Étiquette : IP

Le vibe coding est une pratique de programmation rendue possible par les modèles d’intelligence artificielle générative, qui permet de créer du code informatique à partir d’instructions formulées sous forme de prompts.

Les grands modèles de langage (LLM), entraînés sur d’importants volumes de données et de contenus numériques, peuvent notamment avoir été entraînés sur des corpus comprenant du code provenant de dépôts publics tels que GitHub ou GitLab, ainsi que sur d’autres sources de données.

Bien que le vibe coding puisse être utilisé par des développeurs expérimentés comme outil d’assistance à la programmation, cette pratique contribue également à démocratiser l’accès au développement logiciel. Elle permet en effet à des personnes ayant peu ou pas de connaissances en programmation de générer du code à partir d’instructions formulées en langage naturel.

Théoriquement oui, en pratique c’est plus compliqué.

Le Règlement européen sur l’IA (UE) 2024/1689 du 13 juin 2024 fait référence à la directive sur les droits d’auteurs 2019/790 du 17 avril 2019 qui prévoit à ses articles 3 et 4 une exception au droit d’auteur pour la fouille de textes et de données (dite « exception TDM »).

Cette exception permet les reproductions et extractions d’œuvres accessibles de manière licite aux fins de la fouille de textes et de données, sauf lorsque les titulaires de droits s’y sont expressément opposés avec un procédé lisible par machine, par exemple avec des dispositifs comme les robots.txt.
En pratique, l’effectivité de ce droit d’opposition reste limitée. Les mécanismes d’opt-out sont encore imparfaitement standardisés et il est souvent difficile de vérifier si ces réservations sont effectivement respectées lors de la constitution des bases d’entraînement des modèles. Cette difficulté existe également pour le code informatique. Les fichiers de licence, les readme ou les commentaires dans les dépôts sont rarement pris en compte lors des opérations de collecte automatisée de données et de constitution des bases de données d’entraînement des modèles IA.

Le Règlement européen sur l’IA à travers les travaux du Bureau de l’IA prévoit certaines obligations de transparence pour les fournisseurs de modèles d’IA à usage général, notamment l’obligation de mettre en place une politique de respect du droit d’auteur et de documenter les données d’entraînement utilisées. Pour autant, l’opacité technique des systèmes d’entraînement des modèles, souvent décrits comme des boîtes noires et couverts par des secrets de fabrique et les secrets d’affaires ne permettent pas en pratique aux titulaires de droit de faire valoir en pratique leur opposition à l’entraînement à partir de leurs créations.

C’est encore assez exceptionnel, mais la question est débattue, le code étant à certaines conditions susceptible de protection par le droit d’auteur, la question du partage de valeur ou de rémunération collective se pose. Plusieurs contentieux ont déjà été engagés concernant l’utilisation de code open source pour entraîner des systèmes d’IA sans attribution aux développeurs d’origine, notamment dans l’affaire relative à GitHub Copilot (affaire J. DOE 1 contre GitHub Inc., District Nord de Californie, Case 3:22-cv-06823, Nov 3, 2022).

Le code informatique est bien protégé par le droit d’auteur, le critère essentiel d’appréciation étant l’originalité.

Il est de jurisprudence constante (Cour de cassation, Assemblée Plénière, du 7 mars 1986, 83-10.477, affaire Babolat) que l’originalité en matière de code informatique s’apprécie en fonction de la marque de l’apport intellectuel caractérisée par le fait que l’auteur du code a « fait preuve d’un effort personnalisé allant au-delà de la simple mise en œuvre d’une logique automatique et contraignante ».

L’article L 112-2 (13°) du Code de la propriété intellectuelle (CPI) prévoit explicitement que les logiciels sont des œuvres de l’esprit.

Même s’il est difficile d’avoir un avis définitif pour l’instant sur la protection du code généré avec du vibe coding, en l’absence de jurisprudence dédiée sur le sujet, il paraît raisonnable de considérer que la protection du code généré avec du vibe coding dépend principalement du degré d’intervention humaine dans le processus de création.

En droit d’auteur, seule une création reflétant un apport intellectuel propre de son auteur peut être protégée. Si le développeur utilise un outil d’IA en concevant l’architecture du programme, en formulant des instructions précises, puis en sélectionnant, modifiant et intégrant le code généré, le résultat devrait pouvoir être considéré comme une œuvre originale susceptible de protection par le droit d’auteur.

A l’inverse, si le code a été généré de manière largement automatisée par un système d’IA sans intervention humaine notable, la protection est plus incertaine.

En pratique, le vibe coding s’inscrit le plus souvent dans une logique de co-création entre le développeur et l’outil d’IA, ce qui conduit à apprécier l’originalité au regard des choix et arbitrages effectués par le développeur dans la conception et la structuration du logiciel.

En résumé, l’utilisation d’un système d’IA pour générer du code n’exclut donc pas la protection par le droit d’auteur mais conduit à orienter l’analyse de l’originalité vers les choix créatifs opérés par le développeur.

Le code créé avec du vibe coding appartient en principe à son auteur, dès lors qu’il constitue une œuvre de l’esprit protégeable par le droit d’auteur. En droit français comme dans la majorité des systèmes juridiques, les droits sur un logiciel appartiennent à la personne qui a réalisé l’apport intellectuel à l’origine du code.

Lorsque le vibe coding est utilisé comme un outil d’assistance à la programmation, l’auteur sera donc généralement le développeur qui conçoit l’architecture du programme, formule les instructions et sélectionne ou modifie le code généré.

Il convient toutefois de tenir compte de deux éléments importants. En premier lieu droit français d’après l’article L113-9 du CPI, les droits patrimoniaux sur les logiciels créés par des salariés dans l’exercice de leur fonction sont dévolus à l’employeur. En second lieu, les licences d’utilisation ou conditions générales d’utilisation des outils d’IA utilisés pour le vibe coding peuvent prévoir certaines règles concernant l’utilisation ou la réutilisation du code généré.

Il est donc recommandé d’examiner attentivement ces conditions contractuelles ainsi que le cadre de la relation de travail ou de prestation.

En droit d’auteur, la protection d’un logiciel suppose l’existence d’un apport intellectuel humain caractérisant l’originalité de l’œuvre. Lorsque du code est généré avec l’aide d’un système d’IA, il peut donc être utile de documenter l’intervention du développeur afin de démontrer que le code résulte bien de choix créatifs humains.

Documenter l’intervention du développeur est un point important pour faciliter la reconnaissance de la titularité des droits d’auteur sur le code généré.

Plusieurs éléments peuvent contribuer à établir cette intervention, par exemple  :
– la conservation des prompts et des échanges avec l’outil d’IA ;
– les versions successives du code (historique Git, commits, modifications) ;
– la documentation de l’architecture logicielle et des choix techniques effectués par le développeur ;
– les traces d’édition, d’intégration et d’adaptation du code généré.

Dans ce contexte, la mise en place de bonnes pratiques de traçabilité du processus de développement devient un enjeu important pour sécuriser la titularité des droits sur les logiciels développés avec l’aide d’outils d’intelligence artificielle.

Oui, ce risque existe et fait actuellement l’objet de nombreux débats juridiques.

Les systèmes d’IA utilisés pour le vibe coding sont entraînés sur de vastes corpus de code informatique, comprenant notamment des dépôts open source, par exemple sous licence GNU GPL. Dans certains cas, le code généré peut reproduire ou s’inspirer de fragments de code existants. Si ces bouts de code proviennent de projets soumis à des licences copyleft leur intégration dans un logiciel peut créer certaines obligations contractuelles, notamment de publier le code source sous la même licence que le code d’origine. Ces licences sont souvent désignées sous le nom de licences contaminantes.

Deux interprétations juridiques sont aujourd’hui discutées.

La première, la plus répandue, considère que l’effet contaminant ne s’applique que si le code généré reproduit effectivement des fragments identifiables de code soumis à une licence copyleft. Dans cette hypothèse, il est recommandé de procéder à un audit du code généré, comparable à un contrôle anti-plagiat, afin de détecter d’éventuelles correspondances avec des dépôts open source.
Une seconde interprétation, plus extensive et aujourd’hui marginale, consiste à considérer que dès lors qu’un modèle d’IA a été entraîné sur du code soumis à des licences copyleft, le code généré devrait lui-même être soumis à ces licences. Une telle approche aurait des conséquences importantes, puisqu’elle remettrait en cause la possibilité de protéger ou d’exploiter de manière propriétaire du code généré par IA.

L’utilisation de code généré par IA peut ainsi exposer les entreprises à des contraintes liées aux licences open source ou à l’introduction involontaire de dépendances problématiques.

Le choix de la licence pour un code développé avec l’aide d’un outil d’intelligence artificielle dépend avant tout de la stratégie du projet logiciel et du cadre juridique applicable au code généré. Si le code est protégeable par le droit d’auteur et que le développeur ou l’entreprise en est titulaire, il peut être distribué au choix sous une licence propriétaire ou sous une licence entièrement ou partiellement open source (MIT, Apache 2.0, GPL…).

En pratique, les entreprises ont intérêt à mettre en place des procédures d’audit du code généré et de vérification des licences, comparables à celles utilisées pour la gestion des dépendances open source dans les projets logiciels classiques.

Oui si ces prompts sont originaux rien ne s’oppose à ce qu’ils soient protégés par le droit d’auteur en tant qu’œuvres de l’esprit.

La responsabilité incombe à la personne ou à l’entreprise qui développe, intègre ou met à disposition le logiciel auprès des utilisateurs ou du public. L’utilisation d’un outil d’intelligence artificielle pour générer du code ne transfère pas la responsabilité vers le fournisseur de l’IA.
Par ailleurs, les systèmes d’IA de génération de code prévoient souvent dans leurs conditions générales d’utilisation des clauses indiquant qu’aucune garantie n’est fournie quant aux sorties (output).

Il appartient donc aux développeurs et aux entreprises d’effectuer les tests, audits de sécurité et revues de code nécessaires avant toute mise en production. Il paraît inadapté au regard de l’état de l’art technologique, d’exiger des systèmes d’IA une garantie d’absence de bug ou de vulnérabilité dans le code généré. L’IA constitue un outil d’aide au développement, mais la responsabilité finale de la qualité et de la sécurité du logiciel reste humaine.

L’utilisation d’outils d’IA pour générer du code peut présenter des risques de confidentialité, en particulier lorsque les développeurs transmettent au système des éléments de code ou des informations techniques sensibles.

Ces risques sont particulièrement importants lorsque l’outil d’IA est exploité via un service en ligne et non déployé localement. Les instructions (prompts), extraits de code ou descriptions d’architecture transmis au système peuvent être traités sur des serveurs tiers et, selon les conditions d’utilisation du service, être conservés, analysés ou utilisés pour améliorer les modèles.

Dans ce contexte, il existe un risque de divulgation d’informations couvertes par le secret des affaires, notamment lorsqu’un développeur soumet du code propriétaire, des algorithmes internes ou des éléments d’architecture logicielle sensibles.

Pour limiter ces risques, les entreprises peuvent notamment :
– encadrer l’utilisation des outils d’IA par des politiques internes,
– éviter d’y soumettre du code confidentiel ou stratégique,
– privilégier des solutions déployées localement ou dans des environnements sécurisés,
– vérifier les conditions contractuelles et les politiques de traitement des données des fournisseurs d’IA.

L’utilisation d’outils de vibe coding doit ainsi être compatible avec les obligations de protection du secret des affaires et, le cas échéant, avec les politiques internes de sécurité de l’information de l’entreprise.

Il n’y a pas de réponse absolue à ce niveau, ce point est généralement encadré par les licences et conditions d’utilisation des systèmes d’IA générative. Certains systèmes d’IA permettent à l’utilisateur de choisir si ses prompts et les contenus générés pourront ou non être utilisés pour améliorer le modèle.

Dans la plupart des cas, le code généré par IA peut être utilisé dans un logiciel commercial. Plusieurs précautions juridiques doivent être prises, notamment afin de vérifier que le code généré ne reproduit pas des fragments soumis à des licences open source contraignantes et que les conditions d’utilisation de l’outil d’IA autorisent l’exploitation commerciale du code généré.

Avant toute mise en production, il est recommandé de :
– éviter de divulguer des informations confidentielles ou du code propriétaire lors du prompting
– vérifier les conditions d’utilisation de l’outil d’IA et les règles applicables aux outputs générés
– procéder à une revue humaine du code et à des tests techniques approfondis
– vérifier l’absence de vulnérabilités de sécurité et la robustesse du logiciel
– effectuer un audit de licences et de similarité afin de détecter d’éventuels fragments issus de logiciels soumis à des licences open source contraignantes
– documenter l’intervention humaine dans le processus de développement (prompts, modifications, historique Git) afin de sécuriser la titularité des droits.

De manière générale, le code généré avec l’aide d’une IA doit être considéré comme un code à vérifier et à auditer, et non comme un code prêt à être utilisé sans contrôle.
Les entreprises utilisant des outils de vibe coding doivent donc intégrer ces enjeux juridiques dans leurs pratiques de développement logiciel, notamment en matière de propriété intellectuelle, de licences open source et de gestion des risques