des données utilisées seront à déterminer préalablement au développement du système d’IA. La Cnil appelle, à ce titre, à consulter son guide pratique sur les durées de conservation (21). Ces durées devront faire l’objet de suivi, de sorte que les données qui ne seront plus nécessaires devront être supprimées. Le respect de ce principe ne s’oppose pas à ce que, sous certaines conditions, des données soient conservées pour des durées plus longues, notamment à des fins de maintenance ou d’amélioration du produit. Analyse d’impact (AIPD) nécessaire Enfin, réalisez une analyse d’impact quand c’est nécessaire. L’analyse d’impact sur la protection des données (AIPD) permet d’évaluer et de recenser les risques d’un traitement en vue d’établir un plan d’action permettant de les réduire. Cette analyse AIPD (22) est, selon les cas, obligatoire ou bien fortement recommandée. A la lumière de la doctrine de la Cnil et de l’AI Act, les entreprises et organisations doivent à présent mettre en place leur mise en conformité, avec des points très réguliers. @

* Anne-Marie Pecoraro est avocate spécialisée en droit de la propriété intellectuelle, des médias et des technologies.

Cookies : le consentement préalable inquiète Nick Leeder, le DG de Google France

Publié le par

En fait. Le 28 octobre, Nick Leeder, DG de Google France, était parmi les invités de l’Association des journalistes économiques et financiers (AJEF). EM@ en a profité pour lui demander si le projet européen de « consentement préalable obligatoire » pour les cookies l’inquiétait pour l’avenir de la pub en ligne.

Nick LeederEn clair. « C’est une bonne question. Cela peut impacter le business de Google, mais cela va nous toucher beaucoup moins que bien d’autres acteurs », nous a répondu Nick Leeder (photo), le DG de Google France depuis avril 2013.
« Je pense que cela ne va pas vraiment impacter l’activité de moteur de recherche de Google, le search. Mais cela peut toucher beaucoup plus les autres, par exemple les sites web de journaux qui utilisent les cookies pour mieux améliorer leur niveau de monétisation : tout ce qui est publicité display [bannières notamment, ndlr] peut être très impacté », a-t-il prévenu.

« Préalable » : le mot qui pourrait compromettre la publicité sur Internet

Publié le par

Le gouvernement doit publier d’ici le 25 mai une ordonnance pour transposer la nouvelle directive européenne « Service universel et droits des utilisateurs » sur Internet. Elle impose aux Vingt-sept de prévoir le « consentement préalable » des internautes pour chaque « cookie » déposé dans son ordinateur.

Le marché de la publicité, qui devrait dépasser cette année en France les 2,5 milliards d’euros de chiffre d’affaires (contre 2,3 milliards en 2010 selon l’Irep) et franchir en Europe la barre des 10 milliards d’euros (contre 8,6 milliards en 2010 selon l’Idate),
est sur le point d’être déstabilisé par un petit mot : « préalable ».