Cybersécurité : nos entreprises sont-elles prêtes ?

Secteur maritime, administrations, PME industrielles… les attaques se multiplient et changent d’échelle. La question n’est plus de savoir si une organisation sera ciblée, mais quand.

Trois constats que je fais régulièrement dans mes dossiers :

1. Le RGPD reste sous-estimé. Une fuite de données, ce n’est pas qu’un sujet IT. Notification CNIL sous 72 h (art. 33), information des personnes en cas de risque élevé (art. 34), sanctions pouvant atteindre 10 M€ ou 2 % du chiffre d’affaires mondial (jusqu’à 20 M€ ou 4 % pour les manquements les plus graves). Beaucoup de dirigeants découvrent ces obligations dans l’urgence d’une crise.
2. L’IA rebat les cartes, dans les deux sens. Phishing crédible à grande échelle, automatisation des intrusions… mais aussi détection plus fine et réponse accélérée aux incidents. Côté juridique, cela impose de revoir les DPIA, les contrats prestataires et l’articulation avec le Règlement IA.
3. La responsabilité des dirigeants se durcit. Selon le secteur, le cadre réglementaire engage désormais directement les organes de direction : NIS 2 pour les ETI et secteurs essentiels, DORA pour le secteur financier, LPM pour les OIV. La cybersécurité quitte le champ purement technique pour rejoindre celui de la gouvernance.

Ce que j’observe sur le terrain : les organisations les mieux préparées sont celles qui ont travaillé en amont sur leurs contrats (clauses de sécurité, réversibilité, plans de continuité), leur cartographie des risques et leur chaîne de décision en cas d’incident.

Le pare-feu protège la machine. Le contrat et la gouvernance protègent l’entreprise.

📢 La synthèse de notre conférence « IA & enjeux juridiques, éthiques et stratégiques » est disponible.

Le 1^er juillet dernier, In Limine Litis organisait une conférence dans la salle des Actes de la faculté de droit de Montpellier, intitulée : « Créer, protéger : que reste-t-il à l’humain à l’ère de l’IA ? ».

Cette rencontre fut l’occasion de questionner la place de l’intelligence artificielle dans le processus créatif, au sens large, à travers les témoignages croisés de six intervenants issus des mondes artistique, entrepreneurial, pédagogique, médical et juridique.

Ce moment riche d’échanges, rendu possible grâce au soutien de la faculté de droit et de sciences politiques de Montpellier, de « Montpellier Ville de droit », en présence du barreau de Montpellier et notamment de Madame le Vice-Bâtonnier, mérite que l’on s’y replonge un instant pour en extraire et en conserver certaines des réflexions les plus marquantes.

📥 Pour recevoir la synthèse de l’événement, inscrivez-vous à notre newsletter.

Le 19 mars 2026, le Conseil d’État a rendu un avis qui pourrait redessiner l’équilibre entre les ayants droit et les géants de l’IA.

Une proposition de loi envisage d’instaurer une présomption d’exploitation des contenus culturels par les fournisseurs de modèles d’IA. Concrètement : si votre œuvre est accessible en ligne, elle est réputée avoir été utilisée pour entraîner le modèle. C’est au fournisseur de prouver le contraire.

Ce renversement de charge de la preuve est une révolution pratique. Aujourd’hui, les auteurs, éditeurs, photographes, musiciens se heurtent à un mur : comment prouver qu’un modèle entraîné sur des milliards de tokens a ingéré leurs créations ? L’opacité technique des phases de « chalutage » des données rend cette preuve quasi-impossible.

Le Conseil d’État valide globalement le dispositif, en précisant qu’il ne rend pas l’exercice des droits « excessivement difficile » et est conforme à la directive 2004/48/CE.

Reste une question ouverte : la proposition vise le fournisseur de système d’IA, pas le fournisseur de modèle. Or l’AI Act les distingue soigneusement. Quid de celui qui déploie une application à partir d’un modèle tiers sans avoir jamais contribué à la phase d’entraînement ?

Ce texte, s’il est adopté, changera structurellement la négociation entre les plateformes IA et les industries créatives. Les clauses de licensing dans les contrats de développement IA deviennent un enjeu de premier ordre.

🔐 La Cour d’appel de Paris vient de rendre une décision qui devrait alerter tous les cadres dirigeants titulaires d’une délégation de pouvoir RGPD (CA Paris, pôle 6 ch. 8, 5 mars 2026, n° 22/06832).

Un cadre dirigeant (DGA, ~300 K€/an) est licencié pour faute grave, notamment après le piratage du site marchand de son employeur pendant près de 6 mois. Les données compromises : plusieurs millions de coordonnées clients, dont des numéros de cartes bancaires.

Ce que retient la Cour :

• Le salarié était titulaire d’une délégation de pouvoir signée par la présidente, lui confiant expressément la signature de tous les contrats liés à la mise en conformité RGPD.
• La nomination d’un DPO ne l’a pas exonéré de cette responsabilité — les deux coexistent.
• Face à l’alerte de la BEFTI, sa seule réaction documentée : un mail « à la tonalité vague et générale » suggérant de « tirer parti du contexte » pour avancer sur la conformité.
• Ce grief est retenu mais insuffisant à lui seul pour caractériser la faute grave, faute de dissimulation intentionnelle clairement établie.

💡 Ce que cela change concrètement : la délégation de pouvoir en matière RGPD ne se rédige pas comme une clause de style. Elle crée une responsabilité disciplinaire réelle, distincte de celle du DPO. En cas d’incident de sécurité, l’inaction du délégataire (même partielle) sera examinée à la loupe.

Pour les DAF, DGA et DSI : vérifiez l’étendue exacte de vos délégations. Pour les DRH : documentez les périmètres de responsabilité avant qu’un juge le fasse à votre place.

La résolution Voss adoptée le 10 mars pose un principe simple : l’IA générative dépend massivement d’œuvres protégées, et leur utilisation ne peut se faire sans autorisation, sauf exception strictement encadrée par la loi.

Deux obligations structurantes émergent :

• transparence totale sur les données d’entraînement,
• présomption d’exploitation si cette transparence fait défaut.

Le secteur créatif et culturel représente près de 4 % de la valeur ajoutée européenne et génère environ 8 millions d’emplois.

La résolution n’est pas contraignante, mais elle précède une initiative législative, et le Sénat français a déjà une proposition de loi en commission. Le mouvement est enclenché des deux côtés.

🔍 Longtemps, le secret industriel a constitué une alternative sérieuse au brevet. Sa logique : si une technologie ne peut être reconstituée à partir de son usage ou de ses effets observables, pourquoi en divulguer les détails dans un brevet ? Ce raisonnement tient de moins en moins.

L’IA a considérablement abaissé les barrières à l’ingénierie inverse. Des opérations qui nécessitaient autrefois des mois de travail spécialisé sont aujourd’hui accessibles, rapidement et à moindre coût :

• → Reconstituer un circuit imprimé à partir de photos
• → Identifier le mécanisme interne d’un appareil par l’analyse de ses vibrations et de son bruit
• → Inférer la logique d’un logiciel malgré l’obfuscation du code

La conséquence juridique est directe : le brevet redevient stratégiquement pertinent là où le secret ne protège plus. Le fondement du brevet (divulguer son invention en échange d’une exclusivité) n’a pas pris une ride.

Ce que cela implique en pratique :

1. Auditer les actifs couverts par le secret en évaluant leur résistance réelle à l’ingénierie inverse assistée par IA.
2. Reconsidérer l’arbitrage brevet / secret technologie par technologie, sans présupposés.
3. Anticiper contractuellement les risques dans les accords de R&D et les contrats de prestation.

La stratégie de propriété intellectuelle n’est pas un document figé. Elle doit évoluer avec les capacités technologiques de ceux qui cherchent à vous copier.

L’annonce est séduisante : une IA réécrit intégralement un projet open source en quelques jours, et le nouveau code serait affranchi de la licence d’origine. Sur le plan technique, le débat est ouvert. Sur le plan juridique, la prudence s’impose.

1. Le préalable : l’originalité du logiciel source ⚖️. Un logiciel n’est protégé par le droit d’auteur qu’à la condition de présenter une originalité (empreinte de la personnalité de son auteur). L’accumulation de langages, d’algorithmes ou de briques open source ne saurait y suppléer (CA Nancy, 5 févr. 2024).

2. La licence open source : une autorisation conditionnelle, non une simple recommandation. Manquer à une obligation de licence (publication du code source, mention de paternité, maintien des conditions de redistribution) ouvre une action en contrefaçon (Cass. 1^re civ., 5 oct. 2022, n° 21-15.386). Les cours d’appel ont suivi cette ligne avec fermeté : intégration d’un composant sous GNU GPL v2 sans communication du code source (CA Paris, 14 févr. 2024) ; suppression des mentions de paternité d’un logiciel sous AGPL v3 (CA Bordeaux, 27 janv. 2025).

Si la réécriture par IA reprend, même partiellement, du code sous licence ou en constitue une adaptation, modifier la licence « comme si de rien n’était » expose à un risque de contrefaçon caractérisé.

3. Observer n’est pas reproduire — mais la frontière est précisément là où le risque se loge. La loi autorise l’observation, l’étude et le test d’un logiciel pour en comprendre les idées et principes (CPI, art. L. 122-6-1). Mais dans un pipeline de réécriture assistée par IA, la qualification concrète — observation légitime ou reproduction/adaptation non autorisée — conditionne entièrement l’analyse juridique.

4. La gouvernance : un angle mort trop souvent négligé. Même animée des meilleures intentions, une démarche de réécriture sans traçabilité minimale fragilise considérablement la position. Les familles de licences (permissives d’un côté, à réciprocité forte de l’autre) n’emportent pas les mêmes conséquences.

🛡️ Récemment, un enseignant-chercheur de l’Université de Bordeaux a été mis en examen dans une affaire d’ingérence étrangère impliquant une délégation chinoise et des zones sensibles de recherche scientifique.

Ce type d’affaire, quelle que soit son issue judiciaire, met en lumière une réalité que beaucoup d’organisations doivent prendre au sérieux :

• 📌 la sécurité de l’information et des personnes n’est pas automatique ;
• 📌 elle repose d’abord sur la connaissance, la vigilance et les pratiques quotidiennes de chacun.

👉 Que vous travailliez dans une entreprise publique ou privée, dans une université, une PME ou un grand groupe, certains principes sont universels :

• 🔹 Connaître les risques liés aux données sensibles
• 🔹 Comprendre les conséquences d’un accès ou d’un partage non autorisé
• 🔹 Savoir repérer et signaler des situations inhabituelles ou potentiellement compromettantes
• 🔹 Adopter des réflexes simples comme vérifier les accréditations, protéger ses outils, ou suivre les procédures internes

La sécurité n’est pas réservée aux experts en cybersécurité ou aux services de renseignement — c’est l’affaire de toutes et tous.

💡 Une entreprise vraiment résiliente est une entreprise où chacun est informé, formé et responsabilisé.

🤖 L’IA ne doit être ni un frein ni une menace, mais un levier de progrès aligné sur nos valeurs sociétales. L’IA transforme nos vies et nos industries, mais comment s’assurer qu’elle reste un outil au service de l’humain et non l’inverse ?

L’Europe répond avec le Pacte sur l’IA (AI Pact), une initiative pour une IA éthique, transparente et respectueuse des droits fondamentaux. Mais au-delà des régulations, nous pouvons tous agir.

🌍 Construisons une IA de confiance :

• 📢 Entreprises : intégrez l’éthique et la transparence dès la conception.
• ⚖️ Décideurs : sécurisez les usages sans freiner l’innovation.
• 👥 Citoyens : informez-vous et exigez des engagements concrets.

🏢 Les entreprises peuvent s’engager librement en rejoignant le Pacte sur l’IA et en adoptant des pratiques responsables.