Risque de violation de licence de code suggéré par une intelligence artificielle
Lorsque l’IA propose du code, elle ne le crée pas ex nihilo : elle s’appuie sur du code préexistant issu de ses bases de données d’entraînement. Il est donc indispensable d’identifier la licence à laquelle ce code est rattaché. Si ce dernier est protégé par une licence qui en restreint l’usage dans certaines conditions, le reproduire peut constituer une atteinte aux droits d’auteur. Ce risque est particulièrement élevé dans le cas des intelligences artificielles, qui génèrent du code à partir d’un très grand nombre de sources.
Pour formuler ses suggestions, l’IA, en particulier les systèmes de Machine Learning (ML), est entraînée sur des bases de données contenant des milliards de lignes de code source, issues notamment de projets open source, de bibliothèques de code, de forums de développeurs ou d’autres ressources techniques. Elle en extrait des structures, des syntaxes et des logiques de développement qu’elle réutilise pour générer de nouveaux extraits de code.
Or, ces éléments de code peuvent être couverts par des droits de propriété intellectuelle. Certaines licences sont permissives et autorisent une réutilisation et une modification étendues. D’autres, en revanche, imposent des conditions strictes. Elles peuvent interdire l’exploitation commerciale du code, ou exiger que toute modification soit publiée sous la même licence open source.
Ainsi, lorsqu’un développeur intègre du code soumis à une licence restrictive, il peut, parfois sans le savoir, violer les termes de cette licence. Cela expose non seulement le développeur, mais aussi son entreprise, à un risque juridique de poursuite pour contrefaçon. Le problème est d’autant plus aigu que les outils d’IA générative ne fournissent généralement aucune information sur le statut juridique du code qu’ils proposent, ni sur la licence applicable.
Un exemple de contrefaçon : Copilot, l’IA de GitHub, poursuivie en justice
Ce risque n’a rien de théorique. En novembre 2022, Microsoft, GitHub et OpenAI ont fait l’objet d’un recours collectif aux États-Unis concernant Copilot, l’outil d’intelligence artificielle de GitHub, accusé d’avoir enfreint les termes de licences open source et porté atteinte aux droits des développeurs. Le montant des dommages et intérêts réclamés s’élève à neuf milliards de dollars.
Copilot est un outil développé par GitHub qui utilise l’intelligence artificielle pour suggérer du code aux développeurs. Il repose sur Codex, développé par OpenAI, pour générer ces suggestions, notamment dans l’environnement Microsoft Visual Studio. L’outil a été entraîné sur des milliards de lignes de code issues de sources publiques variées, dont un grand nombre de projets open source. Il est capable de transformer des instructions en langage naturel en propositions de code, permettant ainsi aux développeurs de gagner en productivité et de se concentrer sur la logique métier plutôt que sur les aspects purement syntaxiques. Copilot anticipe les étapes suivantes d’un développement et propose des lignes de code en temps réel, que le développeur peut choisir d’accepter ou de rejeter.
Une autre question se pose pour les développeurs qui créent un logiciel à partir de lignes de code générées par une intelligence artificielle. Si ce code source est soumis à une licence open source dite « contaminante », comme la GPL, le logiciel dans son ensemble devient lui aussi soumis aux obligations de cette licence. Dans le cas où le développeur n’est pas informé du statut juridique du code, faute d’indications de la part de l’IA, il court le risque de violer cette licence à son insu et de s’exposer à des poursuites.
Protection par le droit d’auteur des logiciels développés à l’aide de l’intelligence artificielle
Une dernière question essentielle concerne la protection juridique des logiciels développés à partir de code généré par une intelligence artificielle. Dans la majorité des pays signataires de la Convention de Berne, le logiciel est considéré comme une œuvre de l’esprit et bénéficie à ce titre de la protection conférée par le droit d’auteur. La seule condition pour en bénéficier est l’originalité, c’est-à-dire la démonstration d’un apport personnel allant au-delà de la simple application d’une logique automatique et contrainte.
Aujourd’hui, l’intervention de l’IA se limite à la suggestion de lignes de code. Or, la protection par le droit d’auteur ne se limite pas au seul code source. Elle couvre également le code objet, les travaux préparatoires, l’architecture logicielle, l’arborescence, les bases de données, les interfaces graphiques, les polices de caractères, etc. Le développement logiciel va bien au-delà de la simple rédaction du code source et englobe de nombreux choix : orientation technologique, modalités de déploiement, contraintes de cybersécurité, entre autres. Dès lors que l’ensemble du logiciel peut être qualifié d’original, il demeure protégé au titre de la propriété intellectuelle, et plus précisément du droit d’auteur.
Il convient toutefois de souligner que le code généré par un outil d’IA peut présenter des risques en matière de sécurité. Il peut contenir des erreurs ou des vulnérabilités exploitables. Les développeurs doivent ainsi faire preuve de vigilance, notamment lorsqu’ils utilisent des outils comme Copilot, dont le taux de génération de code défectueux reste élevé. À cela s’ajoute le fait que Copilot ne fournit aucun contexte sur les fichiers qu’il suggère, ce qui limite la capacité d’analyse du développeur.
Conclusion
Il est indispensable que les développeurs et les entreprises s’interrogent sur les droits et les licences applicables au code généré par l’intelligence artificielle qu’ils intègrent à leurs propres développements. Ils doivent également être en mesure d’identifier les garanties qu’ils peuvent offrir à leurs partenaires ou clients, en particulier en vérifiant rigoureusement les conditions d’utilisation du code concerné.
Clause de non-responsabilité
Les opinions, présentations, chiffres et estimations présentés sur le site Web, y compris dans le blog, sont uniquement destinés à des fins d’information et ne doivent pas être considérés comme des conseils juridiques. Pour obtenir un avis juridique, vous devez contacter un professionnel du droit dans votre juridiction.
L’utilisation du contenu de ce site Web, y compris du blog, à des fins commerciales, y compris la revente, est interdite, sauf autorisation préalable de Vaultinum. La demande d’autorisation doit préciser le but et l’étendue de la reproduction. À des fins non commerciales, tout le matériel de cette publication peut être cité ou réimprimé librement, mais une reconnaissance est requise, ainsi qu’un lien vers ce site Web.
