Newsletter septembre 2025

✨IA ✨

➡️Entrée en application du Chapitre V de l’IA Act : ce qu’il faut savoir sur les modèles GPAI

Après l’entrée en vigueur du Règlement européen sur l’IA (2024/1689) le 1er août 2024 et l’interdiction des systèmes à risque inacceptable en février 2025 (par exemple, les systèmes de notation sociale), les dispositions du Chapitre V s’appliquent aux modèles d’IA à usage général (GPAI) mis à disposition dans l’UE à partir du 2 août 2025.

🔵 Distinction importante :

1. modèle d’IA à usage général : Un modèle d’IA à usage général est défini comme « un modèle d’IA, y compris lorsque ce modèle d’IA est entraîné à l’aide d’un grand nombre de données utilisant l’auto-supervision à grande échelle, qui présente une généralité significative et est capable d’exécuter de manière compétente un large éventail de tâches distinctes, indépendamment de la manière dont le modèle est mis sur le marché, et qui peut être intégré dans une variété de systèmes ou d’applications en aval, à l’exception des modèles d’IA utilisés pour des activités de recherche, de développement ou de prototypage avant leur mise sur le marché » (Article 3, (63) IA Act).

2. modèle d’IA à usage général présentant un risque systémique : Un modèle d’IA à usage général présentant un risque systémique est un modèle dont les capacités ou l’impact sont suffisamment élevés pour générer des risques majeurs pour la société, la sécurité ou les droits fondamentaux. Il est considéré comme tel s’il atteint un niveau de puissance technique important ou s’il est désigné par la Commission européenne en raison de son impact potentiel équivalent. (Article 51 IA Act)

🔵 Obligations des fournisseurs de modèles GPAI (article 53 IA Act)

1. Documentation technique

Élaborer et maintenir une documentation complète du modèle (formation, test, évaluation), conformément à l’Annexe XI.

Rendre cette documentation disponible à la demande de l’Office de l’IA ou des autorités nationales compétentes.

2. Information des intégrateurs

Fournir une documentation accessible aux fournisseurs de systèmes d’IA souhaitant intégrer le modèle, incluant a minima les éléments de l’Annexe XII.

Cette documentation doit permettre de comprendre les capacités et limites du modèle, tout en respectant les droits de propriété intellectuelle et les secrets d’affaires.

3. Respect du droit d’auteur

Mettre en œuvre une politique de conformité au droit d’auteur de l’UE, incluant l’identification des contenus protégés, notamment via des technologies avancées.

4. Transparence sur les données d’entraînement

Publier un résumé suffisamment détaillé des contenus utilisés pour entraîner le modèle, selon un format standard défini par l’Bureau de l’IA.

5. Coopération avec les autorités

Collaborer avec la Commission européenne et les autorités compétentes dans le cadre de leurs missions.

🔵 Obligations des fournisseurs de modèles d’IA à usage général présentant un risque systémique (article 55 IA Act)

En plus des exigences générales (article 53), les fournisseurs de modèles GPAI à risque systémique doivent respecter les obligations suivantes :

1. Évaluation technique rigoureuse

Effectuer l’évaluation du modèle conformément à des protocoles et outils standardisés, reflétant l’état de l’art.

Inclure et documenter des tests contradictoires visant à identifier et atténuer les risques systémiques associés au modèle.

2. Analyse des risques à l’échelle de l’Union

Identifier les sources potentielles de risques systémiques liés au développement, à la commercialisation ou à l’utilisation du modèle.

Mettre en œuvre des mesures d’atténuation adaptées.

3. Surveillance et signalement des incidents

Documenter, tracer et signaler sans délai tout incident grave ou dysfonctionnement au Bureau de l’IA (et aux autorités nationales compétentes le cas échéant).

Fournir les mesures correctives envisagées ou mises en œuvre.

4. Cybersécurité renforcée

Assurer une protection adéquate du modèle et de son infrastructure physique contre les risques de cybersécurité

 

🔵 Sanctions applicables aux fournisseurs de GPAI (Article 101 IA Act)

La Commission peut infliger aux fournisseurs de modèles d’IA à usage général des amendes allant jusqu’à 3 % du chiffre d’affaires mondial annuel ou 15 millions d’euros, en cas de manquement intentionnel ou par négligence, notamment pour :

• Violation du règlement,

• Défaut de réponse ou communication d’informations inexactes,

• Non-respect de mesures imposées,

• Refus d’accès au modèle à des fins d’évaluation.

Ces dispositions ne seront applicables qu’à partir du 2 août 2026.

🔵 Autres dispositions entrant en application

Outre le Chapitre V, les dispositions suivantes entrent également en application le 2 août 2025 :

• Chapitre III, Section 4 et Chapitre VII : Désignation par les Etats membres des autorités compétentes, missions du Comité IA, du forum consultatif et du groupe scientifique,

• Chapitre XII : Sanctions en cas de non-conformité à l’IA Act (hors amendes pour les fournisseurs de GPAI, entrant en application le 2 août 2026)

🔗 Lien vers le calendrier : https://artificialintelligenceact.eu/fr/implementation-timeline/

➡️ Projet de désignation des autorités nationales pour la régulation de l’intelligence artificielle

La Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) et la Direction générale des Entreprises (DGE) ont présentéle 9 septembre 2025 un projet de désignation des autorités en charge de la régulation de l’IA au titre du règlement IA européen.

Le schéma repose sur une coordination par ces deux directions et priorise la désignation d’autorités existantes en fonction de leurs compétences et expertises sectorielles.

En pratique, si une entreprise est déjà régulée sur son secteur, elle s’adressera en très grande majorité à son régulateur habituel pour la mise en œuvre du règlement IA.

Ce schéma doit être soumis au Parlement par le biais d’un projet de loi.

🔵 Pratiques interdites (art. 5 RIA)

• ARCOM et DGCCRF : contrôle des systèmes manipulatoires (techniques subliminales, exploitation des vulnérabilités liées à l’âge, au handicap ou à la situation sociale).

• CNIL et DGCCRF : interdiction des systèmes de notation sociale.

• CNIL : contrôle des autres interdictions (police prédictive, bases de reconnaissance faciale massives, inférence des émotions au travail ou à l’école, catégorisation biométrique, identification biométrique répressive en temps réel).

🔵 Systèmes à haut risque (annexes I et III)

• Les autorités déjà compétentes pour les produits réglementés voient leurs prérogatives étendues pour l’IA intégrée (Annexe I RIA).

• Pour les usages sensibles (Annexe III RIA) :

  • Infrastructures critiques : Hauts fonctionnaires de défense et de sécurité (Bercy, Transition écologique).

  • Finance et assurance : ACPR.

  • Justice : Conseil d’État, Cour de cassation, Cour des comptes.

  • Éducation, formation : CNIL et DGCCRF.

  • Processus démocratiques : CNIL et ARCOM.

  • Biométrie, emploi, répression, migration : CNIL.

🔵 Obligations de transparence (art. 50)

• CNIL : reconnaissance des émotions et catégorisation biométrique.

• DGCCRF et ARCOM : IA interagissant avec le public, hypertrucages et contenus de synthèse.

• ARCOM: manipulation ou génération de textes diffusés sur des sujets d’intérêt public.

🔵 Appui technique et coordination

• PEReN et Anssi : mutualisation des expertises IA et cybersécurité pour soutenir les autorités.

• DGCCRF : coordination des contrôles et rôle de point de contact unique.

• DGE : représentation de la France au Comité européen de l’IA.

🔗 Lien vers le schéma : https://www.entreprises.gouv.fr/priorites-et-actions/transition-numerique/soutenir-le-developpement-de-lia-au-service-de-0

📣 Parole d’experts FIRSH : La régulation actuelle repose sur une mosaïque d’autorités (CNIL, ARCOM, DGCCRF, ACPR…), au risque de créer complexité. Face à la transversalité et à la rapidité d’évolution de l’IA, une Autorité unique dédiée pourrait offrir plus de cohérence, de clarté et d’efficacité, en devenant l’interlocuteur central des acteurs publics et privés.

Face à une réglementation complexe et mille feuille, il est important d’être accompagné par des juristes expérimentés qui ont une vision plus large que seulement les dispositions du réglementation et ce en fonction de l’activité. FIRSH accompagne ainsi ses clients dans leurs projet de conformité à l’IA ACT grâce à une expertise pluridisciplinaire « Propriété Intellectuelle, Commercial, Données personnelles, contrats et contentieux.

✨DONNEES PERSONNELLES✨

➡️Google condamnée, en appel, à retirer une fiche « Google My Business », Cour d’appel, Chambéry, 2e chambre, 22 mai 2025 – n° 22/01814

🔵 Contexte de l’affaire

Une dentiste découvre, en tapant son nom dans le moteur de recherche de Google, qu’une fiche « Google My Business » (GMB) fait apparaître son nom patronymique, l’adresse de son cabinet, ainsi qu’une notation avec des étoiles et des avis liés à son activité professionnelle, dont certains très négatifs.

Elle demande l’effacement de cette fiche par courrier de mise en demeure adressée à la société Google France ; cette dernière refuse de faire droit à ses demandes.

Ne parvenant pas à obtenir amiablement la suppression de sa fiche GMB, la dentiste assigne les sociétés Google France, Google LLC et Google Ireland Limited.

🔵 Réponse de la Cour de cassation

La Cour écarte la responsabilité de Google France, simple prestataire sans rôle dans l’exploitation du moteur de recherche, et juge les demandes dirigées contre elle irrecevables.

En revanche, elle retient que les données publiées sur la fiche Google My Business (nom, prénom, profession, adresse, téléphone) constituent bien des données personnelles. Leur traitement par Google, réalisé sans consentement à partir de données collectées auprès d’Infobel, relève donc du champ d’application du RGPD.

Si la collecte initiale n’était pas illicite, Google a manqué à son obligation d’information (article 14 RGPD) et ne peut se prévaloir d’un intérêt légitime équilibré : l’adhésion forcée à un compte Google, la valorisation économique des données et les contraintes particulières des professionnels de santé conduisent à qualifier le traitement d’illicite.

Dès lors, la suppression de la fiche GMB est justifiée. Les arguments tirés de la liberté d’expression ou du droit à l’information sont écartés, les avis sur un professionnel de santé n’entrant pas dans leur champ.

Concernant les demandes indemnitaires, la Cour exclut toute responsabilité de Google pour les avis dénigrants comme pour le parasitisme.

En revanche, elle retient deux fautes : la création d’une fiche Google My Business sans consentement, combinée à l’impossibilité pour le praticien de répondre librement aux avis, constitue un traitement illicite.

Le juge ordonne donc la suppression de la fiche et accorde 10.000 € de dommages et intérêts pour préjudice moral et démarches imposées.

📣 Parole d’experts FIRSH : Cette décision rappelle que les données professionnelles (nom, adresse, numéro) sont aussi des données personnelles au sens du RGPD dans la mesure où ces données permettent d’identifier une personne physique. La réglementation sur les données personnelles vient donc à la rescousse des actes de dénigrement et de parasitisme éventuels. Il s’agit d’un fondement juridique que les praticiens doivent savoir utiliser à bon escient.

Un signal fort : les plateformes doivent équilibrer leur intérêt économique avec les droits fondamentaux des personnes.

🔗Lien vers la décision : https://www.courdecassation.fr/decision/68300ad793ab4231dd3e52d9

➡️Data Act : nouveaux contrats, nouveaux réflexes

Adopté fin 2023, le Data Act s’appliquera aux nouveaux contrats dès septembre 2025.

Il a pour objectif d’assurer à tout utilisateur d’un produit connecté, qu’il soit consommateur ou professionnel, un accès effectif aux données qu’il produit ainsi que la possibilité d’en autoriser la transmission à un tiers de son choix.

Quels sont les enjeux et opportunités du Data Act, qui entre en application le 12 septembre 2025 ?

🔵 Faciliter le partage de données entre entreprises et consommateurs dans le contexte de l’internet des objets 

Le Data Act vise à faciliter l’accès et le partage des données générées par l’usage des objets connectés. Il permet aux consommateurs et aux entreprises d’accéder plus facilement aux données qu’ils co-produisent et d’en autoriser la collecte, l’utilisation et la transmission.

Ainsi, dans son objectif de créer un marché des données compétitif et innovant , le Data Act établit des obligations pour les fabricants de produits connectés et les fournisseurs de services associés (services numériques liés aux produits connectés), notamment :

• Accès sur demande : Les utilisateurs peuvent demander l’accès aux données des produits et services (article 4 – Droits et obligations des utilisateurs et des détenteurs de données concernant l’accès aux données relatives au produit et aux données relatives au service connexe, leur utilisation et leur mise à disposition)

• Transfert sur demande : Les utilisateurs peuvent demander que les données soient transférées à un tiers de leur choix (article 5 – Droit de l’utilisateur de partager des données avec des tiers)

• Accès dès la conception : Les futurs produits et services doivent être conçus de manière à permettre un accès aux données dès la conception (l’article 3 prévoit que lesdites données sont « par défaut, accessibles à l’utilisateur, de manière aisée, sécurisée, sans frais, dans un format complet, structuré, couramment utilisé et lisible par machine, et sont, lorsque cela est pertinent et techniquement possible, directement accessibles à l’utilisateur. »). Cette exigence s’appliquera à compter du 12 septembre 2026.

🔵Faciliter la mise à disposition des organismes publics, en cas de besoins exceptionnels des données détenues par des entités privées

La mise à disposition de données peut être exigée en cas d’urgence publique, pour en limiter les effets, ou lorsqu’une autorité en a besoin pour une mission d’intérêt public et ne peut y accéder autrement (article 14 et 15 du Data Act).

L’entreprise détentrice doit alors convenir d’une compensation « raisonnable » avec l’organisme public bénéficiaire (art. 8). Cette appréciation se fonde notamment sur les coûts de formatage des données et les investissements nécessaires pour organiser leur partage, comme l’a précisé la Commission européenne.

🔵 Interdire les clauses abusives

Le Data Act interdit ou présume abusives certaines clauses, même entre professionnels (art. 13). Sont ainsi nulles celles qui excluent toute responsabilité en cas de faute grave ou qui confèrent à une partie le pouvoir unilatéral d’évaluer la qualité des données. D’autres, comme l’interdiction de copier les données en fin de contrat ou les déséquilibres manifestes dans les droits d’usage, sont simplement suspectes.

Cette approche marque un glissement du droit de la consommation vers le B2B : elle oblige à revoir des pratiques contractuelles courantes, notamment dans les CGU. Elle s’inscrit dans un mouvement plus large initié par le règlement Platform-to-Business (P2B), désormais prolongé par le Data Act : la liberté contractuelle entre entreprises n’est plus totale lorsque les données sont en cause.

🔵 Données personnelles et RGPD

Lorsque les données issues d’objets connectés permettent d’identifier une personne (ex. données d’usage liées à un logement), le RGPD s’applique parallèlement au Data Act.

Il convient alors de :

• identifier les responsables de traitement (utilisateur, détenteur ou co-responsabilité)

• déterminer une base légale adaptée (contrat ou consentement) ;

• assurer transparence et information ;

• appliquer les principes de sécurité, minimisation et limitation.

Cette analyse doit être rigoureusement documentée, en intégrant cadre contractuel et pratiques effectives, notamment dans les situations hybrides d’exploitation secondaire des données.

🔵 À court terme, les entreprises concernées doivent :

1. identifier les données générées, exploitées ou transférées ;

2. qualifier juridiquement chaque acteur impliqué dans leur traitement ou leur partage ;

3. revoir les contrats existants (CGU, conditions commerciales, maintenance) ;

4. conclure, le cas échéant, de nouveaux accords ou annexes encadrant les flux de données ;

5. intégrer systématiquement les exigences du RGPD lorsque des données personnelles sont en cause.

📣 Parole d’experts Firsh : Le Data Act ne crée pas seulement un nouveau droit d’accès aux données : il impose aux entreprises de repenser leur manière de les encadrer. Derrière les obligations contractuelles, c’est un changement de culture juridique qui s’amorce : celui d’une plus grande transparence dans les écosystèmes numériques et industriels, et d’un équilibre renouvelé entre les parties.

Face à ces nouvelles obligations contractuelles et à l’articulation nécessaire avec le RGPD, FIRSH accompagne ses clients dans leurs projets de conformité grâce à une expertise pluridisciplinaire : propriété intellectuelle, commercial, données personnelles, contrats et contentieux.

🔗 Lien vers le Data Act : https://digital-strategy.ec.europa.eu/fr/policies/data-act

✨CYBERSECURITE✨

➡️Projet de loi sur la résilience des infrastructures critiques et la cybersécurité

Le projet de loi sur la résilience des infrastructures critiques et la cybersécurité qui était en cours d’examen à l’Assemblée nationale les 9,10 et 11 septembre 2025, vise à transposer en droit français trois textes européens majeurs :

1) la directive NIS 2

2) la directive REC

3) la directive DORA

🔵 La directive NIS 2

Le projet de loi transpose la directive européenne « NIS 2 » (2022), qui renforce et élargit le cadre de cybersécurité posé par NIS 1 (2016). Face à la multiplication des cyberattaques touchant désormais tout le tissu économique et social (PME, hôpitaux, collectivités territoriales, etc.), son champ d’application passe en France de 500 à près de 15 000 entités, et de 6 à 18 secteurs (santé, chimie, recherche, industries manufacturières, services postaux, etc.).

Les entités seront classées en deux catégories : les catégories essentielles (EE) ou catégories importantes (EI), avec des obligations respectivement adaptées à leur criticité : information régulière à l’ANSSI, déclaration des incidents, mise en œuvre de mesures de sécurité.

L’ANSSI est désignée comme autorité compétente, dotée de pouvoirs renforcés de contrôle et de sanction. En cas de manquement, des amendes pourront atteindre 10 M€ ou 2 % du CA mondial.

🔵 La directive REC

Le projet de loi transpose la directive européenne « REC » (2022) visant à renforcer la résilience des entités critiques dans onze secteurs essentiels : énergie, transports, santé, secteurs bancaires, infrastructures des marchés financiers, santé, eau potable, eaux résiduaires, infrastructures numériques, administration publique, espace, production, transformation et distribution de denrées alimentaires.

Il actualise le dispositif national de sécurité des activités d’importance vitale (SAIV), étendu à de nouveaux domaines comme l’hydrogène, l’assainissement ou les réseaux de chaleur. Les opérateurs d’importance vitale devront élaborer un plan de résilience opérateur, et les 1 500 sites vitaux un plan particulier de résilience.

La Commission européenne pourra suivre certaines entités stratégiques, et une nouvelle commission des sanctions pourra infliger jusqu’à 10 M€ ou 2 % du CA mondial en cas de manquement.

🔵 La directive DORA

Le projet de loi transpose la directive DORA, complémentaire au règlement DORA déjà applicable depuis le 17 janvier 2025. Le texte transpose en dernier lieu la directive du 14 décembre 2022 accompagnant le règlement Digital Operational Resilience Act (DORA), qui encadre plus strictement l’usage des technologies numériques dans le secteur financier.

Cette directive introduit des mesures techniques visant à harmoniser la prévention, la détection et le signalement des incidents, et fixe des règles communes pour l’utilisation de prestataires de services numériques par les entités financières.

🔵 Transposition

Ce cadre européen renforce les obligations des acteurs publics et privés en matière de sécurité numérique, continuité opérationnelle et supervision sectorielle.

Une avancée stratégique pour la souveraineté numérique et la protection des systèmes critiques. Cependant, la France est en retard. NIS 2 devait être transposée au plus tard le 17 octobre 2024, conformément au calendrier européen.

Ce décalage expose les acteurs français, notamment dans les secteurs critiques et financiers à un risque de non-conformité temporaire, alors que les exigences européennes en matière de cybersécurité se renforcent.

🔵 Cyber Resilience Act

Dans la même dynamique, le Cyber Resilience Act s’intègre dans la stratégie globale de l’Union européenne de lutte contre la cybermenace.

Le Cyber Resilience Act (CRA) est un règlement européen qui s’applique à l’ensemble des produits intégrant des éléments numériques, qu’il s’agisse de matériels ou de logiciels connectés à un réseau, à l’exception de certains secteurs déjà couverts par des législations spécifiques comme le médical, l’automobile ou la défense.

Entré en vigueur le 10 décembre 2024, les principales obligations seront effectives à partir du 11 décembre 2027.

En cas de manquement, les sanctions sont lourdes : jusqu’à 15 millions d’euros ou 2,5 % du chiffre d’affaires mondial pour les fabricants, 10 millions d’euros ou 2 % du chiffre d’affaires pour les importateurs et distributeurs, et jusqu’à 5 millions d’euros ou 1 % du chiffre d’affaires en cas de fourniture d’informations inexactes.

📣 Parole d’experts FIRSH : Le projet de loi français transpose NIS 2, REC et DORA, élargissant massivement les obligations des acteurs critiques, avec des sanctions jusqu’à 10 M€. Le Cyber Resilience Act complète ce dispositif, imposant d’ici 2027 des standards de sécurité à tous les produits numériques.

FIRSH accompagne les entreprises dans leur mise en conformité : contrats, relations avec prestataires, bonnes pratiques et formations. Plus qu’une contrainte, la cybersécurité devient un levier stratégique de gouvernance et de souveraineté.

✨PLATEFORME NUMERIQUE ✨

➡️Bruxelles inflige à Google une amende de près de 3 milliards d’euros

La Commission européenne a annoncé le 5 septembre 2025, sanctionner Google à hauteur de 2,95 milliards d’euros pour ses pratiques abusives dans le domaine des technologies publicitaires en ligne.

Montant de la sanction : une amende record de 2,95 milliards d’euros a été infligée à Google pour pratiques anticoncurrentielles dans le secteur des technologies publicitaires en ligne (adtech).

Nature de l’infraction : la Commission reproche à Google d’avoir favorisé ses propres services publicitaires dans la chaîne d’affichage en ligne, au détriment :

• des fournisseurs concurrents de technologies publicitaires,
• des annonceurs, contraints d’utiliser ses solutions,
• des éditeurs, privés d’un accès équitable aux revenus publicitaires.

Comportement sanctionné : il s’agit d’un cas typique d’autopréférence, Google ayant structuré son écosystème publicitaire pour maintenir son contrôle de bout en bout (demande, intermédiation et offre), verrouillant ainsi le marché.

Mesures imposées : la Commission exige que Google :

• mette fin à ses pratiques d’autopréférence,
• adopte des solutions concrètes pour éliminer les conflits d’intérêts structurels qui traversent la chaîne de valeur adtech.

Calendrier : Google dispose de 60 jours (soit jusqu’à début novembre 2025) pour présenter à la Commission les modalités précises de mise en conformité. Une fois reçues, la Commission les évaluera de manière approfondie afin de déterminer si ces modalités éliminent les conflits d’intérêts. Dans le cas contraire, sous réserve du droit de Google d’être entendue, la Commission procédera à l’imposition d’une mesure corrective appropriée.

📣 Parole d’experts FIRSH : Cette sanction n’est pas une première pour Google, déjà condamné notamment en 2018 à une amende de 4,1 milliards d’euros pour abus de position dominante. L’entreprise a interjeté appel et n’a, à ce jour, pas réglé cette somme. Si ces amendes records restent contestées et non payées pendant des années, on peut s’interroger sur l’efficacité réelle de ces mécanismes de sanction.

🔗Lien vers le communiqué de presse : https://ec.europa.eu/commission/presscorner/detail/fr/ip_25_1992

✨IA & PROPRIETE INTELLECTUELLE ✨

➡️Ordonnance du 23 juin 2025 : la District Court de Californie statue sur l’usage non autorisé de millions de livres par Anthropic

🔵 Faits : Une entreprise d’intelligence artificielle, Anthropic PBC, est poursuivie par des auteurs pour avoir téléchargé, sans autorisation, des millions de livres protégés par le droit d’auteur afin, d’une part, de créer une bibliothèque numérique centrale interne, et, d’autre part, d’entraîner son modèle d’IA « Claude », générateur de revenus estimés à plus d’un milliard de dollars par an.

Pour ce faire, Anthropic a combiné deux méthodes :

• le téléchargement massif d’ouvrages depuis des sites pirates ;
• la numérisation de livres papier (incluant des doublons avec les œuvres piratées).

🔵 Problème de droit : La question est de savoir si l’utilisation par Anthropic de millions de livres, à des fins d’entraînement de son IA et de constitution d’une bibliothèque interne, peut être qualifiée de fair use au sens de la Section 107 du Copyright Act, compte tenu des quatre critères d’appréciation posés par ce texte.

🔵 Le fair use : Cette exception repose sur l’appréciation des quatre critères suivants :

1. le but et le caractère de l’usage, notamment sa finalité commerciale ou éducative ;

2. la nature de l’œuvre protégée (factuelle ou expressive) ;

3. la quantité et la substance de l’œuvre utilisée ;

4. l’effet de l’usage de la copie sur le marché ou sur la valeur de l’œuvre.

🔵 L’usage non autorisé d’œuvres pour l’entraînement des IA :

Pour apprécier la licéité de l’usage non autorisé des œuvres dans le cadre de l’entraînement de son IA par Anthropic, la Cour choisit de ne pas distinguer selon que les œuvres proviennent de sources licites ou illicites, et procède directement à l’analyse des critères du fair use.

Analyse des critères du fair use

• But de l’usage : l’entraînement d’une IA est qualifié d’usage transformateur. Selon la Cour, interdire cette pratique reviendrait à empêcher toute réutilisation intellectuelle d’une œuvre, ce qui serait contraire à la logique du fair use. Elle compare ce processus à l’apprentissage d’un lecteur qui, après avoir lu de nombreux ouvrages, devient à son tour écrivain. Le droit d’auteur protège la forme d’expression, mais non les idées, concepts ou principes, de sorte que l’assimilation de contenus pour nourrir un modèle d’IA ne saurait être interdite. → Critère favorable au fair use.

• Quantité utilisée : la Cour souligne que la question n’est pas le volume d’œuvres absorbées par le modèle, mais ce qui est ensuite rendu disponible au public. Or, dans ce cas, aucune reproduction directe n’est restituée par l’IA. La simple ingestion d’un grand nombre de livres ne suffit donc pas à caractériser une atteinte. → Critère favorable au fair use.

• Effet sur le marché : il n’est pas établi que l’entraînement prive les auteurs d’une exploitation économique de leurs œuvres ni qu’il se substitue aux originaux. L’existence de copies techniques utilisées en interne ne détourne pas la demande pour les livres, qui conservent toute leur valeur commerciale. → Critère favorable au fair use.

• Nature des œuvres : la Cour reconnaît que les livres utilisés sont des œuvres expressives, et non de simples données factuelles. Ce facteur pèse donc contre le fair use, la reproduction d’œuvres de création étant moins facilement justifiable. → Critère défavorable au fair use, mais isolé.

Conclusion sur l’entraînement

• L’appréciation globale des critères conduit la Cour à estimer que l’entraînement de l’IA à partir d’œuvres existantes relève bien du fair use. Trois critères sont positifs, un seul joue contre, ce qui ne suffit pas à écarter l’exception.

Nuance importante : la question des copies piratées

• La Cour rappelle expressément que le piratage de copies légalement accessibles constitue en lui-même une contrefaçon incontestable et irrémédiable.

• Or, Anthropic n’a pas seulement utilisé ces copies pour l’entraînement : elle les a conservées, même après avoir cessé de les exploiter pour ses modèles, dans l’objectif de constituer une bibliothèque centrale rassemblant tous les livres du monde.

• Cet usage distinct la conservation durable de copies illicites en dehors de l’entraînement n’entre pas dans l’exception de fair use. Il constitue une atteinte autonome au droit d’auteur, susceptible d’engager la responsabilité d’Anthropic.

🔵 La constitution d’une bibliothèque numérique permanente

Usage de livres numérisés licitement

• La Cour juge que la conversion d’exemplaires papier achetés légalement en copies numériques internes relève du fair use.

• Elle considère que la copie numérique équivaut à l’exemplaire papier, dès lors qu’il n’y a ni revente ni diffusion et que l’usage reste limité à la conservation et la recherche.

• Les quatre critères du fair use sont globalement retenus comme favorables, sauf celui de la nature des œuvres (expressives).

• Toutefois, cette solution est critiquable : une copie numérique n’est pas équivalente à une copie papier puisqu’elle permet un usage collectif, simultané, illimité et affranchi des restrictions juridiques et techniques imposées par les éditeurs.

Usage de copies piratées

• Anthropic a téléchargé et conservé plus de sept millions de livres issus de bases pirates.

• Pour ces copies, la Cour estime que tous les critères du fair use s’opposent à leur utilisation.

• L’affaire se poursuivra donc au fond pour juger la constitution de la bibliothèque centrale d’Anthropic à partir de contenus illicites.

📣 Parole d’experts FIRSH : Derrière une analyse méthodique des critères du fair use, la décision apparaît très favorable aux développeurs d’IA. La Cour distingue bien entre copies licites et illicites pour la bibliothèque numérique, mais pas pour l’entraînement, évitant ainsi de trancher la question clé de l’usage de copies piratées détruites ensuite. Cette omission entretient une insécurité juridique majeure.

Surtout, la Cour semble ignorer le transfert massif de valeur : Anthropic profite gratuitement de millions d’œuvres protégées, sans rémunérer les ayants droit. En droit français, même si la contrefaçon est incertaine, une telle pratique pourrait être sanctionnée sur le terrain du parasitisme.

➡️Kadrey et al. v. Meta Platforms Inc., U.S. District Court, N.D. California 25 juin 2025

Le 25 juin 2025, le United States District Court for the Northern District of California a rendu une décision très attendue dans le litige opposant plusieurs auteurs à Meta Platforms Inc.

🔵 Faits :

Dans l’affaire Kadrey et al. v. Meta, plusieurs auteurs poursuivent Meta Platforms Inc., l’accusant d’avoir utilisé leurs œuvres protégées par le droit d’auteur, sans autorisation, pour entraîner ses modèles d’intelligence artificielle, notamment LLaMA.

L’affaire soulève une question juridique fondamentale : l’utilisation d’œuvres protégées par le droit d’auteur pour l’entraînement d’un modèle d’intelligence artificielle peut-elle être considérée comme un usage équitable (“fair use”) au regard du droit américain ?

🔵 Les accusations des auteurs :

Treize auteurs accusaient Meta d’avoir utilisé leurs livres sans autorisation pour entraîner ses modèles de langage LLaMA et LLaMA 2. Selon eux, ces œuvres auraient été extraites de “shadow libraries” telles que Books3, Bibliotik ou Library Genesis. Les demandeurs invoquaient une violation de leurs droits d’auteur en vertu du Title 17 U.S. Code § 106, reprochant à Meta la reproduction intégrale de leurs œuvres, la création d’œuvres dérivées non autorisées et leur exploitation à des fins commerciales.

🔵 La défense de Meta : le fair use :

De son côté, Meta demandait un summary judgment (jugement sommaire) en s’appuyant sur l’exception de fair use, prévue à la Section 107 du Copyright Act. Cette doctrine permet, dans certaines conditions, l’utilisation d’œuvres protégées sans autorisation, notamment à des fins de recherche, d’enseignement ou de transformation.

🔵 Finalité et nature de l’usage :

Le tribunal a estimé que l’entraînement du modèle sur les œuvres concernées constituait un usage transformateur, dans la mesure où l’objectif n’était pas de reproduire ou de lire les textes, mais de permettre à l’IA d’apprendre les structures du langage naturel. Bien que l’usage ait une dimension commerciale, cela n’a pas été jugé décisif, car la finalité première selon le juge était d’ordre scientifique et statistique.

🔵 Absence de préjudice économique démontré :

Le tribunal a écarté les arguments des auteurs concernant un éventuel impact économique, soulignant l’absence de preuves tangibles de préjudice. Aucune donnée, analyse d’expert ou élément concret n’a été fourni pour démontrer une perte de revenus, une substitution sur le marché ou une baisse de valeur des œuvres.

📣 Parole d’experts FIRSH :

Le jugement américain est donc favorable à Meta et envoie un signal favorable aux acteurs de l’IA générative.

Cependant, le tribunal a insisté sur le fait que chaque situation devra être appréciée au cas par cas.

Cette approche renvoie à la question, plus large, de la mise en place d’un marché de licences pour l’entraînement des IA, une solution déjà préconisée en France par le CSPLA (rapport de mission relative à la rémunération des contenus culturels utilisés par les systèmes d’intelligence artificielle) et par le Sénat dans plusieurs de leurs rapports antérieurs.

🔗Lien vers la décision : https://law.justia.com/cases/federal/district-courts/california/candce/3:2023cv03417/415175/598/?utm_

➡️ Un accord transactionnel historique de 1,5 milliards de dollars entre auteurs et le développeur d’intelligence artificielle Anthropic

Le 5 septembre 2025, un accord transactionnel d’une ampleur sans précédent a été conclu aux États-Unis entre plusieurs auteurs et le développeur d’intelligence artificielle Anthropic. D’un montant de 1,5 milliard de dollars, il représente à ce jour le règlement amiable le plus important jamais enregistré en matière de droit d’auteur et, plus largement, dans les litiges relatifs à l’utilisation d’œuvres protégées pour l’entraînement de systèmes d’IA.

Le contentieux porte sur l’utilisation massive par Anthropic d’ouvrages littéraires téléchargés depuis des bases de données de libres piratés.

L’accord prévoit un fonds d’indemnisation de 1,5 milliard de dollars, soit environ 3 000 dollars par œuvre concernée. Ce montant pourra être revu à la hausse en fonction du nombre définitif de demandes.

Au-delà de son ampleur financière, l’accord envoie un message clair à l’industrie de l’intelligence artificielle : l’utilisation de contenus issus de « shadow libraries » ou de sources illicites entraîne inévitablement des conséquences juridiques et économiques.

Cependant, le juge Alsup a suspendu l’approbation de l’accord transactionnel de 1,5 Md$ conclu entre Anthropic et les auteurs. Il estime que des éléments essentiels font défaut, notamment la liste précise des œuvres concernées ainsi que les modalités de notification des membres de la class action, afin qu’ils puissent exercer leur choix d’adhérer ou de se retirer (opt in / opt out).

✨ Point experts Firsh : Présenté comme un accord pilote pour les futurs contentieux en matière d’IA et de propriété intellectuelle, il devra encore prouver sa solidité procédurale avant de faire figure de référence.

✨PROPRIETE INTELLECTUELLE ✨

➡️Marques : Nullité des dépôts s’inscrivant dans une « stratégie économique globale frauduleuse »

🔵 Faits : Deux particuliers ont déposé une série de sept marques incluant le terme « EMPORIO » pour des produits en classes 3, 14, 18, 21, 24 ou 25 (toutes les marques ne visant pas l’ensemble des produits). Il ressort des décisions que ces deux particuliers sont liés puisqu’ils ont la même adresse, le même nom patronymique et le même mandataire. Les marques ont été déposées entre 2018 et 2022 et n’ont pas fait l’objet d’oppositions. La société GIORGIO ARMANI, qui exploite la marque « EMPORIO ARMANI », agit en nullité pour mauvaise foi contre ces sept marques enregistrées.

🔵 Droit d’agir en nullité

Les titulaires des marques contestées ont tenté de faire déclarer irrecevables les demandes de la société GIORGIO ARMANI, en invoquant un abus du droit d’agir (notamment en l’absence d’opposition initiale). L’INPI écarte l’argument :

• seul un comportement dicté par l’intention de nuire pourrait constituer un abus ;
• l’absence d’opposition ne prive pas du droit d’agir en nullité ;
• la demande de la société GIORGIO ARMANI est suffisamment motivée et étayée.

🔵 Caractérisation de la mauvaise foi

Deux conditions doivent être réunies :

• Connaissance de l’usage antérieur : la renommée de la marque « EMPORIO ARMANI«  établit une présomption de connaissance dont les déposants ne pouvaient ignorer l’exploitation.
• Intention parasitaire : au-delà de la connaissance, il faut démontrer une volonté d’exploiter indûment la notoriété d’autrui. L’INPI retient cet élément en constatant une stratégie répétée de dépôts opportunistes (sept marques reprenant le terme « EMPORIO, d’autres imitant par exemple « CELINE », « TOMMY », « OFF WHITE », etc.).

🔵 Conclusion 

L’INPI en conclut que ces dépôts s’inscrivaient dans une « stratégie économique globale frauduleuse » et prononce la nullité des marques. Cette série de décisions illustre l’importance croissante du motif de mauvaise foi devant l’Office, même si la sanction demeure limitée : l’annulation des titres et une condamnation symbolique aux frais. La question se posera désormais de savoir si l’EUIPO adoptera une approche similaire pour les dépôts réalisés au niveau européen.

 📣 Parole d’experts FIRSH : FIRSH assiste régulièrement ses clients dans des procédures devant l’INPI (opposition, nullité) notamment pour protéger leurs marques de renommée. La décision de l’INPI rappelle l’importance de bien sélectionner les pièces justificatives permettant de caractériser la mauvaise foi du déposant ; le comportement du déposant en dehors du dépôt contesté permet également, dans certains cas, de caractériser que sa mauvaise foi procède d’une stratégie économique globale frauduleuse.

🔗 Lien vers la décision : INPI, 2 mai 2025, NL 23-0243 à 23-0249

➡️ APPLE / OPPLE : l’exceptionnelle renommée à la française 

La société APPLE a formé opposition à l’enregistrement de la marque OPPLE et a obtenu gain de cause pour une large gamme de services, notamment en matière de publicité, d’organisation d’expositions et salons commerciaux, de services d’import-export, de promotion des ventes, de recherche de parrainages, de gestion de licences, ou encore de marketing.

🔵 Reconnaissance d’une renommée exceptionnelle

La Cour rappelle que la marque APPLE bénéficie d’une renommée mondiale, en particulier pour le matériel informatique. Cette notoriété exceptionnelle justifie une protection renforcée face à tout signe similaire.

🔵 Confirmation de l’opposition

Compte tenu de la proximité des signes et de la force de la marque APPLE, la Cour d’appel confirme le bien-fondé de l’opposition.

📣 Parole d’experts FIRSH :

Si cette protection étendue est cohérente pour les services liés à la publicité et à la communication, l’application du même raisonnement à des services plus éloignés comme les ventes aux enchères ou la location de distributeurs automatiques peut sembler discutable. La décision illustre l’effet puissant de la renommée d’une marque : elle permet de bloquer l’enregistrement de signes similaires dans de très nombreux domaines, même éloignés du cœur d’activité initial.

🔗 Lien vers la décision : Cour d’appel de Paris, 4 juillet 2025, RG n° 24/02690

✨ECOSYSTEME FIRSH✨

➡️ Rapport de la Commission d’enquête sur les effets psychologiques de TikTok sur les mineurs

Le rapport de la commission d’enquête de l’Assemblée nationale est désormais disponible. Il analyse les mécanismes d’influence de TikTok sur les jeunes et propose des mesures concrètes pour mieux les protéger.

Présidée par Arthur Delaporte et rapportée par Laure Miller, la commission s’est penchée sur les dispositifs de captation de l’attention utilisés par la plateforme, les risques liés à l’exposition prolongée aux contenus, la comparaison entre TikTok et sa version chinoise Douyin, les effets psychologiques observés chez les mineurs ainsi que les failles de régulation et de modération.

Le rapport est publié en deux tomes : le premier consacré à l’analyse et aux constats, le second aux auditions.

Les conclusions mettent en évidence une plateforme conçue pour maximiser l’attention et la dépendance, des contenus souvent inadaptés, une modération insuffisante au regard du Digital Services Act, un manque de transparence sur les algorithmes et la gestion des données, ainsi que des effets préoccupants sur la santé mentale des jeunes.

🔵 Recommandations :

Parmi les recommandations phares figurent l’interdiction d’accès aux réseaux sociaux (hors messageries) pour les moins de 15 ans, le renforcement des moyens de régulation, la révision éventuelle du statut juridique des plateformes vers celui d’éditeur, le soutien au développement d’outils numériques souverains et d’alternatives européennes, l’intégration de l’éducation au numérique dès le primaire, le renforcement du pilotage académique de l’éducation aux médias et à l’information, le lancement d’une campagne nationale de sensibilisation et l’augmentation des effectifs de professionnels de santé en milieu scolaire.

 📣 Parole d’experts FIRSH : Ce rapport s’inscrit dans une dynamique plus large et nécessaire de réflexion sur :

• La régulation des grandes plateformes numériques

• La protection des données personnelles des mineurs

• La résilience numérique et la souveraineté technologique

• L’éducation à l’information et aux médias

Sujets sur lesquels le cabinet tant que son laboratoire travaillent au quotidien. Ce rapport constitue donc une alerte politique forte, mais gagnerait à être complété par des études longitudinales, une analyse comparative internationale, et une concertation plus large avec les acteurs éducatifs, sociaux et numériques. Il ouvre néanmoins la voie à une régulation renforcée et à une prise de conscience collective sur les enjeux de santé mentale liés aux usages numériques des mineurs.

🔗 Lien d’accès officiel au rapport sur le site de l’Assemblée nationale : Page du rapport – Assemblée nationale 

➡️Nouvel accord Invitalia–Bpifrance : financements croisés pour projets innovants entre start-ups italiennes et entreprises françaises

À partir du 15 septembre 2025, un accord entre Invitalia et Bpifrance permet aux start-ups italiennes de déposer avec des entreprises françaises des projets d’innovation (IA, blockchain, IoT, économie numérique) et d’obtenir un financement commun, simplifié et en partie non remboursable, dans le cadre du Traité du Quirinal.

✨ ACTUALITES « FIRSH » ✨

➡️Interview de Claire Poirson pour le Parisien

Notre associée Claire Poirson a été interviewée par Le Parisien dans le cadre d’un article consacré au décès du streameur Raphaël Graven, dit « Jean Pormanove ».

Elle y apporte son analyse juridique et un éclairage sur les enjeux soulevés par cette affaire.

Lien vers l’article : https://www.leparisien.fr/faits-divers/mort-de-jean-pormanove-derriere-le-drame-les-derives-des-trefonds-du-web-20-08-2025-J4ZIAXNFIFBYHGPMVGTZHPBMY4.php

📣 Parole d’experts FIRSH : Cette affaire illustre l’urgence d’une application efficace de la régulation à toutes les plateformes accessibles en France. Le principe de dignité humaine, au cœur de l’ordre public, doit être un garde-fou absolu face à la marchandisation des humiliations en ligne.

➡️Interview de Claire Poirson pour le Parisien

Dans le prolongement de sa première interview, notre associée Claire Poirson a été de nouveau interviewée par Le Parisien dans le cadre d’un second article consacré au décès de Jean Pormanove.

Dans cet article, Claire Poirson analyse l’enquête ouverte par la procureure de la République de Paris Laure Beccuau sur le fondement de l’article 323-3-2 du Code pénal qui réprime la fourniture de plateforme en ligne illicite avec la circonstance aggravante de faits commis en bande organisée.

Lien vers l’article : https://www.leparisien.fr/high-tech/mort-de-jean-pormanove-que-risque-la-plate-forme-kick-visee-par-une-plainte-et-deux-enquetes-26-08-2025-BYJGAJRCIFHB5N4ABCQTFVITNA.php

📣 Parole d’experts FIRSH : En choisissant de mobiliser le volet pénal, les autorités envoient un signal fort. Cette approche permet non seulement d’ancrer l’action dans le respect du droit européen, mais aussi de rappeler aux plateformes numériques qu’elles s’exposent à de véritables conséquences juridiques lorsqu’elles manquent à leurs obligations.

➡️ Impact France 

Engagement renouvelé : FIRSH, entreprise à mission, a renouvelé son adhésion au Mouvement Impact France un réseau porté par et pour les entrepreneurs à impact social et écologique.

➡️Firsh a notamment assisté ses clients dans le cadre :

🔵D’un contentieux porté devant le juge des référés (référé-marque et référé de droit commun) pour la défense d’une marque de renommée du secteur automobile ;

🔵 D’une procédure d’opposition devant l’INPI pour la défense d’une marque de renommée du secteur automobile contre un dépôt de marque frauduleux ;

🔵 D’une consultation visant à déterminer les conditions d’usage d’un slogan en langue anglaise uniquement sur un site Internet accessible en France et sa conformité avec le droit applicable notamment au regard de la Loi Toubon ;

🔵 D’une mission de conseil auprès d’une entreprise sur la mise en œuvre en France de la directive (UE) 2019/882 du 17 avril 2019, dite « European Accessibility Act », relative aux exigences d’accessibilité applicables aux produits et services, et de la rédaction de sa déclaration d’accessibilité publiée sur son site Internet ;

🔵 D’une consultation pour une startup ayant recours au web scraping visant à former des recommandations afin de s’assurer de la conformité de sa technologie et de son usage avec la réglementation en vigueur.

➡️ Dans le cadre de son laboratoire d’innovation, FIRSH est en pleine rédaction de son Livre Blanc 2025 sur les enjeux liés au Deepfakes.

Abordant l’un des futurs sujets majeurs de nos sociétés, ce Livre Blanc a nécessité un travail de fond pendant plus de 6 mois et la réalisation d’une étude approfondie auprès de multiples experts français et internationaux de l’intelligence artificielle sur les aspects techniques, sociologiques, économiques et juridiques des deepfakes.  La réflexion juridique qui s’y dégage procède d’une fine analyse de la législation, de la doctrine et des décisions de justice. Le Livre Blanc donne donc des recommandations juridiques et pratiques à l’attention des pouvoirs publics, des entreprises ainsi qu’à tout individu intéressé par le sujet…

Sa nouvelle mise à jour a pour objectif de rester au plus près de l’actualité et d’associer de nouveaux experts juridiques de premier plan dans leurs domaines.

N’hésitez pas à nous contacter sur le mail suivant pour recevoir un exemplaire du Livre Blanc 👉 contact@FIRSH.LAW

📢 Pour nous suivre sur LinkedIn et recevoir notre lettre d’information, c’est ici : https://www.linkedin.com/company/firshlaw/  .

📢 Il n’y a pas de collecte directe de vos données personnelles et donc pas d’emailing de la part de Firsh !