Cybersécurité : nos entreprises sont-elles prêtes ?

Secteur maritime, administrations, PME industrielles… les attaques se multiplient et changent d’échelle. La question n’est plus de savoir si une organisation sera ciblée, mais quand.

Trois constats que je fais régulièrement dans mes dossiers :

1. Le RGPD reste sous-estimé. Une fuite de données, ce n’est pas qu’un sujet IT. Notification CNIL sous 72 h (art. 33), information des personnes en cas de risque élevé (art. 34), sanctions pouvant atteindre 10 M€ ou 2 % du chiffre d’affaires mondial (jusqu’à 20 M€ ou 4 % pour les manquements les plus graves). Beaucoup de dirigeants découvrent ces obligations dans l’urgence d’une crise.
2. L’IA rebat les cartes, dans les deux sens. Phishing crédible à grande échelle, automatisation des intrusions… mais aussi détection plus fine et réponse accélérée aux incidents. Côté juridique, cela impose de revoir les DPIA, les contrats prestataires et l’articulation avec le Règlement IA.
3. La responsabilité des dirigeants se durcit. Selon le secteur, le cadre réglementaire engage désormais directement les organes de direction : NIS 2 pour les ETI et secteurs essentiels, DORA pour le secteur financier, LPM pour les OIV. La cybersécurité quitte le champ purement technique pour rejoindre celui de la gouvernance.

Ce que j’observe sur le terrain : les organisations les mieux préparées sont celles qui ont travaillé en amont sur leurs contrats (clauses de sécurité, réversibilité, plans de continuité), leur cartographie des risques et leur chaîne de décision en cas d’incident.

Le pare-feu protège la machine. Le contrat et la gouvernance protègent l’entreprise.

📢 La synthèse de notre conférence « IA & enjeux juridiques, éthiques et stratégiques » est disponible.

Le 1^er juillet dernier, In Limine Litis organisait une conférence dans la salle des Actes de la faculté de droit de Montpellier, intitulée : « Créer, protéger : que reste-t-il à l’humain à l’ère de l’IA ? ».

Cette rencontre fut l’occasion de questionner la place de l’intelligence artificielle dans le processus créatif, au sens large, à travers les témoignages croisés de six intervenants issus des mondes artistique, entrepreneurial, pédagogique, médical et juridique.

Ce moment riche d’échanges, rendu possible grâce au soutien de la faculté de droit et de sciences politiques de Montpellier, de « Montpellier Ville de droit », en présence du barreau de Montpellier et notamment de Madame le Vice-Bâtonnier, mérite que l’on s’y replonge un instant pour en extraire et en conserver certaines des réflexions les plus marquantes.

📥 Pour recevoir la synthèse de l’événement, inscrivez-vous à notre newsletter.

Le 19 mars 2026, le Conseil d’État a rendu un avis qui pourrait redessiner l’équilibre entre les ayants droit et les géants de l’IA.

Une proposition de loi envisage d’instaurer une présomption d’exploitation des contenus culturels par les fournisseurs de modèles d’IA. Concrètement : si votre œuvre est accessible en ligne, elle est réputée avoir été utilisée pour entraîner le modèle. C’est au fournisseur de prouver le contraire.

Ce renversement de charge de la preuve est une révolution pratique. Aujourd’hui, les auteurs, éditeurs, photographes, musiciens se heurtent à un mur : comment prouver qu’un modèle entraîné sur des milliards de tokens a ingéré leurs créations ? L’opacité technique des phases de « chalutage » des données rend cette preuve quasi-impossible.

Le Conseil d’État valide globalement le dispositif, en précisant qu’il ne rend pas l’exercice des droits « excessivement difficile » et est conforme à la directive 2004/48/CE.

Reste une question ouverte : la proposition vise le fournisseur de système d’IA, pas le fournisseur de modèle. Or l’AI Act les distingue soigneusement. Quid de celui qui déploie une application à partir d’un modèle tiers sans avoir jamais contribué à la phase d’entraînement ?

Ce texte, s’il est adopté, changera structurellement la négociation entre les plateformes IA et les industries créatives. Les clauses de licensing dans les contrats de développement IA deviennent un enjeu de premier ordre.

🔐 La Cour d’appel de Paris vient de rendre une décision qui devrait alerter tous les cadres dirigeants titulaires d’une délégation de pouvoir RGPD (CA Paris, pôle 6 ch. 8, 5 mars 2026, n° 22/06832).

Un cadre dirigeant (DGA, ~300 K€/an) est licencié pour faute grave, notamment après le piratage du site marchand de son employeur pendant près de 6 mois. Les données compromises : plusieurs millions de coordonnées clients, dont des numéros de cartes bancaires.

Ce que retient la Cour :

• Le salarié était titulaire d’une délégation de pouvoir signée par la présidente, lui confiant expressément la signature de tous les contrats liés à la mise en conformité RGPD.
• La nomination d’un DPO ne l’a pas exonéré de cette responsabilité — les deux coexistent.
• Face à l’alerte de la BEFTI, sa seule réaction documentée : un mail « à la tonalité vague et générale » suggérant de « tirer parti du contexte » pour avancer sur la conformité.
• Ce grief est retenu mais insuffisant à lui seul pour caractériser la faute grave, faute de dissimulation intentionnelle clairement établie.

💡 Ce que cela change concrètement : la délégation de pouvoir en matière RGPD ne se rédige pas comme une clause de style. Elle crée une responsabilité disciplinaire réelle, distincte de celle du DPO. En cas d’incident de sécurité, l’inaction du délégataire (même partielle) sera examinée à la loupe.

Pour les DAF, DGA et DSI : vérifiez l’étendue exacte de vos délégations. Pour les DRH : documentez les périmètres de responsabilité avant qu’un juge le fasse à votre place.

La résolution Voss adoptée le 10 mars pose un principe simple : l’IA générative dépend massivement d’œuvres protégées, et leur utilisation ne peut se faire sans autorisation, sauf exception strictement encadrée par la loi.

Deux obligations structurantes émergent :

• transparence totale sur les données d’entraînement,
• présomption d’exploitation si cette transparence fait défaut.

Le secteur créatif et culturel représente près de 4 % de la valeur ajoutée européenne et génère environ 8 millions d’emplois.

La résolution n’est pas contraignante, mais elle précède une initiative législative, et le Sénat français a déjà une proposition de loi en commission. Le mouvement est enclenché des deux côtés.

🔍 Longtemps, le secret industriel a constitué une alternative sérieuse au brevet. Sa logique : si une technologie ne peut être reconstituée à partir de son usage ou de ses effets observables, pourquoi en divulguer les détails dans un brevet ? Ce raisonnement tient de moins en moins.

L’IA a considérablement abaissé les barrières à l’ingénierie inverse. Des opérations qui nécessitaient autrefois des mois de travail spécialisé sont aujourd’hui accessibles, rapidement et à moindre coût :

• → Reconstituer un circuit imprimé à partir de photos
• → Identifier le mécanisme interne d’un appareil par l’analyse de ses vibrations et de son bruit
• → Inférer la logique d’un logiciel malgré l’obfuscation du code

La conséquence juridique est directe : le brevet redevient stratégiquement pertinent là où le secret ne protège plus. Le fondement du brevet (divulguer son invention en échange d’une exclusivité) n’a pas pris une ride.

Ce que cela implique en pratique :

1. Auditer les actifs couverts par le secret en évaluant leur résistance réelle à l’ingénierie inverse assistée par IA.
2. Reconsidérer l’arbitrage brevet / secret technologie par technologie, sans présupposés.
3. Anticiper contractuellement les risques dans les accords de R&D et les contrats de prestation.

La stratégie de propriété intellectuelle n’est pas un document figé. Elle doit évoluer avec les capacités technologiques de ceux qui cherchent à vous copier.

L’annonce est séduisante : une IA réécrit intégralement un projet open source en quelques jours, et le nouveau code serait affranchi de la licence d’origine. Sur le plan technique, le débat est ouvert. Sur le plan juridique, la prudence s’impose.

1. Le préalable : l’originalité du logiciel source ⚖️. Un logiciel n’est protégé par le droit d’auteur qu’à la condition de présenter une originalité (empreinte de la personnalité de son auteur). L’accumulation de langages, d’algorithmes ou de briques open source ne saurait y suppléer (CA Nancy, 5 févr. 2024).

2. La licence open source : une autorisation conditionnelle, non une simple recommandation. Manquer à une obligation de licence (publication du code source, mention de paternité, maintien des conditions de redistribution) ouvre une action en contrefaçon (Cass. 1^re civ., 5 oct. 2022, n° 21-15.386). Les cours d’appel ont suivi cette ligne avec fermeté : intégration d’un composant sous GNU GPL v2 sans communication du code source (CA Paris, 14 févr. 2024) ; suppression des mentions de paternité d’un logiciel sous AGPL v3 (CA Bordeaux, 27 janv. 2025).

Si la réécriture par IA reprend, même partiellement, du code sous licence ou en constitue une adaptation, modifier la licence « comme si de rien n’était » expose à un risque de contrefaçon caractérisé.

3. Observer n’est pas reproduire — mais la frontière est précisément là où le risque se loge. La loi autorise l’observation, l’étude et le test d’un logiciel pour en comprendre les idées et principes (CPI, art. L. 122-6-1). Mais dans un pipeline de réécriture assistée par IA, la qualification concrète — observation légitime ou reproduction/adaptation non autorisée — conditionne entièrement l’analyse juridique.

4. La gouvernance : un angle mort trop souvent négligé. Même animée des meilleures intentions, une démarche de réécriture sans traçabilité minimale fragilise considérablement la position. Les familles de licences (permissives d’un côté, à réciprocité forte de l’autre) n’emportent pas les mêmes conséquences.

🛡️ Récemment, un enseignant-chercheur de l’Université de Bordeaux a été mis en examen dans une affaire d’ingérence étrangère impliquant une délégation chinoise et des zones sensibles de recherche scientifique.

Ce type d’affaire, quelle que soit son issue judiciaire, met en lumière une réalité que beaucoup d’organisations doivent prendre au sérieux :

• 📌 la sécurité de l’information et des personnes n’est pas automatique ;
• 📌 elle repose d’abord sur la connaissance, la vigilance et les pratiques quotidiennes de chacun.

👉 Que vous travailliez dans une entreprise publique ou privée, dans une université, une PME ou un grand groupe, certains principes sont universels :

• 🔹 Connaître les risques liés aux données sensibles
• 🔹 Comprendre les conséquences d’un accès ou d’un partage non autorisé
• 🔹 Savoir repérer et signaler des situations inhabituelles ou potentiellement compromettantes
• 🔹 Adopter des réflexes simples comme vérifier les accréditations, protéger ses outils, ou suivre les procédures internes

La sécurité n’est pas réservée aux experts en cybersécurité ou aux services de renseignement — c’est l’affaire de toutes et tous.

💡 Une entreprise vraiment résiliente est une entreprise où chacun est informé, formé et responsabilisé.

🤖 L’IA ne doit être ni un frein ni une menace, mais un levier de progrès aligné sur nos valeurs sociétales. L’IA transforme nos vies et nos industries, mais comment s’assurer qu’elle reste un outil au service de l’humain et non l’inverse ?

L’Europe répond avec le Pacte sur l’IA (AI Pact), une initiative pour une IA éthique, transparente et respectueuse des droits fondamentaux. Mais au-delà des régulations, nous pouvons tous agir.

🌍 Construisons une IA de confiance :

• 📢 Entreprises : intégrez l’éthique et la transparence dès la conception.
• ⚖️ Décideurs : sécurisez les usages sans freiner l’innovation.
• 👥 Citoyens : informez-vous et exigez des engagements concrets.

🏢 Les entreprises peuvent s’engager librement en rejoignant le Pacte sur l’IA et en adoptant des pratiques responsables.

Le Data Act est entré en application le 12 septembre 2025. Derrière un intitulé technique, le règlement (UE) 2023/2854 produit des effets très concrets sur la manière dont les entreprises créent, détiennent et contractualisent leurs données. Voici, de façon opérationnelle, ce qu’il change.

Beaucoup d’entreprises sont concernées sans le savoir

Le réflexe est de croire que le texte ne vise que les géants du numérique. C’est l’inverse. Le Data Act s’applique de manière horizontale, à tous les secteurs, dès lors qu’une entreprise fabrique, vend ou exploite un produit connecté ou un service qui lui est associé : d’une machine industrielle à un véhicule, d’un équipement médical à un objet domestique. Sont aussi concernés les fournisseurs de cloud et, plus largement, toute entreprise dont les contrats organisent l’accès à des données. La question n’est donc pas de savoir si l’on est concerné, mais à quel titre.

Pour les fabricants : la fin d’une exclusivité de fait

Jusqu’ici, le fabricant d’un produit connecté gardait en pratique la maîtrise exclusive des données que celui-ci générait. Le Data Act met fin à cette exclusivité. Le détenteur des données doit désormais les rendre accessibles à l’utilisateur, gratuitement et dans un format structuré et lisible par machine, et les transmettre à un tiers que l’utilisateur désigne. À compter du 12 septembre 2026, les produits mis sur le marché devront même être conçus pour que ces données soient directement accessibles.

L’impact dépasse la simple conformité : c’est tout un modèle de valorisation des données qui doit être repensé. L’accès de l’utilisateur à ses propres données est gratuit. En revanche, lorsque les données sont transmises, à la demande de l’utilisateur, à un tiers professionnel (un « destinataire »), le détenteur peut réclamer à ce tiers une compensation raisonnable et non discriminatoire, qui peut comporter une marge — sauf si le destinataire est une PME ou un organisme de recherche à but non lucratif, auquel cas elle se limite aux coûts directs de mise à disposition.

Le secret des affaires, désormais une affaire d’anticipation

Première crainte, légitime, des industriels : exposer leur savoir-faire. Le règlement n’en fait pas un motif d’exemption. On ne peut pas refuser de partager au seul motif que les données seraient sensibles. En revanche, le détenteur doit cartographier en amont ce qui relève du secret des affaires et l’entourer de mesures de confidentialité.

Un refus reste possible, mais à titre exceptionnel : il faut établir un risque de préjudice économique grave, motiver la décision par écrit et la notifier à l’autorité compétente. Pour l’entreprise, l’enjeu est donc d’anticiper : identifier et protéger avant que la première demande n’arrive.

Une vague de révisions contractuelles

C’est sans doute l’effet le plus diffus, et le plus sous-estimé. Le Data Act encadre les clauses abusives imposées unilatéralement entre professionnels en matière d’accès et d’usage des données : celles qui dépouillent une partie de ses droits ne s’imposent pas à elle. Conditions générales, contrats de maintenance, contrats IoT, contrats cloud : beaucoup devront être relus. Pour les contrats déjà en cours au 12 septembre 2025, ce contrôle ne s’appliquera qu’à compter du 12 septembre 2027, et uniquement à ceux conclus pour une durée indéterminée ou venant à échéance au moins dix ans après le 11 janvier 2024. Autant s’y prendre sans attendre l’échéance.

Cloud : une contrainte pour les uns, un levier pour les autres

Le règlement facilite le changement de prestataire cloud. Les frais de changement baissent par étapes : jusqu’au 12 janvier 2027, le fournisseur ne peut facturer que les coûts directement liés à la migration ; à compter du 12 janvier 2027, plus aucun frais de changement ne pourra être imposé. Pour les clients, c’est une contrainte de moins et une marge de négociation nouvelle. Pour les fournisseurs, c’est l’inverse : un modèle de rétention fondé sur les coûts de migration qui s’effrite, et des contrats à réécrire.

Et le RGPD dans tout cela

Dès que le partage porte sur des données personnelles, le RGPD ne disparaît pas : il s’ajoute. Le détenteur devra vérifier qu’il dispose d’une base légale pour transmettre ces données, gérer le consentement lorsqu’il est requis, et concilier deux logiques qui ne poursuivent pas le même but. Pour les entreprises, cela signifie une conformité à deux étages, qu’il vaut mieux traiter ensemble que séparément.

Des contraintes, mais aussi des ouvertures

Il serait réducteur de ne voir là que des charges. L’accès facilité aux données ouvre des marchés : services de réparation indépendants, maintenance prédictive, usages nouveaux bâtis sur des données jusqu’ici captives. Une entreprise utilisatrice peut récupérer et exploiter les données de ses propres équipements ; un acteur innovant peut accéder à un gisement qui lui était fermé. Le texte rebat les cartes de la concurrence autour de la donnée industrielle.

Que faire maintenant

Trois chantiers, à mener de front : cartographier les données générées par ses produits et services et qualifier ce qui relève du secret des affaires ; réviser ses contrats — CGV, contrats IoT, contrats cloud — à l’aune des nouvelles règles ; articuler le tout avec le RGPD lorsque des données personnelles sont en jeu.

Un point d’attention pour finir : le 19 novembre 2025, la Commission a présenté une proposition susceptible de modifier le Data Act, notamment pour mieux l’articuler avec le Data Governance Act. Le cadre pourra encore évoluer, ce qui n’interdit pas de s’y préparer dès à présent.